Surfar du i en webbläsarsession som är inloggad på exempelvis Facebook så kommer Facebook "pingas" när du besöker en sida som inkluderar Facebooks "Gilla"-knappar, Facebook-kommentarer, etc. Att sessionen är inloggad gör att du direkt kan identifieras. De data som loggas inkluderar vilken sida du var på när anropet till Facebook gjordes, och utifrån detta kan de skrapa sidan och lista ut dess innehåll, vilket sedermera förvandlas till riktade annonser.
Detsamma gäller Google: en användare som surfar i en session inloggad med sitt Google-konto är "värd" mer än en användare som surfar utan att vara inloggad. Google får information dels genom vad personer klickar på via Google Search, men även saker som Google Analytics, "+1"-knappar från Google+, potentiellt Youtubeinbäddningar, med mera.
Utöver dessa "stora kameler" så finns det hundratals mindre aktörer som strösslar sina spårningsskript på all världens sidor. Ghostery som nämnts ovan kan tydliggöra hur detta går till. Privacy Badger från EFF är ett annat alternativ, och det finns även "the nuclear option" med lösningar likt NoScript. Dessa mindre spårningsaktörer säljer data sinsemellan och till tredje parter på olika sätt, troligen med mindre hänsyn till användares integritet än de största nätföretagen.
Google bygger mer eller mindre hela sin affärsidé på att inte sälja användarinformationen i sig till tredje part, utan att i stället själva agera "brandvägg" mellan användare och företag. Google samlar information som relaterar till individer, men företagen får bara tillgång till dessa (anonymiserade) användare genom Google, mot en kostnad.
Summerat så är ett relativt effektivt sätt att undvika spårning att inte logga in på exempelvis Facebook i sin primära webbläsarsession (alternativ: multipla läsare, inkognitosessioner). I praktiken är det tekniskt görbart att spåra användare ändå (cf. Panopticlick), men jag misstänker att det finns tillräckligt med lågt hängande frukt för att reklamföretagen inte bemödar sig alltför mycket med sådana lösningar (Microsoft var dock i blåsväder för liknande tekniker redan 2011 [1, 2], och det är möjligt att många mindre aktörer fortfarande jobbar så för att kunna utmana Google/Facebook/etc.).