Byznys | Bezpečnost | Evropská unie | Únik dat

Mnohé weby sledují, co přesně děláte. Znají každý pohyb myší a úder do klávesnice

  • EU nutí weby, aby zobrazovaly otravné sušenkové proužky
  • Doba přitom už poněkud pokročila
  • Současná analytika zvládne divy, aniž by to nebohý surfař vůbec tušil

Když se před pár lety napříč evropským webem poprvé objevily dialogy, které žádaly souhlas k ukládání cookies uvnitř prohlížeče, surfař si musel zákonitě postesknout hned z několika důvodů.

Nejen že ty zbytečné proužky každého jen otravují, ale většina webů je zároveň implementuje zcela špatně, a tak původní legislativu dodržuje jen málokdo. Vzorem budiž snad jen weby některých evropských institucí.

Jak je to možné? V původním evropském nařízení se například jasně zmiňuje, že má mít surfař právo odmítnout ukládání cookies. Drtivá většina podobných proužků je přitom ryze informativní: „Ahoj, jen tě chceme informovat, že náš web ukládá cookies.“

768469395
Sušenkový proužek na jednom z webů EU. Vedle tlačítka pro souhlas s ukládáním nabízí i tlačítko pro odmítnutí.
500163353
A takto vypadá sušenkový proužek na většině ostatních webů. Chybí tlačítko umožňující odmítnutí ukládání cookies a není tedy plně validní s bodem 3 a článkem 5 směrnice 2002/58/ES.

Tím to ale nekončí. Ačkoliv většina webů upozorňuje na ukládání cookies, HTML a Javascript dnes umožňují i další techniky trvalého ukládání dat v prohlížeči. Patří sem třeba Local Storage, IndexedDB, Web SQL a další. A co je nejdůležitější, mnohé weby nebo javascripty třetí strany tato úložiště běžně používají, ačkoliv na to jejich sušenkový proužek neupozorňuje. HTTP sušenky – cookies – jsou totiž názvem konkrétní webové technologie RFC 2965 a rozhodně ne cokoliv, co stránka uloží do prohlížeče.

280268964
Naše E15ka v zápatí sice upozorňuje čtenáře, že web ukládá cookies, nicméně stejně tak ukládá do prohlížeče i data pomocí technologie LocalStorage. Cookies je přitom název konkrétní webové technologie, čili se nejedná o zcela korektní řešení.

Evropské „sušenkové právo,“ ačkoliv se mu tak nepřesně říká, se přitom netýká výhradně prehistorických cookies, ale jakýchkoliv dat, která vydavatel uloží do vašeho počítače.

Suma sumárum, celé je to fraška. Legislativu na 100 % naplňuje opravdu málokdo a to jen podtrhuje fakt, jak je tento fenomén unijního internetu nesmyslný a přežitý.

Směrnice 2002/58/ES, článek 5, bod 3

Členské státy zajistí, aby užívání sítí elektronických komunikací k uchovávání informací nebo získávání přístupu k informacím uchovávaným v koncovém zařízení účastníka nebo uživatele bylo povoleno pouze za podmínky, že dotčený účastník či uživatel byl jasně a úplně informován v souladu se směrnicí 95/46/ES, mimo jiné o účelech zpracování, a že je mu správcem údajů nabídnuto právo odmítnout takové zpracování. To nebrání technickému ukládání nebo takovému přístupu, jehož jediným účelem je provedení nebo usnadnění přenosu sdělení prostřednictvím sítí elektronických komunikací nebo, je-li to nezbytně nutné pro poskytování služeb informační společnosti, které si účastník nebo uživatel výslovně vyžádal.

Proč řešit sušenky, když tu jsou mnohem větší strašáci?

Doba přitom opravdu pokročila. Sušenkové právo vznikalo před dlouhými lety, kdy byly cookies velkým tématem. Díky dlouhým lhůtám se ale do ostrého provozu dostalo vlastně až nedávno – ostatně i díky Googlu, který si jeho plnění pro jistotu vymanil u všech partnerů používajících třeba jeho reklamní systém. Nelze se mu divit, EU jej totiž sama dlouho vyšetřuje, a tak nechtěla internetová jednička z Mountain View přilévat další olej do ohně.

Přitom, jestli bychom se dnes, na sklonku roku 2017, měli opravdu něčeho obávat, tak to dozajisté nejsou běžné cookies, ale nástup mnohem pokročilejších technik sledování v reálném čase.

Mnohé weby sledují, co přesně děláte. Znají každý pohyb myší

Právě tomuto novému fenoménu next-gen optimalizace webů se totiž věnuje čerstvá studie princetonského ústavu CITP (Center for Information Technology Policy) publikovaná na jeho blogu Freedom to Tinker.

