על סקריפטים, עוגיות ופרטיות בפייסבוק

לאחרונה נפוצו שמועות שכפתור הלייק מאפשר לפייסבוק לאסוף עלינו מידע, אבל האמת היא שכפתורים וסקריפטים אוספים עלינו מידע כבר מעל 15 שנים. נדב דופמן גור עושה לנו קצת סדר.

מקור: תמונת מסך

במהלך השבוע האחרון נדמה שיש לחץ כלשהו סביב כפתורי ה”לייק” של פייסבוק וסוגיות של פרטיות. פרטיות ברשת היא נושא שמלווה את הרשת מיום הקמתה, וביתר שאת מאז ראשית שנות ה-1990, עם העלייה המטאורית של האתרים המסחריים באינטרנט והתפשטות הגלישה באינטרנט לכמות גדולה מאוד של בתי אב ברחבי העולם, ובעיקר בארצות הברית. החשש לפרטיות הגולשים מתחדד שבעתיים בימינו, כאשר אנשים נעשים יותר מודעים לכמויות המידע שכבר יש לחברות מסחריות עליהם.

כדי להבין את כיצד עובר מידע מהגולש אל בעלי האתרים, ואיזה מידע עובר, יש לצלול אל נבכי הרשת ולבחן מצד אחד כיצד פועלת הרשת ומצד שני כיצד בעלי האתרים בונים את אתרי האינטרנט שלהם, ואיזה קוד הם מכניסים מאחורי הקלעים.

לחיצת יד

ההתקשרות הראשונית בין שרת האחסון של אתר היעד שלנו לבין הדפדפן שלנו מתרחשת מיד לאחר שסיימנו לקליד את כתובת ה-URL (או הכנסנו ישירות כתובת IP) ולחצנו על כפתור הניווט. במסגרת החיבור של הדפדפן אל שרת האחסון מתבצעת ‘לחיצת יד’ בין הצדדים. מטרת לחיצת היד היא ליצור חיבור תקשורתי בין שתי נקודות הקצה (הדפדפן ושרת האחסון), לוודא שחבילות המידע (packets) עוברות ולא אובדות בדרך. לאחר סיום לחיצת היד יתחיל שרת האחסון לשדר אל המסוף שלנו את המידע של אתר האינטרנט אותו ביקשנו.

חשוב להבין שבמסגרת לחיצת היד הסטנדרטית הזאת שבין המסוף שבו אנחנו משתמשים (תזכורת: זה יכול להיות המחשב בבית או הסמארטפון שלכם) עובר מידע בסיסי על המסוף שלנו אל שרת האחסון. מטרת העברת המידע הזה היא להעביר מידע ראשוני אל השרת, כדי שבמידה ויש לו כמה אפשרויות של איזה מידע לשלוח אלינו, שהוא ידע איזה מידע יהיה רלוונטי.

קל להבין זאת עם הדוגמא הבאה; אחד הפרמטרים שנמסרים היא שפת מערכת ההפעלה המותקנת במסוף שלנו. עדכון השרת בשפה שלנו מאפשרת לו לבדוק האם יש לו גרסה מיוחדת של האתר בשפה שלנו, ואז הוא ישלח לנו אותה. אם אין לו גרסאות בכמה שפות, נקבל בכל מקרה את הגרסה היחידה שיש לו באחסון. דוגמאות למידע נוסף שנשלח אל שרת האחסון כוללות את סוג וגרסת מערכת הפעלה (למשל Ubuntu 10.10), סוג וגרסת הדפדפן (פיירפוקס 4.0.1), ועוד.

עוגיות

מסך הפתיחה של חלונות 95

עוגיות לא היו חלק מקורי מהרשת. הן הצטרפו אלינו במהלך 1995, ואפשרו בפועל לדפדפן לאחסן אצלנו בדיסק הקשיח מידע שהשרת מבקש ממנו לשמור זמנית בקובץ קטן, שנקרא Cookie. בהתחלה, עם תחילת השימוש בעוגיות לא הייתה אפשרות לנטרל את הקבלה שלהן. רק בשלבים מאוחרים יותר נוספה האפשרות הזו. היום אנחנו נהנים מאפשרויות מתקדמות הרבה יותר, ובחלק מהדפדפנים, כמו בפיירפוקס, ניתן להנחות את הדפדפן למחוק את כל העוגיות בכל פעם שאנחנו סוגרים את הדפדפן, או לבצע ניקוי יזום שלנו בכל מועד שנבחר.

העוגיות מאפשרות לשרת להשאיר אצלנו מידע לגבי השהות באתר, בין אם זו עוגייה שאורך חייה תלוי בנוכחות שלנו בתוך האתר (session cookie) או עוגייה שתפקידה להישאר בדיסק הקשיח שלנו תקופה ארוכה (כגון עשרות רבות של שנים), ולאסוף עלינו מידע בכל פעם שנגלוש אל האתר שממנו הגיעה (persistant cookie). ישנן גם סוגים נוספים של עוגיות, אבל אלה העיקריות.

