Früher™ lief das so: Jede Webseite verwendet ein 1-Pixel-Bild https://evil.com/tracker.gif
Beim Laden des Bildes wird die URL der Webseite und ein Cookie (UUID) übertragen. Daher kennt evil.com den Browser-Verlauf.
Dann kam Javascript. Dann kam das Blockieren von 3rd-Party-Cookies; Firefox und Spezialbrowser schon länger, Chrome bald.
Aber irgendwie funktioniert das doch immer noch. Kunde sucht nach einem Produkt auf Amazon und sieht Werbung auf Facebook.
Wie?
Fingerprinting wäre eine Option, Email-Matching wäre eine Option. Aber geht das auch noch mit Cookies o.ä.?
Wenn’s der Dienst selbst macht, kann der das aber übers Backend verschicken bzw halt als Proxy fungieren. Da kriegst du nichtmal mit, wie die Payloads aussehen.