Facebook pomocí tlačítka pro sdílení a dalších widgetů sleduje, na jakých stránkách surfujete, i když nejste přihlášení. Nechci být za cynika, ale toto přece dělají nejspíš úplně všichni.
Minulý týden opět propukla kauza s velkým a zlým Facebookem. Deník USA Today ve své technologické rubrice přispěchal s vyjádřením, jakým způsobem sleduje sociální síť své surfaře. To je totiž v tomto roce velmi žhavé téma zvláště v zámoří a Facebook bude v následujících měsících čelit s největší pravděpodobností hned několika žalobám.
Jak funguje sledování vašeho surfování
O co ve stručnosti jde? Lidem se nelíbí, že Facebook sleduje naši aktivitu na webu a to dokonce i v případě, když nejste přihlášení. Jak to funguje? Je to vcelku prosté. Facebook je natolik velký, že nemusí do vašeho počítače instalovat ani nejrůznější malware, ani lišty pro Internet Explorer a Firefox, které by na jeho servery permanentně posílaly informace o tom, kde zrovna surfujete. Dělá to poměrně jednoduše, protože každá druhá stránka na webu dnes obsahuje nějaký ten widget od Facebooku – typicky třeba tlačítko pro sdílení
Drtivou většinu podobných tlačítek a widgetů na stránce ve skutečnosti tvoří vložený rámec IFRAME, ve kterém se načte stránka z webu Facebooku, Twitteru a dalších. Tato stránka se pak od prohlížeče dozví adresu původní stránky, parametry prohlížeče, IP adresu a uloží do prohlížeče sušenku Cookie s unikátním identifikátorem. Některé weby používají i potenciálně trvalejší a sofistikovanější paměť prohlížeče dostupnou pomocí HTML5.
Při prvním zobrazení nějakého toho sociálního widgetu se vám tedy v paměti prohlížeče vygeneruje unikátní identifikátor a při návštěvě jiné adresy s vloženým rámcem sociálního widgetu už pouze jeho skript sdělí centrálnímu serveru, že surfař s identifikátorem 123456789 navštívil v tu a tu hodinu tuto stránku. Po měsíci pak má provozovatel k prozatím anonymnímu identifikátoru záznam bohaté činnosti ve vašem prohlížeči. Anonymita je ale relativní, zpravidla se totiž ukládá i IP adresa a to už může být v mnoha případech zajímavý údaj. Pokud vám totiž DHCP server vašeho poskytovatele přiděluje stále dokola tu samou IP adresu (třeba UPC), vedle hromady výhod s tím spojených budete na internetu i mnohem snáze dohledatelní. Pokud totiž budete půl roku dostávat třeba IP adresu 78.146.11.48, roznese se při vašem surfování prakticky po celém webu.
Takto tedy funguje takzvané trackování, proti kterému bojuje celá škála doplňků, firewallů, antivirů a i celé prohlížeče – funkci blokování sledování představil třeba Internet Explorer 9.
Facebook patří při sledování k těm slušnějším
Otázkou teď zůstává, kdo je vlastně největším hříšníkem, trackování totiž z principu používají skoro všechny větší webové reklamní systémy zpravidla pro statistické účely. Facebook přitom patří ještě k těm „hodnějším“, jeho problém tak spočívá především v tom, že je prostě velký, a tak se na něj snadno míří. To je ale v nejlepším pořádku.
Facebook vaši aktivitu na stránkách s jeho sociálními boxíky sleduje pouze v případě, kdy jste přihlášení, anebo když nejprve alespoň jednou navštívíte stránku facebook.com. Pokud si promažete veškeré sušenky Cookies v prohlížeči, žádná sušenka s identifikátorem od Facebooku se jen tak nevytvoří. Pokud se však podíváte na ostatní sušenky, zjistíte, že takový Twitter si okamžitě vytvoří záznam PID s unikátním identifikátorem a bude si jej držet až dva roky. Postupně si vytvoří ještě proměnné guest_id a k (a v přihlášeném stavu hromadu dalších). Potřebovat k tomu bude libovolné stránky s prvkem IFRAME od této sociální sítě, takže třeba i tento článek, ve kterém je ve formě IFRAME zobrazené tlačítko pro sdílení. Nemusíte být přihlášení a nemusíte před tím ani navštívit jeho stránky. Twitter nedokumentuje, k čemu tyto sušenky používá, v každém případě k těmto proměnným získá přístup pokaždé, když v prohlížeči navštívíte nějaké ty stránky s widgetem od Twitteru a může tedy v podstatě sledovat vaši aktivitu (webové adresy) stejným způsobem, jak tak činí Facebook.
Pokud navštívíte ve zcela pročištěném prohlížeči článek na Živě.cz, Facebook ani Google sledovací sušenku nevytvoří, Twitter ovšem kupodivu ano...
Google sleduje ve velkém
Tím nejtypičtějším použitím trackování na webu je optimalizovaná reklama a vyhledávání Googlu. Pokud navštívíte vyhledávač Googlu, v prohlížeči se okamžitě vytvoří sušenka PREF a to nezávisle na tom, jestli jste na Googlu registrovaní či nikoliv. PREF obsahuje několik proměnných složených do dlouhého textového řetězce, v prohlížeči vydrží až dva roky a v podstatě identifikuje vaše hledání.
Google existenci této proměnné vysvětluje tak, že na základě analýzy toho, co hledáte (tedy ne vy, ale tento prohlížeč – resp. IP adresa), může vylepšovat své algoritmy. Pokud totiž budete při hledání termínu „Brno“ pokaždé klepat na výsledek „ŽítBrno.cz“ a společně s vámi to bude dělat i relevantní hromada dalších jedinců, Google usoudí, že adresa www.zitino.cz je relevantní a posune ji ve výsledcích výše.
Při prvním navštívění Googlu se vytvoří sušenka PREF ve které je uloženo několik identifikačních hodnot. Později k ní budou moci přistupovat další služby Googlu včetně wtlačítek +1 na stránkách třetích stran.
Sušenka PREF žije na doméně Google.com, přístup k ní tedy mají i skripty, které se spouští v nejrůznějších tlačítkách +1 (doména plusone.google.com). Sušenka tedy slouží ke sledování i v dalších službách Googlu, na Youtube a společně s dalšími sušenkami Googlu také v kontextové reklamě.
Tajemství sledovací sušenky PREF
Sušenka PREF může vypadat třeba takto:
ID=56ef6740c7be27c4:FF=0:TM=1321897528:LM=1321897528:S=liJr8a_ATTPOSHNR
ID a S jsou jednoznačné identifikátory pro různé situace, TM a LM zase představují čas vytvoření a uložení sušenky. Na straně serveru v případě vyhledávače Googlu může být uložena třeba tato informace:
123.45.67.89 – 21/Nov/2011 19:15:32 – http://www.google.com/search?q=Brno
– Chrome 15.0.874.121; Windows NT 5.1 - 56ef6740c7be27c4
V záznamu se tedy uloží IP adresa, datum, adresa hledání, základní podpis prohlížeče a nakonec identifikátor sušenky ID.
Milovníci plyšáků
Dvousloví „kontextová reklama“ znamená, že by měla s něčím souviset. Tímto kontextem je zpravidla text webu, na stránkách prodejce nábytku by se tedy v ideálních podmínkách zobrazovala reklama odkazující na konkurenci. V praxi tomu tak ale vždy nebývá, související – kontextové reklamy totiž není vždycky dost, zvláště v češtině, a prodejci nábytku by se to asi také moc nezamlouvalo.
Google se tedy snaží reklamu alespoň optimalizovat – sledováním vaši činnosti. Pokud tedy ve vyhledávači stále vyhledáváte stránky o plyšových hračkách, a pokud se i ostatní AdSense reklama ve vašem prohlížeči stále zobrazuje na webech o plyšácích, Google může usoudit, že se vám asi líbí vše z plyše a zařadí vás do imaginární skupiny „milovníci plyšáků“. Vzhledem k tomu, že do této kategorie spadají nejčastěji svobodně ženy a pubertální dívky, možná tedy vaší identifikační sušence a IP adrese přidělí ještě statut „pubertální dívka“. Ve výsledku se to celé může projevit třeba tak, že se vám začne na webech s podporou AdSense zobrazovat reklama na kosmetiku, spodní prádlo, dámské časopisy, nejrůznější seznamky, a pokud se zadaří, tak i na nějakého toho plyšového…
Nastavení optimalizované reklamy od Googlu podle sledovací sušenky
Pokud vás tato představa děsí, nemusíte hned po každém zavření okna prohlížeče promazávat Cookies, stačí navštívit tuto adresu, kde si můžete přidat vlastní kategorie pro nabízenou reklamu, případně zde celou optimalizaci vypnete. Existuje také hromada doplňků pro Chrome, přičemž některé z nich vyvinul i samotný Google.
Jiné doplňky zase prohledávají všechny iframy s kódem z cizí domény na webové stránce a můžete je pak před jejich načtením zablokovat, čímž automaticky zamezíte ve sledování. Zní to lákavě, zároveň tak ale pochopitelně zablokujete i samotné služby, nebudete tedy moci stránkám dávat +1, „Líbí se mi“ na Facebooku, nebudete je moci přes tlačítko rychle sdílet na Twitteru a tak dále. Je to pouze na vás.
Máme se bát?
Lze takto nasbírané informace zneužít? Ale jistěže ano! Pokud často nečistíte prohlížeč, sušenky, paměť HTML5 a také lokální paměť Flash Playeru (na tu se často zapomíná, jsou to v podstatě flashové Cookies) vydrží v prohlížeči podle jejich nastavení skutečně i dlouhé měsíce a za tu dobu může poskytovatel těchto sušenek ve spojení s nejrůznějšími vloženými objekty – sociálními tlačítky a reklamami nasbírat skutečně ohromné množství dat. Zároveň ale díky stejnému principu můžete používat třeba automatické přihlašování.
Pro Firefox a Chrome najdete hromadu doplňků pro analýzu sušenek Cookies, všechny prohlížeče pak dnes nabízí konzoli pro vývojáře, která si se sledováním Cookies zpravidla poradí nejlépe. Na obrázku: vpravo nahoře nabídka doplňku Edit This Cookie a dole pak komplexní panel Nástroje pro vývojáře v prohlížeči Chrome
Nakonec jde tedy především o to, kdo tato data sbírá. U velkých internetových firem jako je Google, Facebook a Twitter se asi nemusíme bát nějakého zneužití. Markovi Zuckerbergovi osobně je skutečně jedno, kde v posledním roce surfoval jeden z osmi set milionů surfařů na jeho sociální síti a jistě nebude vaší partnerce sdělovat, že to byly z 90 % erotické stránky hrubšího zrna. Podobná relevance vaši osoby pak bude platit i v případě Twitteru a Googlu.
Pokud by měl o taková data zájem skutečný záškodník, musel by buď zaútočit na tyto statistické servery Facebooku a dalších hráčů, případně by musel vybudovat svůj vlastní systém sledování. Jenže, jaký web si pak na své stránky dobrovolně umístí jeho měřící kód? Snad jen ty undergroundové a podezřelé weby psané azbukou a v čínštině, pochybné pornostránky a pak možná i regulérní weby se špatným zabezpečením, na které umístil měřící kód útočník bez vědomí administrátora. I to se koneckonců stává.
