אל תעקבו: איך למנוע מעקב על ידי שירותי צד ג’ באמצעות שועל האש

כשאנחנו גולשים באינטרנט, כל אחד מאיתנו משאיר מידע עודף. חלק מהמידע הזה יכול לשמש לזהות אותנו אישית וספציפית וחלק נוסף מאפשר לפלח אותנו לפרופילים מסויימים או לדעת מידע פרטי עלינו על סמך היסטוריית הגלישה שלנו. יהונתן קלינגר מסביר.

כשאנחנו גולשים באינטרנט, כל אחד מאיתנו משאיר מידע עודף. חלק מהמידע הזה יכול לשמש לזהות אותנו אישית וספציפית, כגון כתובת IP, מחרוזת הUserAgent או Cookies שמשייכות אותנו לחשבון משתמש ספציפי. חלק נוסף מהמידע מאפשר לפלח אותנו לפרופילים מסויימים או לדעת מידע פרטי עלינו על סמך היסטוריית הגלישה שלנו.

בעת הגלישה באתר מסוים, נניח (לצורך העניין בלבד), TheMarker: בעת הגלישה באתר, עמוד האינטרנט קורא לשלל שירותים: שירות הוידאו של BrightCove, שירות Facebook Connect שמאפשר לקבל המלצות תוכן מבוססות על הרשת החברתית של אדם, שירות Google Analytics שמספק סטטיסטיקות על הגלישה באתר ושירות Chartbeat שמאפשר לקבל סטטיסטקות גם כן.

כל אחד משירותים אלה רץ אל המשתמש ומשתיל במחשבו Cookie אשר מספקת לו מספר מזהה; המספר לא מכיל פרטים אישיים, אלא רק מאפשר לספק השירותים לזהות בכל פעם כי מדובר באותו משתמש. לעיתים, בשירותים כמו Facebook Connect, הCookie מאפשר לזהות כי מדובר במשתמש רשום בשם X אשר מחובר לחשבונו.

שירותים אלה רצים בלא מעט אתרים, ולא רק באתר TheMarker. לספק השירות יש את האפשרות לקבל מידע רב ולהצליב אותו על מנת להפיק ערך משמעותי מהגלישה (ואני ממליץ לקרוא את הפוסט הזה מהארכיון על בעיות הפרטיות בשירותי צד ג’).

המידע שנאסף על ידי שירותים מסוג זה הוא משמעותי בעיקר כי המשתמש התמים לא יודע על קיומם (הרי בלי להכנס לקוד הHTML הוא לא יכול לדעת על קיומם) וכיוון שהוא לא בהכרח יכול להביע הסכמה מפורשת למדיניות הפרטיות שלהם.

פיתרון משפטי ופיתרון טכנולוגי חיצוני

לצורך פתרון בעיה משפטית זו, של שימוש במידע על הגולש ללא הסכמתו, ניסו לקום שני פתרונות: האחד משפטי והשני משפטי-טכנולוגי. הפתרון המשפטי אומץ באירופה על ידי דירקטיבה שאמורה לאפשר למשתמש שליטה יותר מקיפה על פרטיותו באמצעות הטלת חובות על שירותי צד ג’ שאוספים מידע (לדוגמא מוצלחת לבעיה בדירקטיבה לחצו כאן). הפתרון בעייתי מאוד, ואפילו לא בטוח שאפשרי כיוון שחלק ניכר מאתרי  האינטרנט אינם נמצאים באירופה ולא ימהרו לאמץ את הגישה האירופית לפרטיות.

הפתרון הטכנולוגי בא מבית יצרני הדפדפנים ושמו Do Not Track. הפתרון הוא חצי משפטי וחצי טכנולוגי, והרעיון הוא כזה: בעת שאתה גולש לעמוד מסוים, דפדפן האינטרנט שלך ישלח הודעה כי אינך מעוניין שיעקבו אחרייך. במצב כזה, שירותי צד ג’ ישמרו את המידע על התנהגותך, אך לא בצורה מזהה ולא יציגו לך פרסומות המבוססות על התנהגותך. הרעיון הוא נחמד, ואפילו יוטמע על ידי חלק ניכר מהדפדפנים בגרסאות קרובות שלהם, אלא שהוא יוצר שתי בעיות: הבעיה הראשונה היא הדרישה ששירותי צד ג’ יהיו הוגנים. כלומר, למשתמש אין שום דרך לדעת האם שירות מעקב פלוני באמת מציית לו ולא שומר מידע מזהה או שהוא שומר את המידע.

הבעיה השניה היא שגם אם השירות הוגן, הוא עדיין שומר מידע “אנונימי”; כלומר, הוא שומר את המידע המזהה אבל לא משתמש בו לצרכי הצגת פרסומות. במצב כזה, אותם שירותים כן יוכלו להשתמש במידע לצורך יצירת פילוח למשתמשים אחרים; אם יהונתן אהב את עמוד “לתת את ג’סטין ביבר לחמאס תמורת גלעד שליט” וגם קרא את “חמישה דברים שלא ידעתם על משה קצב” ואז קנה משקפת קומפקטית באתר דיל אקסטרים אז כנראה שגם האדם הבא שיקרא את שני העמודים האלה יחפש משהו שקשור למשקפות קומפקטיות; יהונתן לא יהיה מזוהה מול ספק שירותי צד ג’ כיהונתן, אבל הוא יקרא “משתמש אנונימי X”.

מניעת מעקב ואיסוף מידע – עשו זאת בעצמכם

הדרך הפשוטה להתמודד עם רושעות מסוג זה היא דווקא לא לסמוך כלל על ספקי השירות, ולחסום בצורה גורפת את היכולת שלהם לנהל מעקב. הדבר יכול להשפיע על חלק מהשירותים (לדוגמא, אם תחסמו את Facebook Connect לא תוכלו לראות אלו כתבות חברים שלכם אהבו באתר מסוים, אבל זה בכל מקרה לא מעניין) ויכול להאיץ את הגלישה מעט כיוון שלשירותים האלה לוקח מעט זמן לעלות. בתצורה שבה אני מציג, הדבר אפשרי רק בדפדפן Firefox, וזו הסיבה העיקרית שאני עדיין עובד עם הדפדפן הזה, למרות כל החסרונות שבו.

לצורך כך ניתן לעשות שני דברים חשובים: הראשון הוא פשוט מאוד, וזה לבטל את כל עוגיות צד ג’. זה עשוי לפגוע בפונקציונאליות של חלק מהאתרים (כגון הצגה של סרטוני YouTube לעיתים). הדרך לעשות זאת בFirefox היא פשוטה למדי, נכנסים לאפשרויות, ומבטלים את האפשרות לשימוש בעוגיות צד ג’:

איך חוסמים שירותי צד שלישי

הצעד השני יותר מסובך (והוא דורש קצת עבודה): לחסום כל שירות צד ג’ מרושע, ולא רק את העוגיות שלו. קודם כל יש להתקין את תוסף AdBlock Plus. שוב, זה יעבוד רק בפיירפוקס, אם אתם משתמשים בChrome, אז הדרך שבה חוסם הפרסומות עובד לא ממש עוזרת כיוון שהוא טוען את הרושעות קודם ורק אחר כך חוסם אותן. כך, לדוגמא אם התוסף מותקן אז לפעמים (כנראה יותר מפחות) שירותי צד ג’ כן נטענים.

לאחר ההתקנה של Adblock Plus יש להרשם למספר רשימות, בינהם הרשימה הישראלית. לאחר מכן, צריך להוסיף את רשימת חסימת הפרסומות שלי. הרשימה היא אגרסיבית למדי, וחוסמת הרבה דברים שאני לא רואה כנחוצים בעת הגלישה (לדוגמא, כשהתקנתי אותה על המחשב של בת הזוג היא שאלה למה אתר תפוז לא עובד לה, והסברתי לה שאני חוסם את כל האתר כי אין בו יותר מדי פרטים שרלוונטים עבורי, ויותר קל לחסום את כולו). לאחר מספר תלונות סידרתי את זה, ואת אתר נענע. כדי להתקין את רשימת הפילטרים יש להכנס להעדפות של Adblock Plus ולבחור הוספה של Filter Subscription, לאחר מכן לבחור להוסיף מנוי אחר ולהזין את הפרטים: 

שימוש כזה מייתר את השימוש במערכת כמו Do Not Track כיוון שהוא מחזק את הפרטיות בצורה טכנולוגית ומונע את היכולת של רושעות או שירותי צד ג’ לעשות שימוש אגרסיבי במידע שלנו. החסרון העיקרי שלו הוא שצריך לעקוב אחר התפתחויות בשוק והשקה של שירותי מעקב או פרסום צד ג’ נוספים, וככל שכאלה קמים להוסיף אותם לרשימה הקיימת.

