Подавляющее большинстве сайтов, которые вы посещаете, отправляет ваши данные сторонним компаниям, обычно без вашего разрешения или даже уведомления. Это вовсе не новость, просто стал известен масштаб этой трагедии. Исследователь из Пенсильванского университета Тим Либерт опубликовал исследование на эту тему: ваши данные утекают с девяти из десяти веб-сайтов.
Либерт использовал собственное программное обеспечение под названием webXray. Его же он использовал в прошлом, чтобы анализировать трекеры на сайтах, посвящённых здоровью и порнографии. Оказалось, что не только порно-сайты делятся персональными данными своих гостей.
«Сайты, с которых утекают ваши данные, взаимодействуют в среднем с девятью внешними доменами», — пишет Либерт в Международном журнале связи. Когда вы заходите на какой-либо сайт, например Airbnb.com, Yahoo.com или Motherboard.tv, то этот сайт отправляет информацию о вас другим сайтам, включая Google через Google Analytics, установленную на 46% сайтах в мире, и Facebook. Либерт обнаружил, что восемь из десяти сайтов загружают Javascript из других источников на компьютер пользователя. Отслеживание является совершенно эндемичным.
Если вы посетите любой из миллиона популярных веб-сайтов, то в 90% случаев сторонние сайты получат информацию о вашем просмотре. Даже если вы используете настройки, при которых ваш браузер явно сообщает веб-сайту «Не отслеживать» вас, большинство компаний их проигнорируют. Львиная доля трекинга пользователей приходится на Google — он получает данные о людях на 80% сайтов и игнорирует сигналы DNT (Do not track). Представитель Google не прокомментировал исследование, но указал на пользовательское соглашение. В нём указано, что согласно политике компании Google Analytics не отправляет персональную информацию любого типа.
Либерт говорит, что Google вводит пользователей в заблуждение: они не имеют выбора, они не могут отказаться от отслеживания их действий аналитическим программным обеспечением от Google, не могут проверить, какие сайты работают с Google Analytics. То же касается Facebook и большинства других интернет-компаний. Исключением является Twitter — он обращает внимание на DNT-настройки. «Если бы все компании вели себя, как Twitter, я не стал бы жаловаться на эту проблему».
Либерт упомянул об информации, выданной Эдвардом Сноуденом. По сути, не Агентство Национальной Безопасности шпионило за людьми — оно шпионило за компаниями, которые шпионили за пользователями. «Даже если компании говорят, что у них не установлено программное обеспечение PRISM и они не сотрудничают с АНБ, это не меняет тот факт, что они создали готовую мастерскую с персональными данными для любой службы разведки. Компании создали возможность следить за людьми экономически целесообразным способом — военные подрядчики на такое неспособны».
Что делать, чтобы за вами не следили? Либерт считает Tor одним из лучших вариантов, но только если вы не будете логиниться в аккаунты на Facebook, Google и других сайтах, чтобы вас нельзя было идентифицировать.
Либерт использовал собственное программное обеспечение под названием webXray. Его же он использовал в прошлом, чтобы анализировать трекеры на сайтах, посвящённых здоровью и порнографии. Оказалось, что не только порно-сайты делятся персональными данными своих гостей.
«Сайты, с которых утекают ваши данные, взаимодействуют в среднем с девятью внешними доменами», — пишет Либерт в Международном журнале связи. Когда вы заходите на какой-либо сайт, например Airbnb.com, Yahoo.com или Motherboard.tv, то этот сайт отправляет информацию о вас другим сайтам, включая Google через Google Analytics, установленную на 46% сайтах в мире, и Facebook. Либерт обнаружил, что восемь из десяти сайтов загружают Javascript из других источников на компьютер пользователя. Отслеживание является совершенно эндемичным.
Существует один интернет, который вы видите в браузере, и есть другая, скрытая его часть, которая смотрит на вас. В старых телешоу были шутки о том, что кто-то видит вашу гостиную через телевизор. Это глупо и смешно, но сейчас именно так и происходит. За каждой парой глаз наблюдают десять или более пар.
Если вы посетите любой из миллиона популярных веб-сайтов, то в 90% случаев сторонние сайты получат информацию о вашем просмотре. Даже если вы используете настройки, при которых ваш браузер явно сообщает веб-сайту «Не отслеживать» вас, большинство компаний их проигнорируют. Львиная доля трекинга пользователей приходится на Google — он получает данные о людях на 80% сайтов и игнорирует сигналы DNT (Do not track). Представитель Google не прокомментировал исследование, но указал на пользовательское соглашение. В нём указано, что согласно политике компании Google Analytics не отправляет персональную информацию любого типа.
Либерт говорит, что Google вводит пользователей в заблуждение: они не имеют выбора, они не могут отказаться от отслеживания их действий аналитическим программным обеспечением от Google, не могут проверить, какие сайты работают с Google Analytics. То же касается Facebook и большинства других интернет-компаний. Исключением является Twitter — он обращает внимание на DNT-настройки. «Если бы все компании вели себя, как Twitter, я не стал бы жаловаться на эту проблему».
Либерт упомянул об информации, выданной Эдвардом Сноуденом. По сути, не Агентство Национальной Безопасности шпионило за людьми — оно шпионило за компаниями, которые шпионили за пользователями. «Даже если компании говорят, что у них не установлено программное обеспечение PRISM и они не сотрудничают с АНБ, это не меняет тот факт, что они создали готовую мастерскую с персональными данными для любой службы разведки. Компании создали возможность следить за людьми экономически целесообразным способом — военные подрядчики на такое неспособны».
Что делать, чтобы за вами не следили? Либерт считает Tor одним из лучших вариантов, но только если вы не будете логиниться в аккаунты на Facebook, Google и других сайтах, чтобы вас нельзя было идентифицировать.
Комментарии (18)
amarao
07.11.2015 23:40+5Request Policy же!
Хабр тоже отправляет данные в гугль. Красные ссылки — заблокированные URL'ы:
mullinsmikey
08.11.2015 20:41+1Ой, боюсь, заминусуют как всегда за коммент.
Почти всё то же самое режется и Ghostery.
Скрин
amarao
08.11.2015 21:55Ghostery работает в другом режиме — это блэклист «плохих». Request Policy же вообще не различает «хороших» и «плохих», просто предоставляя возможность пользователю контролировать, какой сайт к какому сайту может обращаться.
То есть RequestPolicy более низкоуровневый и универсальный. Ghostery — более консьюмерский. В частности, RP может ломать (и ломает!) сайты, а G — пропускает то, к чему «не приучен».
5x86
08.11.2015 03:26+1Использую ScriptSafe для Хрома и разрешаю минимальное количество скриптов, нужных для функционирования необходимого сайта. Этого ведь достаточно, или нет?
На примере Geektimes:
mpetrunin
08.11.2015 11:43Дополнительно есть вариант использование браузера от Столлмана: IceCat. Это тоже свободная модификация Firefox со следующими изменениями:
- LibreJS: GNU LibreJS aims to address the JavaScript problem described in Richard Stallman's article The JavaScript Trap.
- Https-Everywhere: Extension that encrypts your communications with many major websites, making your browsing more secure.
- SpyBlock: Blocks privacy trackers while in normal browsing mode, and all third party requests when in private browsing mode. Based on Adblock Plus.
- AboutIceCat: Adds a custom «about:icecat» homepage with links to information about the free software and privacy features in IceCat, and checkboxes to enable and disable the ones more prone to break websites.
- Fingerprinting countermeasures: Fingerprinting is a series of techniques allowing to uniquely identify a browser based on specific characterisics of that particular instance (like what fonts are available in that machine). Unlike cookies the user cannot opt-out of being tracked this way, so the browser has to avoid giving away that kind of hints.
Не то, чтобы там было что-то, чего нельзя добиться, установив дополнение к Firefox (разве, что не очень понятно, что именно имеется ввиду под Fingerprinting countermeasures), но удобно, что всё это в одном флаконе, плюс почему-то на подсознательном уровне по-умолчанию доверия в области приватности у меня больше к фанатикам из Фонда свободного программного обеспечения, чем к непонятным для меня разработчикам расширений (того же Ghostery, которое пытается собирать какую-то «анонимную статистику», и непонятно, чем в таком случае отличается от тех, кого оно блокирует).
mpetrunin
08.11.2015 12:19+1Вообще, тема, затрагиваемая в топике — это вопрос вашего личного мироощущения. В целом на куче сайтов подключены сторонние службы:
- Учёт статистики (Google Analytics, Яндекс.Метрика и т.п.)
- Кнопки «Поделиться в соц. сетях» (Facebook, Одноклассники, Вконтакте и т.п.)
- Подгрузки Javascript-библиотек с внешних серверов (для ускорения загрузки)
- Загрузка и отображение картографических данных
- Обращение к API внешних сервисов (упомянутые карты, комментарии из соц. сетей, более специфичные данные)
и т.п.
В целом, намерения сайтостроителей чаще всего чисты и невинны. Они действительно хотят учесть статистику, дать возможность делиться в соц. сетях, ускорить загрузку страницы (ускорив загрузку JS-библиотек) и отобразить карты и прочее. Однако, конечно, мало кто задумывается о том, что за счёт этого удобства потенциально страдает приватность пользователя. Действительно, часть тех данных, которые по-умолчанию отправляются на сторонние сервера могут вас идентифицировать в тех ситуациях, когда вы этого не ожидаете.
Большинство людей или не знают о проблеме (что происходит чаще ввиду низкого уровня компьютерной грамотности) или сознательно её игнорируют (из серии «мне нечего скрывать»). Мне кажется следующая аналогия хорошо показывает порочность второго подхода. Представьте, что вы заходите в туалет, в котором есть две кабинки. Про первую вы 100% знаете, что там в унитаз вмонтирована камера, во второй кабинке её скорее всего нет. Понятно, что вам нечего скрывать, ведь все люди рано или поздно садятся на унитаз, но всё же, какую кабинку вы выберете? Обычно, люди отвечают, что вторую, и даже те, которые в вопросе веб-приватности утверждают, что им нечего скрывать, поэтому пусть следят.
Один мой друг поступает очень забавно. Он использует бразуер Epic, который позиционируется как браузер, нацеленный на защиту приватности. При этом у него закрытый исходный код, и у тебя нет никакой возможности проверить, что он там делает на самом деле. Что конечно, абсурд, на мой взгляд.
Лично я рекомендую или Firefox + набор расширений: noscript + ghostery + mublock (+ httpseverywhere и прочие, указанные выше). Или ещё какие-нибудь из списка (англ.). Или, что лучше, бразуер IceCat, из комментария выше.
В этом смысле Google Chrome (или открытый Chromium) мне не кажется приватным из-за большого количества скандалов, с ним связанных (см., например, раздел Критика в википедии).
Mixim333
08.11.2015 17:08А я думал, что это лишь у меня паранойя разыгралась — искал цветы и некоторые другие товары для покупки через Яндекс неделю назад, теперь Яндекс показывает рекламу указанных товаров + некоторые другие сайты, которые раньше показывали всякую мишуру, отображают то же самое…
ZoomLS
Ещё можно пользоваться связкой расширений, которые будут блокировать всю эту гадость.
t3kkitz
Зачем пачкой? Расширение «Ghostery» решает вопрос
powerman
Лучше Ghostery, чем вообще ничего, но вообще-то это детский сад и вопрос оно далеко не решает. Вопрос почти полностью решается (под Firefox) связкой NoScript + RequestPolicy Continued + RefControl + контроль и блокирование 3rd-party cookies (напр. Cookie Monster), к которым желательно добавить по вкусу какой-нить AdBlock, HTTPS Everywhere, Pure URL… ну и заблокировать все плагины (особенно Flash и Java) кроме тех сайтов где они реально нужны.
Плохо только то, что во-первых даже продвинутый пользователь не справится с настройкой NoScript + RequestPolicy + RefControl (когда дело доходит до покупок на сайтах даже для меня процесс «разрешить достаточно чтобы прошёл платёж, но ничего избыточного» достаточно сложен и требует немало времени/внимания — спасает только то, что таких сайтов у меня не так много и сделать это достаточно однократно по каждому сайту), и во-вторых это всё-равно не «решает вопрос» полностью — остаётся ещё немало извращённых, но вполне рабочих способов отслеживания.
extempl
Кстати, adblock + ghostery = uBlock. Может быть не с такой гибкой настройкой блокировок, как у ghostery, но всё же.
P.S. Это скорее ответ на комментарий выше.
Gendalph
А ничего аналогичного RequestPolicy под chrome нету?
Gendalph
Сам же себе и отвечу: похоже uMatrix реализует то же что и RequestPolicy
CeyT
«Ghostery» развивает, на близкое будущее, поведенческие и прочие методы слежки за пользователем без cookies (удобно посылая сигнал о начале сессии пользователем) и одновременно борется с отсталыми конкурентами, блокируя их.