RSS

Uwaga! Ciasteczko!

Liczba odsłon: 83

22 mar­ca 2013 ro­ku zo­stał wpro­wa­dzo­ny obo­wią­zek in­for­mo­wa­nia czy­tel­ni­ków o prze­cho­wy­wa­niu tak zwa­nych cookies na ich kom­pu­te­rach. Intencją usta­wo­daw­cy by­ło naj­wy­raź­niej zmniej­sze­nie stop­nia śle­dze­nia użyt­kow­ni­ków kom­pu­te­rów przez przed­się­bior­ców pro­wa­dzą­cych ser­wi­sy inter­ne­to­we WWW.

O tym, czym są cias­tecz­ka (ang. cookies), dla­cze­go ge­ne­ral­nie nie są nie­bez­piecz­ne i kie­dy po­tra­fią być mi­mo wszyst­ko groź­ne, pi­sa­łem dzie­więć lat te­mu. W skró­cie, cias­tecz­ko to do­wol­na ilość in­for­mac­ji, do­wol­nie naz­wa­na i ściś­le po­wią­za­na z do­me­ną DNS, w ra­mach któ­rej ist­nie­je ser­wis inter­ne­to­wy. Strony WWW naj­częś­ciej ko­rzy­sta­ją z cias­te­czek do prze­cho­wy­wa­nia in­for­mac­ji o ses­ji użyt­kow­ni­ka (ob­cho­dząc w ten spo­sób prob­lem bez­sta­no­wo­ści pro­to­ko­łu HTTP), jed­nak częs­to cias­tecz­ka słu­żą też re­kla­mo­daw­com do ka­ta­lo­go­wa­nia od­wie­dza­nych przez użyt­kow­ni­ka stron i pro­fi­lo­wa­nia re­klam.

Wprowadze­nie no­wych prze­pi­sów nie za­owo­co­wa­ło jed­nak zmniej­sze­niem stop­nia in­wi­gi­la­cji użyt­kow­ni­ków w Sieci. Skutek jest wręcz od­wrot­ny do za­mie­rzo­ne­go: pra­wie wszyst­kie ser­wi­sy inter­ne­to­we wy­świet­la­ją te­raz mniej­sze lub więk­sze ostrze­że­nia o tym, że ko­rzy­sta­ją z cias­te­czek. Najśmiesz­niej­szy – a za­ra­zem cał­ko­wi­cie roz­sąd­ny – jest przy tym ko­mu­ni­kat, któ­ry moż­na zo­ba­czyć na stro­nach ser­wi­su Funiaste.net:

Jakiś uwa­lo­ny wi­nem ma­to­łek (po­trzeb­ne naz­wis­ko) z Unii Europej­skiej uznał, że cias­tecz­ka na stro­nach w Inter­ne­cie nio­są za so­bą ry­zy­ko za­ra­że­nia wąg­li­kiem. Stąd ta jak­że po­trzeb­na ram­ka, któ­rą trze­ba te­raz klik­nąć, że­by oglą­dać Funiaste bez prze­szkód. Serwis ten uży­wa cias­te­czek przy okaz­ji sta­tys­tyk Google Analytics, ser­wo­wa­nia re­klam oraz do za­pa­mię­ta­nia loginu i has­ła, jeś­li nie chce ci się wpi­sy­wać tych in­for­mac­ji po­now­nie. Dajcie mi naz­wis­ko te­go, kto to wy­my­ślił, to bę­dę nim po­mia­tał przy każ­dej moż­li­wej okaz­ji.

Ramkę z tym na­pi­sem moż­na przy­naj­mniej zam­knąć. Do śmie­chu nie jest jed­nak w sytu­acji, gdy ser­wis WWW in­for­mu­je o ko­rzy­sta­niu z cias­te­czek na każ­dej ze stron skła­do­wych i mi­mo za­my­ka­nia ram­ki otwie­ra ją po­now­nie. Dzieje się tak naj­częś­ciej – o iro­nio! – gdy wy­łą­czy­my moż­li­wość prze­cho­wy­wa­nia cias­te­czek.

Zamiast uchwa­lać no­we­li­za­cję pra­wa, któ­re od ra­zu jest ośmie­sza­ne i omi­ja­ne, usta­wo­daw­ca po­wi­nien za­jąć się sed­nem prob­le­mu, czy­li pry­wat­no­ścią użyt­kow­ni­ków Inter­ne­tu. Śledzenie użyt­kow­ni­ków w ce­lach ko­mer­cyj­nych, ta­kich jak pro­fi­lo­wa­nie ogło­szeń, po­win­no być wprost za­bro­nio­ne. Nielegal­ne po­win­no być rów­nież two­rze­nie sta­łych pro­fi­li użyt­kow­ni­ka, po­łą­czo­ne z pró­bą jed­no­znacz­ne­go iden­ty­fi­ko­wa­nia kom­pu­te­rów i użyt­kow­ni­ków — choć­by mia­ło słu­żyć wy­łącz­nie ce­lom sta­ty­stycz­nym. Gdyby wpro­wa­dzo­ne zo­sta­ły ta­kie re­gu­ły, ewen­tu­al­ne ostrze­że­nia o ko­rzy­sta­niu z cookies mia­ły­by sens, gdyż by­ły­by obec­ne na co czwar­tej stro­nie WWW, a nie na wszyst­kich.

Mój ser­wis WWW ko­rzy­stał swe­go cza­su z cias­te­czek w ce­lu zwięk­sza­nia do­kład­no­ści zli­cza­nia uni­ka­to­wych od­wie­dzin. Przez pe­wien czas zresz­tą ła­ma­łem w pe­wien spo­sób pra­wo, gdyż nie wpro­wa­dzi­łem nig­dy ko­mu­ni­ka­tu ostrze­gaw­cze­go. Jak jed­nak wspom­nia­łem we wczo­raj­szym wpi­sie blo­gu, no­wa wer­sja Świata Owo­ców w ogó­le nie uży­wa cias­te­czek, nie mo­ni­to­ru­je użyt­kow­ni­ków, nie pró­bu­je ich iden­ty­fi­ko­wać ani in­wi­gi­lo­wać. Dzięki te­mu nie znaj­dzie­cie na moich stro­nach żad­ne­go ostrze­że­nia.


Odnośnie ostatniego akapitu, to cieszy taka postawa. Jednak przy próbie wejścia na ten serwis z wyłączonym przekazywaniem UserAgenta pojawia się komunikat jak poniżej:

"Warning: error_log(/var/log/apache2/useragent.log) [function.error-log]: failed to open stream: Permission denied in /home/http/_templates/top-std.inc.php on line 9
Twoja przeglądarka nie wysyła informacji na temat swojej wersji. Popraw konfigurację, aby uzyskać dostęp do mojego serwisu WWW. | Your web browser does not send User Agent information. Correct it."

UserAgent jest często wykorzystywany do identyfikacji użytkowników.
Usunąłem komunikat błędu. Natomiast wymóg obecności User-Agent jest zabezpieczeniem mojego serwisu przed niektórymi botami, które nie identyfikowały się w żaden sposób a pobierały zawartość całego serwisu. Poza tym na podstawie User-Agent mam możliwość reagowania na specyfikę niektórych przeglądarek; na razie tego nie robię w nowej wersji serwisu, ale planuję na przykład obsługiwać przeglądarki nie obsługujące HTML5 w pełni.
Co do możliwości identyfikowania: na pewno jest to pewna informacja o użytkowniku, ale nie identyfikująca go jednoznacznie: miliony ludzi mają taki sam nagłówek User-Agent. W pewnym sensie adres IP dużo bardziej identyfikuje użytkownika.
@Radosław Sokół
Co do ostatniego akapitu to owszem, adres IP bardziej identyfikuje użytkownika, ale w połączeniu z UserAgent pozwala niemal jednoznacznie określić osobę, nawet w sytuacji, gdy adres IP jest używany przez wiele osób.

Ponadto, zgadzam się z tym, że taki sam UserAgent mają miliony osób, ale z całym szacunkiem, nie sądzę, by ten serwis miał tak szerokie grono czytelników, więc mając sam UserAgent można z dużym prawdopodobieństem zidentyfikować użytkownika i śledzić jego działania w jego ramach. Tym bardziej, że łatwo odsiać przypadkowych użytkowników na podstawie nagłówka HTTP-referrer.

Dodatkowo UserAgent jest znaczącym elementem sygnatury przeglądarki (browser's fingerprint), która służy do identyfikacji użytkowników, więcej jest opisane tutaj: http://niebezpiecznik.pl/post/internet-cie-sledzi-i-namierza-bron-sie/
Narzędzie do analizy swojej sygnatury: https://panopticlick.eff.org/index.php

W poniższym linku opisano ciekawy przypadek dziennikarza, który w swoim eksperymencie polegajacym na próbie zniknięcia z Internetu prowadzać jednocześnie normalne życie. Został odnaleziony przez pracownika Microsoft właśnie na podstawie sygnatury przeglądarki. Link: http://osnews.pl/cyfrowy-odcisk-palca-teraz-juz-sie-nie-ukryjesz/
Podlinkowany artykuł jest tak ogólny, że trudno niestety traktować go bardzo wiarygodnie.
W każdym razie zapisałem sobie ten temat jako pomysł do późniejszego rozwinięcia, zatem w najbliższym czasie można się spodziewać w moim serwisie artykułu dotyczącego możliwości identyfikowania użytkowników WWW.