Disattivazione del cookie __cfduid

Cloudflare è in procinto di disattivare il cookie __cfduid. A partire dal 10 maggio 2021, cesseremo di aggiungere un'intestazione “Set-cookie" su tutte le risposte HTTP. Gli ultimi cookie __cfduid scadranno dopo 30 giorni.

Non abbiamo mai utilizzato il cookie __cfduid se non per fornire, per conto dei nostri clienti, dei servizi critici per le prestazioni e la sicurezza. Anche se, dobbiamo ammetterlo, un nome che conteneva al suo interno "uid" dava davvero l'impressione di essere un qualche tipo di ID utente, cosa che non era. Cloudflare non traccia mai gli utenti finali sui siti né vende i loro dati personali. Tuttavia, non vogliamo che ci siano dubbi sull'utilizzo dei nostri cookie, né che un cliente pensi di aver bisogno di un cookie banner in ragione di ciò che facciamo.

L'uso principale del cookie è quello di rilevare i bot sul Web. I bot dannosi potrebbero interrompere un servizio che è stato esplicitamente richiesto dall'utente finale (attraverso attacchi DDoS) o compromettere la sicurezza dell'account dell'utente (ad esempio, attraverso una violazione della password con forza bruta o tramite sottrazione e uso illecito delle credenziali). Utilizziamo molti segnali per creare modelli di apprendimento automatico in grado di rilevare il traffico automatico dei bot. La presenza e l'età del cookie cfduid erano solo uno dei segnali all'interno dei nostri modelli. Pertanto, per i nostri clienti che beneficiano dei nostri prodotti di gestione dei bot, il cookie cfduid è uno strumento che consente loro di fornire un servizio esplicitamente richiesto dall'utente finale.

Il valore del cookie cfduid è derivato da un hash MD5 bidirezionale dell'indirizzo IP, data/ora del cookie, user-agent, nome host e sito Web di riferimento — il che significa che non possiamo associare un cookie a una persona specifica. Tuttavia, come società privacy-first ci siamo chiesti: "Possiamo trovare un modo migliore per rilevare i bot che non si basi sulla raccolta di indirizzi IP degli utenti finali?

Nelle ultime settimane abbiamo fatto degli esperimenti per vedere se fosse possibile eseguire i nostri algoritmi di rilevamento dei bot senza utilizzare questi cookie, e abbiamo scoperto che ci sarà possibile cessare l'utilizzo di questo cookie per rilevare i bot. Stiamo annunciando ora la sua disattivazione per dare tempo ai nostri clienti di eseguire la transizione, mentre il nostro team di bot management è al lavoro per garantire che non ci sia un declino nella qualità dei nostri algoritmi di rilevamento dei bot in seguito alla sua rimozione (Si noti che alcuni clienti di Bot Management avranno comunque bisogno dell'uso di un diverso cookie dopo il 1° aprile).

Anche se questo è un piccolo cambiamento, siamo entusiasti di ogni opportunità che possa rendere il Web più semplice, veloce e privato.