Google přistižen při obcházení nastavení bezpečnosti v Safari

Wall Street Journal minulý týden přinesl objev nezávislého odborníka na bezpečnost, který zjistil, že Google „trikem“ obchází nastavení bezpečnosti v prohlížeči Safari. O co vlastně v této nové aféře okolo soukromí jde?

Uživatelé Safari na iPhone a iPadech (týká se ale Safari na MAC počítačích) byli šmírování Google pomocí technického triku, který umožnil obejít nastavení prohlížeče. Tak nějak by se dalo shrnout to, s čím přišel Wall Street Journal v Google's iPhone Tracking (a viz též Safari Trackers). Článek hovoří o sledování, o „speciálních počítačovém kódu“ a „monitorování“ uživatelů. Vedle Google stejnou techniku používají podle WSJ i další společnosti.  Skandál? Nebo možná ne tak zcela?

Some companies track the cookies generated by the websites you visit, so they can gather and sell information about your web activity. Safari is the first browser that blocks these tracking cookies by default, better protecting your privacy. Safari accepts cookies only from the current domain (Apple blokování cookies třetích stran uvádí jako konkurenční výhodu)

Onen „speciální počítačový kód“ je (nebo už spíše byl) ve skutečnost FORMulář, který umožňuje skutečně něco obejít. To něco je nestandardní chování Safari – tedy automatické blokování cookies z webů třetích stran. V tomto ohledu se Safari chová jinak, než všechny ostatní prohlížeče. A dělá to buďto prostě proto, že si Apple myslí, že je to dobré pro uživatele. Ale daleko spíše proto, aby to umožnilo Apple omezit konkurenci a podmínky poskytování inzerce na mobilních zařízeních.

Základní princip je ten, že navštívíte web A.cz a ten si „zapamatuje“ vaši návštěvu na webu „C.cz“ (sloužícím třeba pro dodávku inzerce, ale třeba také jako poskytovatel služby pro přihlášení). Pokud později navštívíte web B.cz, může si tento web z webu „C.cz“ získat stejnou „cookie“ (identifikaci) a poznat vás. Ať už pro dodání inzerátu, nebo pro pokračování v přihlášené podobě.

V případě ostatních prohlížečů je možné blokování cookies třetích stran („3rd party“) zablokovat na základě toho, že to udělá uživatel. V Safari jsou „3rd party“ cookies blokovány automaticky a uživatel je musí dokázat odblokovat.

Pokud v původním článku na WSJ přeskočíte řadu odstavců hovořících o šmírování a soukromí, tak nakonec i zjistíte, proč se něco takového dělo – zjevně v souvislosti se zavedením tlačítka „+1“, které bez funkčností „3rd party cookies“ (neboli cookies z webu jiného než toho na kterém jste) nebude fungovat. A také ještě nedávno na iPhone/iPad nefungovalo. Případný pozitivní dojem trochu kazí fakt, že Google tohle obcházení přes FORMulář nasadil proto, aby hlavně fungovalo „+1“ u inzerátů, tedy něco, co nelze zrovna považovat za podstatné s ohledem na uživatele.

„Trik“ použitý Google je starý několik let (viz Anant Arg a jeho Cross-domain cookies/sessions in Safari and all other browsers) a je celou dobu používaný. Včetně toho, že například Facebook právě tento „trik“ doporučuje použít tam, kde je nutné udržet přihlášení uživatele k Facebooku i na iPhone/iPadech. Technické detaily viz například [ANS]Safari – Cross-domain cookies problem.

Facebook samotný tento trik doporučoval používat v developer best practices, které aktuálně nabízejí pouze Page Not Found a původní doporučení už najdete pouze v Google Cache (a moc dlouho tam nejspíš nevydrží). Zábavné řešení, jak se zbavit toho, že Facebook vlastně doporučoval něco, co WSJ označuje za skandální porušování soukromí uživatelů. Součástí doporučení bylo právě použití řešení Ananta Arga.

Cross-domain cookies do not work in Safari
The user authentication information is stored in cookies; however, Safari does not (by default) allow cross-domain cookies to be set. Without the cookie, the app loses the user authentication information across requests. See http://anantgar­g.com/2010/02­/18/cross-domain-cookies-in-safari/.

Anant Arg v Busting the cookies and privacy myth vysvětluje poměrně jasně, jakým způsobem využití FORMuláře funguje a proč je nutné něco takového využívat. Nutné je to skutečně jen a pouze z důvodu toho, že Safari se chová jinak, než se chovají ostatní prohlížeče. A zachování „3rd party“ cookie je nutné v řadě služeb, kde je právě pomocí této techniky například realizováno přihlášení.

Nejde tedy zdaleka o šmírovací technologii, byť v případě Google k určitému „šmírování“ použita byla. Dočasná cookie slouží k tomu, aby uživateli byly dodávány inzeráty. Dodávány tak, jak je tomu v případech, kdy tentýž uživatel používá počítač a na něm nějaké to Chrome, IE, Operu či Firefox.

Zbytečná chyba na straně Google

Aféra okolo „šmírování“ získala vlivem WSJ podstatně větší význam, než jaký ve skutečnosti má. Paradoxní na celé kauze je to, že jde o zbytečnou chybu na straně Google. Vzniklou hlavně tím, že inzerce je u Google dodávána z jiné domény a vzniká tak problém s „3rd party“ cookie. Problém je přitom řešitelný použitím totožné domény – tedy stačilo by zahrnout obsah z Google.com, tak jak je tomu například u aktuálního tlačítka „+1“. Případně by mohl využívat přesměrování (zavřeného v IFRAME) na (opět) Google.com s předáním potřebných parametrů zpět do (například) inzertního systému.

CIF16

Objevitelé nevhodného chování Google v Safari Trackers navíc sami upozorňují, že podobné chování je vlastní u řady dalších služeb – specificky jmenují Vibrant Media, Media Innovation Group a PointRoll (ve všech případech poskytovatele inzertních služeb). Pro WSJ byl Google nejspíš lepší cíl, většinu pozornosti věnovali právě tomu, že několik let staré technické řešení využil právě Google.

Google řešení spočívající ať už ve využití shodné domény nebo přesměrování skrz Google.com používá dlouho – pro tlačítko „+1“, DoubleClick nebo YouTube. A uživatele tak „šmíruje“ celou dobu, stejně jako to dělá (v daleko větší míře) Facebook s Like/Líbí. A řešení jak se tomuto komplexnímu „šmírování“ vyhnout? Existuje, ale vyžaduje kompletní zákaz cookies ve vašem prohlížeči. 

2 názory Vstoupit do diskuse
poslední názor přidán 29. 2. 2012 11:29