Posts by Izac Cavalheiro
আপনার অ্যানালিটিক্স স্ক্রিপ্টই আপনার Content-Security-Policy-র ফাঁক
একটি কঠোর CSP XSS বন্ধ করে। একটি থার্ড-পার্টি অ্যানালিটিক্স ট্যাগ তা আবার খুলে দেয়। কেন host allowlist এবং অনুপস্থিত SRI আপনার নীতি দুর্বল করে — এবং একটি ফার্স্ট-পার্টি ট্র্যাকার কী ঠিক করে তা এখানে রইল।
আরও পড়ুন →HTTP লেয়ারে ডিফল্টভাবে প্রাইভেসি: যে হেডারগুলো আপনার ট্র্যাকিং সারফেস ছোট করে দেয়
দুটি রেসপন্স হেডার — Permissions-Policy এবং Referrer-Policy — নির্ধারণ করে আপনার পেজগুলো অ্যাড-টেক ও থার্ড পার্টিকে কতটা ফাঁস করতে পারে। একবার সেট করুন, আর সার্ভেইলেন্স সারফেস ডিফল্টভাবেই বন্ধ হয়ে যায়।
আরও পড়ুন →INP ভারী অ্যানালিটিক্সকে শাস্তি দেয়: কেন আপনার ট্র্যাকার মেইন থ্রেডে আছে
Interaction to Next Paint হলো সেই Core Web Vital যেটিতে সবচেয়ে বেশি সাইট ব্যর্থ হয়, এবং ফিল্ড ডেটা দেখায় যে বিহেভিয়র-ট্র্যাকিং স্ক্রিপ্ট একটি প্রধান কারণ। সমাধান হলো মেইন থ্রেডে কম কাজ পাঠানো।
আরও পড়ুন →Digital Omnibus ফার্স্ট-পার্টি অ্যানালিটিক্সকে সম্মতির আওতা থেকে অব্যাহতি দিতে চায়
EU-এর নভেম্বর ২০২৫-এর Digital Omnibus ফার্স্ট-পার্টি, অভ্যন্তরীণ-ব্যবহারের অডিয়েন্স মেজারমেন্টের জন্য সম্মতির অব্যাহতি প্রস্তাব করে। এটি সেই মডেলেরই বর্ণনা যা কুকি-মুক্ত অ্যানালিটিক্স আগে থেকেই চালায়।
আরও পড়ুন →হ্যাশ কখন ব্যক্তিগত ডেটা হয়? CJEU-এর SRB রায় এবং অ্যানালিটিক্সে পরিচয়
CJEU-এর EDPS বনাম SRB রায় শনাক্তযোগ্যতাকে একটি আপেক্ষিক, প্রসঙ্গনির্ভর পরীক্ষায় পরিণত করেছে। হ্যাশ-ভিত্তিক অ্যানালিটিক্সের জন্য এর অর্থ কী, এবং কেন প্রতিদিন ঘূর্ণায়মান সল্টেড হ্যাশ আদালতের ব্যাখ্যা ও EDPB-র কঠোরতর ব্যাখ্যা—দুটোতেই টিকে যায়, তা এখানে আলোচিত।
আরও পড়ুন →Consent Mode v2 এবং ২০২৬ সালের জুনে Google Signals-এর অবসান
১৫ জুন ২০২৬-এ ad_storage হয়ে ওঠে Google-এর স্ট্যাকে বিজ্ঞাপন ডেটার একমাত্র নিয়ন্ত্রণ। এখানে দেখুন Google Signals-এর অবসান ডেভেলপারদের জন্য কী বদলায় — এবং কেন এই গোটা যন্ত্রপাতি এমন কিছু যা cookie-বিহীন analytics-কে কখনও তৈরি করতেই হয়নি।
আরও পড়ুন →স্টোরেজ লিমিটেশন ২০২৬ সালে অ্যানালিটিক্সের জন্য প্রয়োগের নতুন সম্মুখসারি
নিয়ন্ত্রকেরা আর জিজ্ঞেস করছেন না আপনি ডেটা বৈধভাবে সংগ্রহ করেছেন কি না, বরং জিজ্ঞেস করছেন কখন তা মুছেছেন। CNIL-এর Free-এর ওপর €42M জরিমানা ও EDPB-এর ইরেজার যাচাইয়ের পর, অ্যানালিটিক্সের রিটেনশনই এখন অডিটের লক্ষ্য।
আরও পড়ুন →Soft Navigations: ব্রাউজারের পদ্ধতিতে SPA-এর পারফরম্যান্স মাপা
Chrome-এর soft navigation heuristics অবশেষে Core Web Vitals-কে ক্লায়েন্ট-সাইড রুট পরিবর্তনের সঙ্গে যুক্ত করতে দেয়। জেনে নিন এই API কীভাবে কাজ করে এবং নজরদারি ছাড়াই কীভাবে এটি মাপবেন।
আরও পড়ুন →Global Privacy Control এখন দশটি অঙ্গরাজ্যে বাধ্যতামূলক অপ্ট-আউট সংকেত
GPC আর শুধু পরামর্শ নয়। Disney মীমাংসা ও তিন-রাজ্যের যৌথ তদন্তের পর, Sec-GPC হেডার যুক্তরাষ্ট্রের দশটি অঙ্গরাজ্যে আইনত বাধ্যতামূলক — আর কুকি-মুক্ত অ্যানালিটিক্সের মেনে চলার মতো কিছুই নেই।
আরও পড়ুন →কুকি আইন এখন আর কুকি সম্পর্কে নয়: Article 5(3) এখন কী কভার করে
EDPB Guidelines 2/2023 ePrivacy কনসেন্ট নিয়মগুলোকে পিক্সেল, URL ট্র্যাকিং এবং IP-only শনাক্তকরণে সম্প্রসারিত করেছে। সাম্প্রতিক CNIL এবং Garante সিদ্ধান্ত প্রযুক্তি-নিরপেক্ষ পাঠ নিশ্চিত করে। ডেভেলপারদের জন্য কী পরিবর্তন হয়, তা এখানে দেওয়া হলো।
আরও পড়ুন →একটি Astro সাইটে গোপনীয়তা-প্রথম অ্যানালিটিক্স যোগ করা
Astro-র View Transitions নিঃশব্দে স্ট্যান্ডার্ড অ্যানালিটিক্স স্ক্রিপ্ট ভেঙে দেয়। কুকি বা কনসেন্ট ব্যানার ছাড়াই প্রতিটি রুট পরিবর্তন ট্র্যাক করার সঠিক প্যাটার্ন এখানে দেওয়া হলো।
আরও পড়ুন →একটি SvelteKit অ্যাপে গোপনীয়তা-প্রথম অ্যানালিটিক্স যোগ করা
SvelteKit 2 অন্যান্য ফ্রেমওয়ার্কের চেয়ে ভিন্নভাবে ক্লায়েন্ট-সাইড নেভিগেশন ইন্টারসেপ্ট করে। কুকি বা কনসেন্ট ব্যানার ছাড়াই রুট পরিবর্তন ট্র্যাক করার সঠিক প্যাটার্ন এখানে দেওয়া হলো।
আরও পড়ুন →Privacy Sandbox মৃত: আপনার অ্যানালিটিক্স স্ট্যাকের জন্য এর অর্থ কী
অক্টোবর 2025 সালে Google Topics, Attribution Reporting এবং Protected Audience অবসর দিয়েছে। শাটডাউনের প্রযুক্তিগত অর্থ এবং কেন ফার্স্ট-পার্টি অ্যানালিটিক্স সবসময়ই সঠিক পছন্দ ছিল, তা এখানে দেওয়া হলো।
আরও পড়ুন →অপ্রবেশযোগ্য কনসেন্ট ব্যানার এখন একটির বদলে দুটি আইনি দায় তৈরি করে
European Accessibility Act 2025 সালের জুন মাসে WCAG 2.2-কে প্রয়োগযোগ্য করে তুলেছে। একটি ব্যানার যা স্ক্রিন রিডার নেভিগেট করতে পারে না, তা GDPR কনসেন্টকে অবৈধ করে। কুকি-মুক্ত অ্যানালিটিক্স উভয় সমস্যাকেই এড়িয়ে যায়।