Tamní postgraduální student Steven Englehardt si vzal na paškál hned několik analytických služeb, které nabízejí takzvanou techniku session-replay. Ve vší stručnosti se jedná o javascript, který sleduje veškeré dění na stránce, když se vám načte v prohlížeči.

Podívejte se, jak ve službě FullStory naskakují údaje o tom, co děláte v prohlížeči pomocí funkce co-browse:

Autor videa: CITP, Princeton

Podobný program může sledovat a nahrávat jak posouvání stránky, tak pohyb ukazatele myši po obrazovce, klikání na odkazy a co je zdaleka nejnebezpečnější, do centrály posílá i veškeré znaky, které vepisujete do formulářových polí.

Fakticky se přitom nejedná o žádný malware, ale o zcela legitimní služby pro optimalizaci webů. Vydavatel takto může sledovat, jak se návštěvníci na jeho stránkách chovají, přičemž získá mnohem detailnější data, než mu může podat běžné počítadlo návštěv nebo třeba Analytics od Googlu, který jistě zná drtivá většina čtenářů.

Ďábel je však skrytý v detailu a v tomto případě to platí dvojnásob. Englehardt vyzkoušel pět služeb, které techniku session-replay nabízejí: FullStory, UserReplay, SessionCam, HotJar, Yandex a SmartLook a zjistil, že mnohé odesílají na servery i osobní data surfařů, což je už problém. Obrovský problém!

Služby zachytí jména, e-maily i čísla platebních karet

Například taková zaznamenávací technologie ruského Yandexu při zachytávání textových řetězců vyplňovaných ve formulářích skryla pouze heslo a bez problému zasílala klientům vyplněná čísla platebních karet i veškeré kontaktní údaje.

711599214
Co ve výchozím stavu zaznamenává pět služeb nabízejících techniku session-replay. Bílé kolečko: data se posílají v plné podobě, černé kolečko: data se neposílají, černobílé kolečko: data jsou částečná (třeba poslední čtyřčíslí karty apod.). Zdroj: CITP, Princeton

Jiné služby sice údaje o platební kartě anonymizovaly, nicméně to už nečinily v případě kontaktních údajů, takže se na serveru nahrávala veškerá činnost během návštěvy stránky, a pokud surfař vyplňoval osobní údaje, bylo jej možné přímo identifikovat.

Co je však zdaleka nejhorší, některé tyto služby umožňovaly přehrávání podobných údajů nešifrovaným spojením a to i v případě, kdy zdrojová stránka používala HTTPS. Podobná data nemají na nešifrovaném webu co pohledávat.

66647863
A další příklad: Stisky kláves při vyplňování čísla platební karty se zasílají do analytické služby. Zdroj: CITP, Princeton

Děsivá představa. Jak je ale reálná?

Těžko říci, weboví vydavatelé se samozřejmě veřejnosti nechlubí, jaké analytické technologie na svých webech používají, takže nezbývá než vlastní audit. Englehardt jej provedl a strojově prozkoumal tisíce nejnavštěvovanějších webů podle žebříčku Alexa.

970934573
Na webu Princetonu najdete výsledky pro nejnavštěvovanější weby světa. Problematické jsou ty označené „evidence of session recording“

Nějaké analytické skripty dnes už pochopitelně obsahují všechny a není na tom nic divného. I my na Živě.cz potřebujeme vědět, které články vás zajímají, v jakých prohlížečích surfujete a kolik vás asi je – to je zase klíčové pro zadavatele reklamy.

Rozlišit běžnou analytickou službu od těch, které nahrávají dění na stránce, je však už oříšek, nicméně se zadařilo a tým z Princetonské univerzity zjistil, že alespoň nějakou formu podezřelé aktivity v prohlížeči najdete i na některých doménách Adobe, Lenova nebo třeba Microsoftu.

128815130
Na našich webech najdete analytické skripty HotJar, nemělo by se ale jednat o žádné pokročilé sledování.

U takto silných jmen asi není na místě strach, že by nás zrovna Adobe chtělo okrást o osobní data, problém však spočívá v tom, že by surfař měl o podobných praktikách vědět. Drtivá většina z nás o tom však nemá páru a nemylte se, takto agresivní skripty většinou automaticky nezablokuje ani funkce Do Not Track mnoha prohlížečů nebo třeba AdBlock.

Pokud chce tedy Evropa varovat surfaře před potenciálními nebezpečenstvími současného internetu, možná by měla namísto vágních sušenkových legislativ, které pouze obtěžují, bojovat za transparentnost spíše takových analytických systémů, které každého surfaře na webu promění v nevědomého pokusného králíka s hrozbou úniku osobních dat.

Proč má klávesnice rozložení písmen zrovna QWERTZ? Vše začalo už v 19. století

Diskuze (40) Další článek: Androidy odesílají Googlu svou polohu, i když je určování polohy vypnuté

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , ,