Jak cię śledzą w internecie

Wprawdzie śledzenie użytkowników online w celach reklamowo-marketingowych to nic nowego, niedawno zrobiło się bardzo głośno o bardzo skutecznej metodzie Canvas Fingerprinting. Podpowiadamy, na czym polega i jak się przed nią chronić.


Czy wiesz, jaką cechę wspólną mają internetowe witryny T-Online, Peugeota, Adidasa i wiele innych z portalem Białego Domu? Wszystkie dysponują technologią Canvas Fingerprinting, a więc mogą (lub mogły) pozyskiwać swoisty odcisk palca od przeglądarek internetowych odwiedzających je internautów. Taki ślad pozwala zidentyfikować przeglądarkę, a zarazem jej użytkownika. Wybór czasu przeszłego ma w tym wypadku kluczowe znaczenie, bo większość operatorów wspomnianych witryn nawet nie wiedziała o tych możliwościach, a gdy zostały ujawnione, natychmiast je wyłączyła.

Nasuwa się pytanie, jak to możliwe, że operatorzy portali internetowych nie wiedzieli o technologii pozostawiania sygnatur przez odwiedzających. Aby udzielić na nie odpowiedzi, trzeba przytoczyć kilka faktów, które miały miejsce, zanim upubliczniono zasady działania metody Canvas Fingerprinting. Latem 2014 r. belgijska uczelnia z Leuven opublikowała we współpracy z Uniwersytetem Princeton (USA) najnowsze odkrycia w zakresie stosowania cyfrowych śladów w postaci sygnatur (więcej informacji). W trakcie swoich badań naukowcy przeanalizowali 100 000 najczęściej odwiedzanych witryn z całego świata, sprawdzając, czy korzystają z metod identyfikowania przeglądarek i odwiedzających je osób. Szczególną uwagę poświęcili nie tylko niezniszczalnym plikom zombie cookie (są przywracane automatycznie przez aplikację Evercookie) i mechanizmom synchronizowania plików cookie pomiędzy odrębnymi sieciami reklamowymi, lecz również wówczas mało znanej metodzie o nazwie Canvas Fingerprinting.

Zobacz również:

  • Tracker Detect - Apple AirTag zyskują kompatybilność z Androidem
Jak cię śledzą w internecie

To tylko niektóre witryny, w których śledzono (niekiedy bez zgody operatora) internautów metodą Canvas Fingerprinting.

Jak się okazało, ponad pięć procent badanych obiektów, a więc ponad 5500 witryn internetowych stosowało skrypty tworzące ślady odwiedzin w celu identyfikowania internautów bez używania plików cookie. Na opublikowanej w internecie liście rezultatów badań można znaleźć nie tylko polskie domeny, których dotyczy problem (kolumna Site URL), lecz także domenę śledzącą lub takową usługę (kolumna Fingerprinting Domain). Wystarczy wpisać .pl w polu Search. Stawce portali śledzących przewodzi z ogromną przewagą serwis AddThis.

Należy zauważyć, że większość operatorów witryn, które znalazły się na liście, wcale nie wiedziała o technologii dostępnej na jej stronach. Wytłumaczyła to w wiarygodny sposób. Przedsiębiorstwa zleciły zewnętrznym firmom marketingowym realizowanie reklam online. To stosowana powszechnie praktyka. Tymczasem sprzedawcy reklam użyli wspomnianych mechanizmów śledzenia, nie powiadamiając o tym swoich zleceniodawców. Niektórzy operatorzy witryn uznali to postępowanie za oburzające i odcinają się od takich metod. Firma marketingowa Ligatus przyznaje zaniedbania po swojej stronie i określając cały proceder mianem „projektu badawczego”. Wyraża swoje ubolewanie nad zaistniałym faktem i wyjaśnia, że ze względu na nieporozumienie wewnątrz firmy nie dostarczono operatorom witryn informacji o przeprowadzaniu takich badań.

Obecnie przynajmniej Ligatus nie stosuje już skryptów śledzących, lecz przypuszcza się, że są one nadal w stałym użyciu przez inne firmy marketingu internetowego na całym świecie. Niemniej jednak nie ma nowszych badań, które potwierdziłyby tę tezę. Ostatecznie, to zwyczajny przypadek sprawił, że eksperci IT wpadli w ogóle na ślad tych nowych metod identyfikowania komputerów lub przeglądarek internetowych. Na analizę przeznaczono kilka dni, a więc raczej niewiele czasu jak na badania tego rodzaju. Przeprowadzono je na początku maja 2014 r. Nie wiadomo, jak długo opisane metody śledzenia były stosowane do tego czasu.

Jak cię śledzą w internecie

Kwestia zaufania – ten serwis marketingowy zapewnia w swojej witrynie funkcję Opt-Out (www.addthis.com/privacy/opt-out), która ma blokować śledzenie użytkowników.

Canvas Fingerprinting – co to jest i na czym polega

Co kryje się za tym pojęciem? Wyraz canvas oznacza w obiegowej angielszczyźnie płótno lub malowidło. W języku HTML określa się tym słowem element do tworzenia obrazków w kodzie JavaScript. Zapewnia gradienty, kształty, bitmapy i inne elementy graficzne, a także tekstowe. Element Canvas znajduje zastosowanie m.in. w generowaniu animowanych grafik. Wchodzi w skład standardu HTML 5 i jest obsługiwany przez wszystkie przeglądarki internetowe (w obecnych wersjach).

Elementy Canvas nadają się do identyfikowania użytkowników, a więc do ich śledzenia, bo każdy komputer i każda przeglądarka internetowa tworzą za ich pomocą obiekty graficzne o nieco innym wyglądzie. Opisany efekt odkryło dwóch naukowców ponad dwa lata temu (więcej informacji). Choć różnice w wyglądzie obiektów graficznych są minimalne, więc nie sposób dostrzec ich gołym okiem na ekranie, widać je wyraźnie w kodzie źródłowym grafiki. Komputer wyposażony w określoną przeglądarkę internetową generuje unikatową grafikę, którą można przekształcić w specyficzny adres URL lub sygnaturę (wartość haszowania). W internecie roi się od przykładów, które demonstrują tworzenie takich cyfrowych odcisków palca lub sygnatur na podstawie elementów Canvas. Jeden z nich mieści się w portalu dziennikarskim Pro Publica. Wypróbuj działanie mechanizmu śledzącego, klikając wielokrotnie przycisk See your browser’s fingerprint w tym samym komputerze i w tej samej przeglądarce. Przekonasz się, że na ekranie za każdym razem pojawi się ten sam identyfikator – chyba że zmienisz przeglądarkę internetową lub powtórzysz tę czynność w innym komputerze.

Z reguły internauta nie zauważa procederu, o którym mowa, bo odbywa się automatycznie, a obrazki są ukryte, więc niewidoczne dla użytkownika. Ustalony w opisany sposób identyfikator lub sygnaturę można regularnie wysyłać do serwera w internecie, a element ten umieszczony w innych witrynach pozwala rozpoznawać internautów lub komputery, z których są odwiedzane. Stosowana na większą skalę metoda ta może służyć do rejestrowania zachowań, a zatem preferencji użytkowników, aby stosownie do tego personalizować wyświetlane treści reklamowe.

Jak cię śledzą w internecie

Ten sam komputer, lecz dwie różne przeglądarki – Chrome (z lewej) wyświetla zupełnie inny identyfikator niż Firefox (z prawej), choć obie aplikacje przetwarzają ten sam element Canvas.