הפוסט פורסם לראשונה בבלוג של יהונתן קלינגר Intellect or Insanity

Avatar

יהונתן קלינגר

יהונתן קלינגר בעל תואר שני במשפטים ותארים ראשונים במשפטים וממשל. כמו כן הוא כותב בעבודה שחורה, מיזם לקידום שיח בין בוחרים ונבחרים ובהיתוך קר למפגרים, בלוג הומור.

הגב

3 תגובות על "אל תעקבו: איך למנוע מעקב על ידי שירותי צד ג’ באמצעות שועל האש"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
דן
Guest
אחלה כתבה, מומלץ בחום לעשות את כל מה שכתוב שם, אבל בנוסף יש עוד משהו שלא הרבה אנשים מכירים וחשוב לעשות גם אותו: גם לנגן ה-Flash יש אפשרות לשמור Cookies. מדובר ב-Cookies שונים מהאלו של הדפדפן (שאגב הגודל המקסימלי שלהן גדול בכמה סדרי גודל מ-Cookies רגילים) ובנוסף גם הן לא מושפעות מהגדרות ה-Cookies של הדפדפן, קרי, גם אם תגבילו את ה-Cookies בדפדפן שלכם כמו שכתוב בכתבה, אתרים עדיין יוכלו לשמור אצלכם Flash Cookies (ידועים גם בתור LSO Objects) ולזהות אתכם על-פיהן. חלקם אפילו משתמשים ב-Flash Cookies כגיבוי ל-Cookies הרגילים ומשתמשים בהם כדי לשחזר את ה-Cookie הרגיל אם המשתמש מחק אותו.… Read more »
פילוני
Guest
מאמר מעולה וחשוב יהונתן, לצערנו תחום הפרסום והריגול ברשת לטובת הפקת רווחים עובר כל גבול כך שהמוסר של העוסקים במלאכה נקבר עמוק תחת הכסף וזה קצת עצוב. בנוסף לדברים שמצויינים בכתבה ולדברים שדן הוסיף, אני רוצה להמליץ גם על כלי ממש יעיל: ghostery.- כלי שיודע לזהות ולהתריע על כל סקריפט צד ג’ שרץ באתר שנכנכסתם אליו ומאפשר לחסום אותם לאלתר, זה אומר שאם אתם גולשים באתר כמו כלכליסט לצורך העיניין וghostery. זיהתה שיש שסקריפט של גוגל אנליטיקס היא תתריע בפנייכם וגם תאפשר לחסום את זה לאתר ככה שאם אותו סקריפט יפתיע אותכם באתר אחר אז גם שם הוא יהיה חסום!… Read more »
יהונתן
Guest

פלוני, לגבי גוסטרי ושאר העניינים ראה את התגובות אצלי.

לגבי החוק: זה די פשוט; על פי החוק בישראל (סעיף 11 וסעיף 3 לחוק הגנת הפרטיות) אם אתה אוסף מידע, אתה חייב ליידע את האדם (בדרך כלל באמצעות מסמך הנקרא “מדיניות פרטיות”) על המידע שאתה אוסף, לאפשר לו לסרב לאיסוף (בהסדר של Opt-Out) ולמחוק את המידע עלייך. רוב החברות (לפחות אלה שאני מכיר) מאפשרות זאת, אלא שההליך מסורבל ולא תמיד נח.

אם תסתכל על האמנה האירופית, אז השאלה שעולה שם היא האם המידע נאסף ממך או לא. לכן, ההרחבה באמנה החדשה שנועדה ליידע אותך בדיוק על כל שירות.

wpDiscuz

תגיות לכתבה:

נותרו עוד
00
ימים
:
00
שעות
:
00
דקות
:
00
שניות
לכנס המפתחים הגדול בישראל