Śledzenie internautów w praktyce

16-03-2012, 10:30

Po co twórcy stron internetowych śledzą odwiedzających? Dla pieniędzy? I owszem, nie chodzi jednak o wyświetlanie odpowiednio dopasowanych reklam, ale o profilowanie użytkowników - twierdzi Vicente Diaz, ekspert z Kaspersky Lab, który przeprowadził trzy eksperymenty mające zobrazować skalę problemu śledzenia.

Za każdym razem, gdy użytkownik odwiedza stronę internetową, wysyłane jest żądanie kodu HTML, który jest następnie przetwarzany w przeglądarce zainstalowanej na komputerze. Kod ten może zawierać zewnętrzne odnośniki, które również zostaną objęte tym samym żądaniem. Jest to standardowa procedura i sama w sobie nie jest w żadnym stopniu podejrzana.

Podczas otwierania strony WWW może - bez wiedzy użytkownika - dojść do  wywołania innych adresów z przekazaniem informacji

A gdyby takie zewnętrzne żądania były wykorzystywane do śledzenia użytkownika? Załóżmy, że użytkownik korzysta ze swojego ulubionego portalu społecznościowego, na przykład z Facebooka. Nawet po wylogowaniu się przeglądarka przechowuje pewne ciasteczka, które identyfikują konkretną osobę w tym serwisie. Następnie użytkownik odwiedza dowolną inną stronę zawierającą przyciski „Lubię to”, które w rzeczywistości są zewnętrznymi odnośnikami do Facebooka. Ponieważ Facebook posiada dostęp do własnych ciasteczek, otrzymuje żądanie za pośrednictwem strony www.dowolnastrona.pl oraz ciasteczka. Rezultat? Facebook wie, jakie strony odwiedził użytkownik, jeżeli tylko posiadają one odnośniki do tego serwisu społecznościowego.

Wydawałoby się, że problem ten da się łatwo rozwiązać: wystarczy usunąć ciasteczka. Zła wiadomość jest taka, że istnieje wiele innych technik stosowanych do identyfikacji użytkownika poprzez ślad zostawiony w przeglądarce. Według badania przeprowadzonego przez Petera Eckersley'a z Electronic Frontier Foundation w przypadku 83% użytkowników ich przeglądarka, zainstalowane wtyczki oraz podstawowe informacje o komputerze tworzą w połączeniu unikatowy ślad. I nawet jeżeli nie ma w tym nic agresywnego, warto wiedzieć, że zewnętrzne odnośniki często zawierają kod JavaScript, który uzyskuje wiele informacji z komputerów użytkowników, te zaś niejednokrotnie pozwalają na zidentyfikowanie konkretnych osób.

Czytaj także: Google pozwana za naruszenie prywatności użytkowników Safari

Pora na przykłady wzięte z życia. Aby zaobserwować skalę problemu śledzenia, Vicente Diaz, ekspert z Kaspersky Lab, wykonał trzy eksperymenty.

  • Pierwszy polegał na otwarciu popularnego hiszpańskiego portalu. Przejrzenie ruchu powstającego podczas przeglądania wykazało, że błyskawicznie wygenerowanych zostało 30 żądań, z których 15 służy do śledzenia lub wyświetlania reklam. Dodatkowo w przeglądarce powstało aż 10 nowych ciasteczek.
  • Drugi eksperyment polegał na otwarciu 250 najpopularniejszych stron w Hiszpanii (według serwisu Alexa.com). Analiza wykazała, że 20% ruchu przypada na strony śledzące użytkowników lub wyświetlające reklamy. Średnio daje to ponad 11 żądań śledzenia na jedną stronę. Interesujące jest to, że aż 93% otwartych stron posiadało zewnętrzne odnośniki do serwisów śledzących użytkowników - najczęściej były to Google i Facebook.
  • Ostatni eksperyment polegał na odwiedzeniu 100 najpopularniejszych hiszpańskich stron (według serwisu Alexa.com) przy użyciu dwóch przeglądarek - Chrome oraz Safari - z ustawieniami domyślnymi. Analiza ruchu wykazała, że nie ma istotnej różnicy pod względem liczby żądań, jak i liczby domen śledzących wywoływanych przez każdą z wyszukiwarek. O znaczącej różnicy można jednak mówić w przypadku ciasteczek: Chrome - 1029 ciasteczek, Safari - 269 ciasteczek. Po okrojeniu domen żądanych przez obydwie przeglądarki do 100 występujących najczęściej (co stanowi 75% całkowitej liczby żądań) okazało się, że lista Chrome’a zawierała pięć domen śledzących, które nie są wywoływane przez Safari.

- Powstaje pytanie: po co aż tyle śledzenia? Odpowiedź jest prosta: dla pieniędzy - wyjaśnia Vicente Diaz. - Nie chodzi tu jednak o wyświetlanie reklam, ale o profilowanie użytkowników. Wyobraź sobie, że prosisz o pożyczkę w swoim banku. System informatyczny tego banku może mieć dostęp do Twojego profilu online i nie jest ważne, co powiesz - dostaniesz pożyczkę tylko wtedy, gdy komputer stwierdzi, że Twój profil odpowiada kryteriom. W niedalekiej przyszłości wszystkie firmy mogą mieć dostęp do super-profili, w których dostępne będą wszystkie dane o każdym z nas, a decyzję podejmie komputer...

Czytaj także: Google obchodzi rozwiązania prywatności także w IE


Źródło: Kaspersky Lab
Przepisy na coś słodkiego z kremem Nutella
  
znajdź w serwisie

RSS  
RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy