Jak się śledzi użytkowników stron internetowych
Każdy z nas zdaje sobie sprawę, że odpowiada za to, co publikuje o sobie w internecie. Istnieją jednak metody, przy użyciu których informacje o nas mogą trafić do innych osób bez naszej wiedzy. Vicente Diaz, ekspert z Kaspersky Lab, porusza temat śledzenia użytkowników przez Facebooka i inne globalne korporacje.
Za każdym razem, gdy użytkownik odwiedza stronę internetową, wysyłane jest żądanie kodu HTML, który jest następnie przetwarzany w przeglądarce zainstalowanej na komputerze. Kod ten może zawierać zewnętrzne odnośniki, które również zostaną objęte tym samym żądaniem. Jest to standardowa procedura i sama w sobie nie jest w żadnym stopniu podejrzana.
A gdyby takie zewnętrzne żądania były wykorzystywane do śledzenia użytkownika? Czy coś takiego jest możliwe? Załóżmy, że użytkownik korzysta ze swojego ulubionego portalu społecznościowego, na przykład z Facebooka. Nawet po wylogowaniu się przeglądarka przechowuje pewne ciasteczka, które identyfikują konkretną osobę na Facebooku.
Następnie użytkownik odwiedza dowolną inną stronę (np. www.dowolnastrona.pl) zawierającą przyciski "Lubię to", które w rzeczywistości są zewnętrznymi odnośnikami do Facebooka. Ponieważ Facebook posiada dostęp do własnych ciasteczek, otrzymuje żądanie za pośrednictwem strony www.dowolnastrona.pl oraz ciasteczka, które jednoznacznie identyfikują użytkownika. Rezultat: Facebook wie, jakie strony odwiedził użytkownik, jeżeli tylko posiadają one odnośniki do tego serwisu społecznościowego.
Wydawałoby się, że problem ten da się łatwo rozwiązać: wystarczy usunąć ciasteczka. Zła wiadomość jest taka, że istnieje wiele innych technik stosowanych do identyfikacji użytkownika poprzez ślad zostawiony w przeglądarce. Według badania przeprowadzonego przez Petera Eckersley'a z Electronic Frontier Foundation, w przypadku 83 proc. użytkowników ich przeglądarka, zainstalowane wtyczki oraz podstawowe informacje o komputerze tworzą w połączeniu unikatowy ślad. I nawet jeżeli nie ma w tym nic agresywnego, warto wiedzieć, że zewnętrzne odnośniki często zawierają kod Javascript, który uzyskuje wiele informacji z komputerów użytkowników. Informacji, które niejednokrotnie pozwalają na zidentyfikowanie konkretnych osób.
Czy to się rzeczywiście dzieje?
Pora na przykłady wzięte z życia. Aby zaobserwować skalę problemu śledzenia, Vicente Diaz wykonał trzy eksperymenty. Pierwszy polegał na otwarciu popularnego hiszpańskiego portalu. Przejrzenie ruchu powstającego podczas przeglądania wykazało, że błyskawicznie wygenerowanych zostało 30 żądań, z których 15 służy do śledzenia lub wyświetlania reklam. Dodatkowo, w przeglądarce powstało aż 10 nowych ciasteczek.
Drugi eksperyment polegał na otwarciu 250 najpopularniejszych stron w Hiszpanii (według serwisu Alexa.com). Analiza wykazała, że 20 proc. ruchu przypada na strony śledzące użytkowników lub wyświetlające reklamy. Średnio daje to ponad 11 żądań śledzenia na jedną stronę. Interesujące jest to, że aż 93 proc. otwartych stron posiadało zewnętrzne odnośniki do serwisów śledzących użytkowników - najczęściej były to Google i Facebook.
Ostatni eksperyment polegał na odwiedzeniu 100 najpopularniejszych hiszpańskich stron (według serwisu Alexa.com) przy użyciu dwóch przeglądarek - Chrome oraz Safari - z ustawieniami domyślnymi. Analiza ruchu wykazała, że nie ma istotnej różnicy pod względem liczby żądań, jak i liczby domen śledzących wywoływanych przez każdą z wyszukiwarek. O znaczącej różnicy można jednak mówić w przypadku ciasteczek: Chrome - 1029 ciasteczek, Safari - 269 ciasteczek.
Po okrojeniu domen żądanych przez obydwie przeglądarki do 100 występujących najczęściej (co stanowi 75 proc. całkowitej liczby żądań) okazuje się, że lista Chrome'a zawiera pięć domen śledzących, które nie są wywoływane przez Safari. Zatem, Chrome jest nieco bardziej agresywny pod względem śledzenia użytkowników niż Safari. Nie oznacza to oczywiście, że lista Safari nie zawiera stron śledzących.
- Powstaje pytanie: po co aż tyle śledzenia? Odpowiedź jest prosta: dla pieniędzy - wyjaśnia Vicente Diaz. Nie chodzi tu jednak o wyświetlanie reklam, ale o profilowanie użytkowników. Wyobraź sobie, że prosisz o pożyczkę w swoim banku. System informatyczny tego banku może mieć dostęp do twojego profilu online i nie jest ważne, co powiesz - dostaniesz pożyczkę tylko wtedy, gdy komputer stwierdzi, że twój profil odpowiada kryteriom. W niedalekiej przyszłości wszystkie firmy mogą mieć dostęp do superprofili, w których dostępne będą wszystkie dane o każdym z nas, a decyzję podejmie komputer...