Hlavní navigace

Google přistižen při obcházení nastavení bezpečnosti v Safari

 Autor: 21971
Daniel Dočekal

Wall Street Journal minulý týden přinesl objev nezávislého odborníka na bezpečnost, který zjistil, že Google „trikem“ obchází nastavení bezpečnosti v prohlížeči Safari. O co vlastně v této nové aféře okolo soukromí jde?

Uživatelé Safari na iPhone a iPadech (týká se ale Safari na MAC počítačích) byli šmírování Google pomocí technického triku, který umožnil obejít nastavení prohlížeče. Tak nějak by se dalo shrnout to, s čím přišel Wall Street Journal v Google's iPhone Tracking (a viz též Safari Trackers). Článek hovoří o sledování, o „speciálních počítačovém kódu“ a „monitorování“ uživatelů. Vedle Google stejnou techniku používají podle WSJ i další společnosti.  Skandál? Nebo možná ne tak zcela?

Some companies track the cookies generated by the websites you visit, so they can gather and sell information about your web activity. Safari is the first browser that blocks these tracking cookies by default, better protecting your privacy. Safari accepts cookies only from the current domain (Apple blokování cookies třetích stran uvádí jako konkurenční výhodu)

Onen „speciální počítačový kód“ je (nebo už spíše byl) ve skutečnost FORMulář, který umožňuje skutečně něco obejít. To něco je nestandardní chování Safari – tedy automatické blokování cookies z webů třetích stran. V tomto ohledu se Safari chová jinak, než všechny ostatní prohlížeče. A dělá to buďto prostě proto, že si Apple myslí, že je to dobré pro uživatele. Ale daleko spíše proto, aby to umožnilo Apple omezit konkurenci a podmínky poskytování inzerce na mobilních zařízeních.

Základní princip je ten, že navštívíte web A.cz a ten si „zapamatuje“ vaši návštěvu na webu „C.cz“ (sloužícím třeba pro dodávku inzerce, ale třeba také jako poskytovatel služby pro přihlášení). Pokud později navštívíte web B.cz, může si tento web z webu „C.cz“ získat stejnou „cookie“ (identifikaci) a poznat vás. Ať už pro dodání inzerátu, nebo pro pokračování v přihlášené podobě.

V případě ostatních prohlížečů je možné blokování cookies třetích stran („3rd party“) zablokovat na základě toho, že to udělá uživatel. V Safari jsou „3rd party“ cookies blokovány automaticky a uživatel je musí dokázat odblokovat.

Pokud v původním článku na WSJ přeskočíte řadu odstavců hovořících o šmírování a soukromí, tak nakonec i zjistíte, proč se něco takového dělo – zjevně v souvislosti se zavedením tlačítka „+1“, které bez funkčností „3rd party cookies“ (neboli cookies z webu jiného než toho na kterém jste) nebude fungovat. A také ještě nedávno na iPhone/iPad nefungovalo. Případný pozitivní dojem trochu kazí fakt, že Google tohle obcházení přes FORMulář nasadil proto, aby hlavně fungovalo „+1“ u inzerátů, tedy něco, co nelze zrovna považovat za podstatné s ohledem na uživatele.

„Trik“ použitý Google je starý několik let (viz Anant Arg a jeho Cross-domain cookies/sessions in Safari and all other browsers) a je celou dobu používaný. Včetně toho, že například Facebook právě tento „trik“ doporučuje použít tam, kde je nutné udržet přihlášení uživatele k Facebooku i na iPhone/iPadech. Technické detaily viz například [ANS]Safari – Cross-domain cookies problem.

Facebook samotný tento trik doporučoval používat v developer best practices, které aktuálně nabízejí pouze Page Not Found a původní doporučení už najdete pouze v Google Cache (a moc dlouho tam nejspíš nevydrží). Zábavné řešení, jak se zbavit toho, že Facebook vlastně doporučoval něco, co WSJ označuje za skandální porušování soukromí uživatelů. Součástí doporučení bylo právě použití řešení Ananta Arga.

Cross-domain cookies do not work in Safari
The user authentication information is stored in cookies; however, Safari does not (by default) allow cross-domain cookies to be set. Without the cookie, the app loses the user authentication information across requests. See http://anantgar­g.com/2010/02­/18/cross-domain-cookies-in-safari/.

Anant Arg v Busting the cookies and privacy myth vysvětluje poměrně jasně, jakým způsobem využití FORMuláře funguje a proč je nutné něco takového využívat. Nutné je to skutečně jen a pouze z důvodu toho, že Safari se chová jinak, než se chovají ostatní prohlížeče. A zachování „3rd party“ cookie je nutné v řadě služeb, kde je právě pomocí této techniky například realizováno přihlášení.

Nejde tedy zdaleka o šmírovací technologii, byť v případě Google k určitému „šmírování“ použita byla. Dočasná cookie slouží k tomu, aby uživateli byly dodávány inzeráty. Dodávány tak, jak je tomu v případech, kdy tentýž uživatel používá počítač a na něm nějaké to Chrome, IE, Operu či Firefox.

Zbytečná chyba na straně Google

Aféra okolo „šmírování“ získala vlivem WSJ podstatně větší význam, než jaký ve skutečnosti má. Paradoxní na celé kauze je to, že jde o zbytečnou chybu na straně Google. Vzniklou hlavně tím, že inzerce je u Google dodávána z jiné domény a vzniká tak problém s „3rd party“ cookie. Problém je přitom řešitelný použitím totožné domény – tedy stačilo by zahrnout obsah z Google.com, tak jak je tomu například u aktuálního tlačítka „+1“. Případně by mohl využívat přesměrování (zavřeného v IFRAME) na (opět) Google.com s předáním potřebných parametrů zpět do (například) inzertního systému.

Objevitelé nevhodného chování Google v Safari Trackers navíc sami upozorňují, že podobné chování je vlastní u řady dalších služeb – specificky jmenují Vibrant Media, Media Innovation Group a PointRoll (ve všech případech poskytovatele inzertních služeb). Pro WSJ byl Google nejspíš lepší cíl, většinu pozornosti věnovali právě tomu, že několik let staré technické řešení využil právě Google.

Google řešení spočívající ať už ve využití shodné domény nebo přesměrování skrz Google.com používá dlouho – pro tlačítko „+1“, DoubleClick nebo YouTube. A uživatele tak „šmíruje“ celou dobu, stejně jako to dělá (v daleko větší míře) Facebook s Like/Líbí. A řešení jak se tomuto komplexnímu „šmírování“ vyhnout? Existuje, ale vyžaduje kompletní zákaz cookies ve vašem prohlížeči. 

Našli jste v článku chybu?

20. 2. 2012 16:44

Noname (neregistrovaný)

No vidite, a ja jeste pamatuju doby, kdy "3rd party cookies" byly v Netscapu/Mozi­lle/Firefoxu defaultne blokovany.

Nevim kdy presne doslo ke zmene na defaultni povoleni techto cookies, bylo by zajimave to vypatrat :-)

Dnes uz je stav bohuzel takovy, ze nektere sluzby Google bez povoleni "3rd party" ani nefunguji. Myslim ze jsem na to narazil na Google Checkout - v prohlizecich totiz "3rd party" blokuju.

29. 2. 2012 11:29

Semtamťuk (neregistrovaný)

Google, a i ti ostatní, neobchází pravidla jen u Safari. Obchází je i u Internet Exploreru, kdy využívají nepřesné specifikace P3P protokolu. Někteří přímo uvádějí klamné podmínky pro využití cookies.

Více o problematice se můžete dočíst, anglicky, na blogu MSDN - IEBlog

Pro uživatele IE9, vytvořil Microsoft Tracking Protection List "Block third-party Google site tracking". V anglické verzi IE Gallery je pojmenovaný "Stop Google Tracking TPL", v České verzi není nabízený.

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: Cena stejného léku se liší i o tisíce

Cena stejného léku se liší i o tisíce

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

DigiZone.cz: Velká cena v Abú Dhabí: 131 ti­síc diváků

Velká cena v Abú Dhabí: 131 ti­síc diváků

Měšec.cz: Sleva na dítě a manželku pro OSVČ je zpět. Ale..

Sleva na dítě a manželku pro OSVČ je zpět. Ale..

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU