Jak cię śledzą w internecie

Wprawdzie śledzenie użytkowników online w celach reklamowo-marketingowych to nic nowego, niedawno zrobiło się bardzo głośno o bardzo skutecznej metodzie Canvas Fingerprinting. Podpowiadamy, na czym polega i jak się przed nią chronić.

Czy wiesz, jaką cechę wspólną mają internetowe witryny T-Online, Peugeota, Adidasa i wiele innych z portalem Białego Domu? Wszystkie dysponują technologią Canvas Fingerprinting, a więc mogą (lub mogły) pozyskiwać swoisty odcisk palca od przeglądarek internetowych odwiedzających je internautów. Taki ślad pozwala zidentyfikować przeglądarkę, a zarazem jej użytkownika. Wybór czasu przeszłego ma w tym wypadku kluczowe znaczenie, bo większość operatorów wspomnianych witryn nawet nie wiedziała o tych możliwościach, a gdy zostały ujawnione, natychmiast je wyłączyła.

Nasuwa się pytanie, jak to możliwe, że operatorzy portali internetowych nie wiedzieli o technologii pozostawiania sygnatur przez odwiedzających. Aby udzielić na nie odpowiedzi, trzeba przytoczyć kilka faktów, które miały miejsce, zanim upubliczniono zasady działania metody Canvas Fingerprinting. Latem 2014 r. belgijska uczelnia z Leuven opublikowała we współpracy z Uniwersytetem Princeton (USA) najnowsze odkrycia w zakresie stosowania cyfrowych śladów w postaci sygnatur (więcej informacji). W trakcie swoich badań naukowcy przeanalizowali 100 000 najczęściej odwiedzanych witryn z całego świata, sprawdzając, czy korzystają z metod identyfikowania przeglądarek i odwiedzających je osób. Szczególną uwagę poświęcili nie tylko niezniszczalnym plikom zombie cookie (są przywracane automatycznie przez aplikację Evercookie) i mechanizmom synchronizowania plików cookie pomiędzy odrębnymi sieciami reklamowymi, lecz również wówczas mało znanej metodzie o nazwie Canvas Fingerprinting.

To tylko niektóre witryny, w których śledzono (niekiedy bez zgody operatora) internautów metodą Canvas Fingerprinting.

To tylko niektóre witryny, w których śledzono (niekiedy bez zgody operatora) internautów metodą Canvas Fingerprinting.

Jak się okazało, ponad pięć procent badanych obiektów, a więc ponad 5500 witryn internetowych stosowało skrypty tworzące ślady odwiedzin w celu identyfikowania internautów bez używania plików cookie. Na opublikowanej w internecie liście rezultatów badań można znaleźć nie tylko polskie domeny, których dotyczy problem (kolumna Site URL), lecz także domenę śledzącą lub takową usługę (kolumna Fingerprinting Domain). Wystarczy wpisać .pl w polu Search. Stawce portali śledzących przewodzi z ogromną przewagą serwis AddThis.

Należy zauważyć, że większość operatorów witryn, które znalazły się na liście, wcale nie wiedziała o technologii dostępnej na jej stronach. Wytłumaczyła to w wiarygodny sposób. Przedsiębiorstwa zleciły zewnętrznym firmom marketingowym realizowanie reklam online. To stosowana powszechnie praktyka. Tymczasem sprzedawcy reklam użyli wspomnianych mechanizmów śledzenia, nie powiadamiając o tym swoich zleceniodawców. Niektórzy operatorzy witryn uznali to postępowanie za oburzające i odcinają się od takich metod. Firma marketingowa Ligatus przyznaje zaniedbania po swojej stronie i określając cały proceder mianem „projektu badawczego”. Wyraża swoje ubolewanie nad zaistniałym faktem i wyjaśnia, że ze względu na nieporozumienie wewnątrz firmy nie dostarczono operatorom witryn informacji o przeprowadzaniu takich badań.

Obecnie przynajmniej Ligatus nie stosuje już skryptów śledzących, lecz przypuszcza się, że są one nadal w stałym użyciu przez inne firmy marketingu internetowego na całym świecie. Niemniej jednak nie ma nowszych badań, które potwierdziłyby tę tezę. Ostatecznie, to zwyczajny przypadek sprawił, że eksperci IT wpadli w ogóle na ślad tych nowych metod identyfikowania komputerów lub przeglądarek internetowych. Na analizę przeznaczono kilka dni, a więc raczej niewiele czasu jak na badania tego rodzaju. Przeprowadzono je na początku maja 2014 r. Nie wiadomo, jak długo opisane metody śledzenia były stosowane do tego czasu.

Kwestia zaufania – ten serwis marketingowy zapewnia w swojej witrynie funkcję Opt-Out (www.addthis.com/privacy/opt-out), która ma blokować śledzenie użytkowników.

Kwestia zaufania – ten serwis marketingowy zapewnia w swojej witrynie funkcję Opt-Out (www.addthis.com/privacy/opt-out), która ma blokować śledzenie użytkowników.

Canvas Fingerprinting – co to jest i na czym polega

Co kryje się za tym pojęciem? Wyraz canvas oznacza w obiegowej angielszczyźnie płótno lub malowidło. W języku HTML określa się tym słowem element do tworzenia obrazków w kodzie JavaScript. Zapewnia gradienty, kształty, bitmapy i inne elementy graficzne, a także tekstowe. Element Canvas znajduje zastosowanie m.in. w generowaniu animowanych grafik. Wchodzi w skład standardu HTML 5 i jest obsługiwany przez wszystkie przeglądarki internetowe (w obecnych wersjach).

Elementy Canvas nadają się do identyfikowania użytkowników, a więc do ich śledzenia, bo każdy komputer i każda przeglądarka internetowa tworzą za ich pomocą obiekty graficzne o nieco innym wyglądzie. Opisany efekt odkryło dwóch naukowców ponad dwa lata temu (więcej informacji). Choć różnice w wyglądzie obiektów graficznych są minimalne, więc nie sposób dostrzec ich gołym okiem na ekranie, widać je wyraźnie w kodzie źródłowym grafiki. Komputer wyposażony w określoną przeglądarkę internetową generuje unikatową grafikę, którą można przekształcić w specyficzny adres URL lub sygnaturę (wartość haszowania). W internecie roi się od przykładów, które demonstrują tworzenie takich cyfrowych odcisków palca lub sygnatur na podstawie elementów Canvas. Jeden z nich mieści się w portalu dziennikarskim Pro Publica. Wypróbuj działanie mechanizmu śledzącego, klikając wielokrotnie przycisk See your browser’s fingerprint w tym samym komputerze i w tej samej przeglądarce. Przekonasz się, że na ekranie za każdym razem pojawi się ten sam identyfikator – chyba że zmienisz przeglądarkę internetową lub powtórzysz tę czynność w innym komputerze.

Z reguły internauta nie zauważa procederu, o którym mowa, bo odbywa się automatycznie, a obrazki są ukryte, więc niewidoczne dla użytkownika. Ustalony w opisany sposób identyfikator lub sygnaturę można regularnie wysyłać do serwera w internecie, a element ten umieszczony w innych witrynach pozwala rozpoznawać internautów lub komputery, z których są odwiedzane. Stosowana na większą skalę metoda ta może służyć do rejestrowania zachowań, a zatem preferencji użytkowników, aby stosownie do tego personalizować wyświetlane treści reklamowe.

Ten sam komputer, lecz dwie różne przeglądarki – Chrome (z lewej) wyświetla zupełnie inny identyfikator niż Firefox (z prawej), choć obie aplikacje przetwarzają ten sam element Canvas.

Ten sam komputer, lecz dwie różne przeglądarki – Chrome (z lewej) wyświetla zupełnie inny identyfikator niż Firefox (z prawej), choć obie aplikacje przetwarzają ten sam element Canvas.