Posts by Izac Cavalheiro
Ваш скрипт аналитики — это дыра в вашей Content-Security-Policy
Строгая CSP закрывает XSS. Сторонний тег аналитики снова его открывает. Почему host-allowlist и отсутствие SRI подрывают политику — и что чинит first-party трекер.
Читать далее →Приватность по умолчанию на уровне HTTP: заголовки, сокращающие поверхность трекинга
Два заголовка ответа — Permissions-Policy и Referrer-Policy — определяют, сколько ваши страницы отдают ad-tech и третьим сторонам. Задайте их один раз, и поверхность слежки закроется по умолчанию.
Читать далее →INP Наказывает за Тяжёлую Аналитику: Почему Ваш Трекер Работает в Главном Потоке
Interaction to Next Paint — это Core Web Vital, который чаще всего не проходят сайты, и данные с реальных устройств показывают, что скрипты поведенческого трекинга — одна из главных причин. Решение — отправлять меньше работы в главный поток.
Читать далее →Digital Omnibus хочет освободить first-party-аналитику от согласия
Ноябрьский Digital Omnibus ЕС 2025 года предлагает освободить от согласия first-party-измерение аудитории для внутреннего использования. Это описание модели, которую аналитика без cookie уже использует.
Читать далее →Когда Хеш Является Персональными Данными? Решение Суда ЕС по Делу SRB и Идентичность в Аналитике
Решение Суда ЕС по делу EDPS против SRB сделало идентифицируемость относительным, контекстным тестом. Вот что это значит для аналитики на основе хешей — и почему ежедневно сменяемый хеш с солью выдерживает и трактовку суда, и более строгую трактовку EDPB.
Читать далее →Consent Mode v2 и Отключение Google Signals в Июне 2026
15 июня 2026 года ad_storage становится единственным средством управления рекламными данными в экосистеме Google. Вот что отключение Google Signals меняет для разработчиков — и почему весь этот механизм аналитике без cookie никогда не приходилось строить.
Читать далее →Ограничение Сроков Хранения — Передовая Правоприменения 2026 Года для Аналитики
Регуляторы перестали спрашивать, законно ли вы собрали данные, и начали спрашивать, когда вы их удалили. После штрафа CNIL в 42 млн евро для Free и проверки удаления данных со стороны EDPB цель аудита — хранение данных аналитики.
Читать далее →Soft Navigations: измеряем производительность SPA так, как это делает браузер
Эвристики soft navigation в Chrome наконец позволяют Core Web Vitals привязываться к клиентским сменам маршрута. Разбираем, как работает API и как измерять это без слежки.
Читать далее →Global Privacy Control теперь обязательный сигнал отказа в десяти штатах
GPC больше не рекомендация. После урегулирования с Disney и совместной проверки трёх штатов заголовок Sec-GPC стал юридически обязательным в десяти штатах США — а аналитике без cookie нечего соблюдать.
Читать далее →Закон о cookie больше не о cookie: что теперь охватывает Статья 5(3)
Рекомендации EDPB 2/2023 распространили правила согласия ePrivacy на пиксели, URL-отслеживание и идентификацию только по IP. Недавние решения CNIL и Garante подтверждают технологически нейтральное прочтение. Вот что меняется для разработчиков.
Читать далее →Добавление аналитики с приоритетом конфиденциальности на сайт Astro
View Transitions в Astro молча ломают стандартные скрипты аналитики. Вот правильный шаблон для отслеживания каждого изменения маршрута без cookie или баннера согласия.
Читать далее →Добавление аналитики с приоритетом конфиденциальности в приложение SvelteKit
SvelteKit 2 перехватывает клиентскую навигацию иначе, чем другие фреймворки. Вот правильный шаблон для отслеживания изменений маршрута без cookie или баннера согласия.
Читать далее →Privacy Sandbox мёртв: что это значит для вашего стека аналитики
Google отказался от Topics, Attribution Reporting и Protected Audience в октябре 2025 года. Вот что технически означает закрытие и почему собственная аналитика всегда была правильным выбором.
Читать далее →Недоступные баннеры согласия теперь создают два юридических риска, а не один
Европейский закон о доступности сделал WCAG 2.2 подлежащим исполнению в июне 2025 года. Баннер, по которому не может перемещаться программа чтения с экрана, делает согласие GDPR недействительным. Аналитика без cookie обходит обе проблемы.
Читать далее →Google отменил свой запрет на fingerprinting: что нужно знать разработчикам
В феврале 2025 года Google снял свой собственный запрет на fingerprinting устройств. Вот что изменилось, почему регуляторы встревожены и что это значит для вашего стека аналитики.
Читать далее →Почему сервисы с тяжёлым отслеживанием стоят вам дороже, чем вы думаете
Большинство приложений собирают гораздо больше, чем им нужно для работы. Вот что эти данные действительно делают, кто на этом зарабатывает и почему риск не остаётся с компанией, которая их собирает.
Читать далее →Что на самом деле означает «приоритет конфиденциальности» в вашем стеке аналитики
Эта фраза повсюду, но большинство инструментов, использующих её, по-прежнему хранят идентификаторы, отпечатки или хэшированные email. Вот как выглядит технически обоснованная модель данных с приоритетом конфиденциальности.
Читать далее →Как трекер аналитики весом 2 КБ сохраняет ваши Core Web Vitals зелёными
Традиционные скрипты аналитики достаточно тяжёлые, чтобы повлиять на ваш показатель Lighthouse. Вот что лёгкий трекер делает иначе — и почему это важно для реальных пользователей.
Читать далее →Google Analytics — это излишество для большинства сайтов: позиция разработчика
Google Analytics собирает гораздо больше, чем нужно большинству сайтов. Вот почему лёгкая альтернатива с приоритетом конфиденциальности меняет опыт разработчика — и опыт посетителя.
Читать далее →Добавление аналитики с приоритетом конфиденциальности в приложение Next.js
Пошаговое руководство по интеграции Monoid в Next.js без cookie, баннеров согласия или головной боли соответствия.
Читать далее →Почему аналитике без cookie не нужен баннер согласия
Большинство инструментов аналитики требуют всплывающего окна согласия на cookie, потому что они хранят персональные данные. Вот техническая причина, по которой аналитика с приоритетом конфиденциальности полностью пропускает это.
Читать далее →