আরও পড়ুন →Google তার ফিঙ্গারপ্রিন্টিং নিষেধাজ্ঞা বিপরীত করেছে: ডেভেলপারদের যা জানা দরকার
ফেব্রুয়ারি 2025 সালে, Google ডিভাইস ফিঙ্গারপ্রিন্টিংয়ের উপর তার নিজের নিষেধাজ্ঞা তুলে নিয়েছে। কী পরিবর্তিত হয়েছে, কেন নিয়ন্ত্রকরা সতর্ক এবং এটি আপনার অ্যানালিটিক্স স্ট্যাকের জন্য কী মানে, তা এখানে দেওয়া হলো।
আরও পড়ুন →কেন ট্র্যাকিং-নির্ভর পরিষেবাগুলো আপনার ভাবনার চেয়ে বেশি খরচ করায়
বেশিরভাগ অ্যাপ কাজ করার জন্য যতটা প্রয়োজন তার চেয়ে অনেক বেশি ডেটা সংগ্রহ করে। সেই ডেটা আসলে কী করে, কে এর থেকে লাভবান হয় এবং কেন ঝুঁকিটি সংগ্রহকারী কোম্পানির কাছে সীমাবদ্ধ থাকে না, তা এখানে দেওয়া হলো।
আরও পড়ুন →আপনার অ্যানালিটিক্স স্ট্যাকে 'Privacy-First' আসলে কী মানে
এই বাক্যাংশটি সর্বত্র, কিন্তু এটি ব্যবহার করা বেশিরভাগ টুল এখনও শনাক্তকারী, ফিঙ্গারপ্রিন্ট বা হ্যাশড ইমেইল সংরক্ষণ করে। একটি প্রযুক্তিগতভাবে সঠিক গোপনীয়তা-প্রথম ডেটা মডেল কেমন দেখায়, তা এখানে দেওয়া হলো।
আরও পড়ুন →কীভাবে একটি 2 KB অ্যানালিটিক্স ট্র্যাকার আপনার Core Web Vitals সবুজ রাখে
প্রচলিত অ্যানালিটিক্স স্ক্রিপ্টগুলি এতটাই ভারী যে এগুলো আপনার Lighthouse স্কোর পরিবর্তন করতে পারে। একটি হালকা ট্র্যাকার ভিন্নভাবে কী করে — এবং কেন এটি বাস্তব ব্যবহারকারীদের জন্য গুরুত্বপূর্ণ, তা এখানে দেওয়া হলো।
আরও পড়ুন →বেশিরভাগ সাইটের জন্য Google Analytics অতিরিক্ত: একজন ডেভেলপারের যুক্তি
Google Analytics বেশিরভাগ সাইটের প্রয়োজনের চেয়ে অনেক বেশি সংগ্রহ করে। কেন একটি হালকা, গোপনীয়তা-প্রথম বিকল্প ডেভেলপার অভিজ্ঞতা — এবং দর্শনার্থী অভিজ্ঞতা — পরিবর্তন করে, তা এখানে দেওয়া হলো।
আরও পড়ুন →একটি Next.js অ্যাপে গোপনীয়তা-প্রথম অ্যানালিটিক্স যোগ করা
কুকি, কনসেন্ট ব্যানার বা সম্মতি জটিলতা ছাড়াই Next.js-এ Monoid ইন্টিগ্রেট করার ধাপে ধাপে গাইড।
আরও পড়ুন →কেন কুকি-মুক্ত অ্যানালিটিক্সের একটি কনসেন্ট ব্যানারের প্রয়োজন নেই
বেশিরভাগ অ্যানালিটিক্স টুলের একটি কুকি কনসেন্ট পপআপ প্রয়োজন কারণ তারা ব্যক্তিগত ডেটা সংরক্ষণ করে। গোপনীয়তা-প্রথম অ্যানালিটিক্স এটি সম্পূর্ণরূপে এড়িয়ে যাওয়ার প্রযুক্তিগত কারণ এখানে দেওয়া হলো।
আরও পড়ুন →