Nova iniciativa publicitária promete acabar com bloqueadores de anúncios

O International Advertising Bureau (IAB), uma organização que define padrões e oferece suporte para a indústria de publicidade online, apresentou uma nova iniciativa de código aberto voltada, entre outras coisas, a contornar bloqueadores de anúncios e minimizar a perda de receita que eles causam.

O projeto, chamado Trusted Server, está em fase de Prova de Conceito desde julho, com o IAB agora incentivando os publishers a testá-lo.

Como desenvolvedora de bloqueador de anúncios, a AdGuard está acompanhando isso de perto. O Trusted Server é apresentado como uma alternativa “privacy-friendly” em relação aos métodos tradicionais de rastreamento no lado do cliente. A ideia é fazer isso transferindo as operações de ad tech para um ambiente de servidor controlado. Segundo o IAB, essa configuração deve respeitar o consentimento do usuário e melhorar a transparência dos anúncios — embora, do nosso ponto de vista, pareça mais um esforço para reconstruir a infraestrutura de rastreamento com outro nome. O objetivo continua o mesmo: manter os anúncios visíveis e o rastreamento ativo, mesmo diante da resistência cada vez maior dos usuários (o próprio IAB observa que “as taxas de bloqueio de anúncios continuam crescendo em todo o mundo”).

O Trusted Server pode até ser open source, e sua ambição de unir dois opostos, rastreamento e privacidade, merece ser examinada. Mas, como já dissemos muitas vezes, e continuamos acreditando firmemente, esses dois conceitos são fundamentalmente incompatíveis. A seguir estão nossas considerações sobre a iniciativa Trusted Server: seus possíveis benefícios, riscos à privacidade e o impacto que pode ter sobre bloqueadores de anúncios como o AdGuard.

Trusted Server: é realmente confiável?

Primeiro, vamos ao básico. O que exatamente é o Trusted Server, conforme descrito na proposta do IAB? Em essência, é uma nova forma de os sites exibirem anúncios. Em vez de carregar anúncios e scripts de rastreamento diretamente no seu navegador (como a maioria dos sites faz hoje), ele desloca tudo isso para os bastidores, em servidores poderosos controlados pelo dono do site.

Pense assim: normalmente, quando você visita um site, seu navegador se comunica com várias empresas de publicidade, carrega os scripts delas e decide quais anúncios exibir. Com o Trusted Server, o navegador não faz nada disso. Em vez disso, o próprio servidor do site cuida de todo o processo: ele fala com as empresas de publicidade, escolhe o anúncio e envia o resultado final de volta ao seu navegador para exibição, tudo em um só pacote.

O protótipo do Trusted Server roda na Fastly, mas, em teoria, pode ser executado em qualquer plataforma de nuvem. A ideia é tornar os anúncios mais rápidos, mais difíceis de bloquear e, segundo seus criadores, mais respeitosos com a privacidade.

Para quem quiser uma visão técnica mais detalhada, aqui está uma comparação de como funciona hoje e como funcionaria caso a iniciativa fosse implementada.

Na publicidade online tradicional, o processo de veiculação de anúncios envolve múltiplas solicitações de rede no lado do cliente e sua execução de JavaScript:

1. O usuário visita o site do publisher
2. O navegador carrega o HTML do publisher contendo espaços para anúncios com tags JavaScript
3. O navegador executa scripts das redes de anúncios (GAM, Prebid, etc.)
4. Cada script faz solicitações HTTP separadas para servidores de anúncios
5. O leilão em tempo real acontece entre várias SSPs (plataformas do lado da oferta)
6. Os anúncios vencedores são renderizados no lado do cliente
7. Pixels de rastreamento são disparados para impressões/cliques

Esse é o modelo tradicional de publicidade online. O que muda com o Trusted Server é que a lógica de veiculação dos anúncios passa a ser consolidada no servidor:

1. O usuário visita o site do publisher
2. O navegador carrega o HTML do publisher (sem scripts de rede de anúncios)
3. Um JavaScript faz uma única solicitação ao criador do anúncio
4. O Trusted Server gera um ID sintético
5. O servidor faz solicitações paralelas para os parceiros de anúncios
6. O servidor agrega as respostas e faz proxy dos recursos
7. Uma única resposta em JSON é retornada ao cliente
8. O cliente renderiza os anúncios a partir de URLs de primeira parte

Resumindo, o Trusted Server representa uma grande mudança do modelo tradicional de veiculação de anúncios no lado do cliente para uma configuração em que tudo acontece no servidor. Isso pode melhorar a performance e facilitar a vida dos publishers, mas também centraliza a coleta de dados e reduz a transparência para o usuário sobre o que acontece nos bastidores.

Para usuários que não utilizam bloqueadores de anúncios, o Trusted Server pode parecer, à primeira vista, uma melhoria sólida. Há benefícios reais:

• Carregamento mais rápido de páginas, já que elimina a necessidade de múltiplos arquivos JavaScript de terceiros que geralmente tornam tudo mais lento.
• Menor risco de fingerprinting, pois esses scripts de terceiros deixam de ser executados diretamente no navegador.
• Mais segurança, por remover códigos de terceiros que poderiam ser explorados de forma maliciosa.

Mas nem tudo são flores. O Trusted Server traz problemas sérios, principalmente no que diz respeito à privacidade. Todo o sistema depende do fingerprinting para funcionar. Ele cria um “ID sintético” baseado em pontos de dados estáveis, como:

• client_ip
• user_agent
• first_party_id
• publisher_domain
• accept_language

Ou seja: o fingerprinting deixa de ser um recurso secundário para virar a base do sistema. Sim, o fingerprinting já existe hoje, mas pelo menos atualmente diferentes empresas usam métodos distintos, o que dificulta consolidar tudo em um único perfil. O Trusted Server pode tornar muito mais fácil a construção de um imenso perfil oculto de um usuário em toda a web. E o pior: os usuários nem saberiam que isso está acontecendo. Tudo parece ser “de primeira parte”, mas, nos bastidores, eles estariam sendo rastreados e segmentados por meio de um fingerprint persistente.

Impacto nos bloqueadores de anúncios: um velho desafio com cara nova

Há mais de uma década, os bloqueadores de anúncios têm sido o equivalente digital de um sistema imunológico, protegendo os usuários de tudo aquilo que torna a web moderna bagunçada, invasiva e insegura.

Isso inclui:

• Scripts de rastreamento: dezenas de trackers de terceiros seguindo os usuários pela web
• Assassinos de performance: JavaScript pesado que deixa as páginas extremamente lentas
• Perfilamento do usuário: fingerprinting, rastreamento entre sites e coleta de dados
• Ameaças à segurança: malvertising e injeção de código malicioso
• Degradação da experiência do usuário: pop-ups intrusivos, vídeos em auto-play, mudanças de layout

Nossas listas de filtros cresceram a ponto de bloquear centenas de milhares de domínios, e os usuários passaram a contar conosco para ter uma web mais rápida, limpa e privada.

O que torna os anúncios do Trusted Server mais difíceis de bloquear

O Trusted Server não muda o objetivo da publicidade online, apenas a forma como ela é entregue. Em vez de carregar scripts de terceiros no navegador, tudo acontece no lado do servidor e é entregue sob o próprio domínio do publisher. Isso é conhecido como veiculação em domínio de primeira parte, e faz com que os anúncios pareçam parte do próprio site.

Tradicionalmente, bloquear anúncios era tão simples quanto filtrar requisições para domínios conhecidos, como:

doubleclick.net, googlesyndication.com

Com o Trusted Server, os anúncios passam a ser veiculados a partir de domínios como:

nytimes.com, cnn.com

Isso os torna mais difíceis de distinguir do conteúdo real e mais complicados de bloquear com filtros convencionais baseados em domínios.

Além disso, há o processamento no lado do servidor. Em vez de rodar JavaScript no navegador, toda a lógica de veiculação de anúncios roda de forma invisível no servidor. Do ponto de vista do navegador, trata-se apenas de uma única solicitações: sem rastreadores ou chamadas externas, não há nada para interceptar.

Aqui está uma versão simplificada do que acontece nos bastidores:

let ad_response = fetch_ads_from_partners(&synthetic_id).await;
let proxied_creative = proxy_asset(&ad_response.creative_url);

Isso torna muito mais difícil para bloqueadores baseados no navegador detectar ou interromper anúncios em tempo real.

Dito isso, não se trata exatamente de um desafio novo. Já encontramos táticas semelhantes antes — como o rastreamento via CNAME, em que o rastreamento de terceiros é mascarado como de primeira parte por meio de redirecionamento de DNS. O Trusted Server é apenas uma implementação mais complexa do mesmo princípio: disfarçar o rastreamento e a entrega de anúncios como se fossem funcionalidades nativas do site.

No curto prazo, bloqueadores baseados em filtros como o AdGuard continuam eficazes em muitos casos. Mesmo quando os anúncios são servidos a partir de domínios de primeira parte, ainda é possível identificá-los por padrões de layout, comportamento de containers ou outros sinais na própria página.

No longo prazo, a comunidade de bloqueio de anúncios já está indo além da simples correspondência de padrões. Com o uso de detecção baseada em aprendizado de máquina, que já está em desenvolvimento, os bloqueadores de anúncios serão capazes de analisar características visuais e comportamentais dos anúncios, independentemente de onde ou como eles foram carregados.