Блог Monoid

Приватность, аналитика и открытый веб — написано для разработчиков.

RSS-лента
6 мин чтенияEngineering & Performance

Timing-Allow-Origin: что аналитика видит в Resource Timing API

Заголовок Timing-Allow-Origin определяет, сколько деталей о времени загрузки cross-origin ресурсов может прочитать страница. Вот что это значит для измерения производительности с приоритетом конфиденциальности.

Читать далее
7 мин чтенияEngineering & Performance

Правила спекулятивной загрузки и предварительный рендеринг: что аналитика неправильно понимает о предзагруженных страницах

API Speculation Rules в Chrome может отрендерить страницу ещё до того, как пользователь щёлкнет по ссылке. Вот как это искажает наивную аналитику — и как измерение без cookie на границе сети остаётся честным.

Читать далее
4 мин чтенияEngineering & Performance

Ваш скрипт аналитики, скорее всего, отключает back/forward cache

Back/forward cache делает навигацию по кнопке «назад» почти мгновенной, но один слушатель unload отключает его для всей страницы. Обычно виноваты трекинговые скрипты — и теперь CrUX измеряет ущерб.

Читать далее
4 мин чтенияLaw & Regulation

Трансграничная передача данных по GDPR — единственный риск комплаенса, который можно устранить архитектурой

EU-US Data Privacy Framework выдержал первый судебный иск, но теперь обжалуется в CJEU. Аналитике, которая никогда не передаёт данные из ЕС в США, в любом случае нечего терять.

Читать далее
5 мин чтенияLaw & Regulation

Цель надзора EDPB в 2026 году — ваше уведомление о конфиденциальности

Скоординированная акция EDPB в 2026 году проверяет прозрачность по статьям 12–14 GDPR. Кратчайший путь через неё — собирать так мало, чтобы уведомление писалось само.

Читать далее
5 мин чтенияEngineering & Performance

Ваш скрипт аналитики — это дыра в вашей Content-Security-Policy

Строгая CSP закрывает XSS. Сторонний тег аналитики снова его открывает. Почему host-allowlist и отсутствие SRI подрывают политику — и что чинит first-party трекер.

Читать далее
5 мин чтенияEngineering & Performance

Приватность по умолчанию на уровне HTTP: заголовки, сокращающие поверхность трекинга

Два заголовка ответа — Permissions-Policy и Referrer-Policy — определяют, сколько ваши страницы отдают ad-tech и третьим сторонам. Задайте их один раз, и поверхность слежки закроется по умолчанию.

Читать далее
4 мин чтенияEngineering & Performance

INP Наказывает за Тяжёлую Аналитику: Почему Ваш Трекер Работает в Главном Потоке

Interaction to Next Paint — это Core Web Vital, который чаще всего не проходят сайты, и данные с реальных устройств показывают, что скрипты поведенческого трекинга — одна из главных причин. Решение — отправлять меньше работы в главный поток.

Читать далее
4 мин чтенияLaw & Regulation

Digital Omnibus хочет освободить first-party-аналитику от согласия

Ноябрьский Digital Omnibus ЕС 2025 года предлагает освободить от согласия first-party-измерение аудитории для внутреннего использования. Это описание модели, которую аналитика без cookie уже использует.

Читать далее