באמצעות העוגיות יכול אתר לאסוף עלינו מידע מעבר למידע שהוא מקבל מלחיצת הידיים. מידע זה כולל מידע אודות הדפים של האתר בו ביקרנו, איך הגענו אל האתר, איך ניווטנו בתוך האתר (על איזה כפתורי נווט לחצנו), ועוד. מידע זה חשוב לבעלי האתרים, משום שהוא יכול לעזור להם, למשל, ליעל את מבנה האתר, הניווט בו, ולשפר את כמות ואיכות הלינקים הנכנסים.

עוגיות פלאש

במהלך השנים הצטרפה טכנולוגיית הפלאש, והיום ניתן למצוא באתרים רבים אלמנטים של פלאש כחלק בלתי-נפרד מהאתר. בחלק מהאתרים, האתר כולו נמצא בתוך פלאש. במסגרת המודעות שלנו לעוגיות, כדאי להכיר את עוגיות הפלאש. בדומה לעוגיות הרגילות שלכם מהדפדפן, עוגיות הפלאש נוצרות במסגרת הגלישה שלכם לאתרים המכילים פלאש. אתרים אלה מבקשים (ומקבלים) אפשרות לאחסן אצלכם על המחשב קובץ עוגיית פלאש, המכיל מידע לגבי השימוש שלכם באתר.

בשונה מעוגיות דפדפן, את עוגיות הפלאש עדיין לא כולם מכירים, ולא כולם יודעים איך אפשר למחוק אותן. מי שחשוב לו לבדוק את העוגיות הללו ולגלות כמה מהן הוא כבר צבר, או מי שרוצה למחוק אותן, יכול לפעול לפי המדריך שכתבנו להסרת עוגיות פלאש.

משיכת סקריפטים מאתרים שונים

במהלך השנים, הצטרפה לסט הכלים לבניית אתרים העומדים לרשותנו האפשרות לקרוא לסקריפטים מאתרים זרים (למען הנוחות, נקרא להם “אתרים שלישיים”). אחת הדרכים הנפוצות ביותר לבצע זאת היא שילוב קוד באתר המשלב את האלמנט הזר מהאתרים השלישיים. למשל לשים תמונה מאתר א’ בתוך אתר ב’, כך שבכל טעינה מחדש של הדף באתר ב’ התמונה נמשכת מאתר א’ מחדש. דרך נוספת לעשות את זה, ויש עוד רבות אחרות, היא באמצעות קוד ג’אווה-סקריפט, אפשרות פופולרית מאוד.

אותו קוד שאנחנו שמים באתר שלנו כדי למשוך תכנים או מידע מאתרים אחרים מאפשר לנו להוסיף באתר שלנו תכנים או פונקציונאליות, ומשרת את בוני האתר ובעלי האתר במסגרת עסקיהם הרגילים. אחד הדברים המתרחשים במסגרת משיכת המידע מהאתרים השלישיים, בכפוף לצורה ולאופן שבו הם נבנו והוכוונו לפעול, הוא שיכול לעבור מידע בין המסוף שלנו לבין אותו אתר שלישי.

כמה מידע עובר?

כדי לדעת מה עובר, צריך לדעת מהו בדיוק בנוי הקוד. באופן כללי, ייתכן והקוד יאפשר לאתרים השלישיים לקבל מידע לגבי ה-User Agent, וגם ייתכן שהוא מפעיל פונקציות ספציפיות שיאפשרו לו לדעת מידע עמוק יותר לגביכם. דוגמאות? יכול להיות שהוא קורא לפונקציה שתבדוק את רזולוציית המסך שלכם, אחרת שתבדוק את גרסת הפלאש המותקנת אצלכם במחשב, ועוד.

מעצם שילוב אלמנטים זרים, שמקורם באתר שלישי שהוא לא האתר שבו אתם גולשים, המידע לגביכם עשוי להיות מועבר גם לצדדים שלישיים, למרות שלא בקרתם באתר שלהם (ואולי מעולם לא ביקרתם בו).

משואות רשת

משואות רשת (web beacons) הן כינוי לרכיבים, לרוב רכיבים גרפים בצורה של תמונה קטנטנה (פיקסל על פיקסל) ששמים בתוך דף אינטרנט. באמצעות שילוב של משואות רשת באתר, אפשר לשתף אתרים נוספים במידע לגבי הגולשים אליו. משואת הרשת מהווה סוג של עוגן של אתר שלישי, בתוך האתר הנוכחי בו אתם גולשים.

הסיבות להשתמש במשואות רשת הן רבות. אחת הדוגמאות הפופולריות ביותר לשימוש במשואות רשת היא אתרים שמציעים שירותי סטטיסטיקה בחינם, באמצעות שילוב קוד ותמונה שלהם באתם שלכם.

פייסבוק, כפתור הלייק, ואתם

פייסבוק הצליחה לגרום לאתרים רבים ברחבי האינטרנט להוסיף את כפתור ה’לייק’ שלה בתוך קוד האתר שלהם. באמצעות הכפתור, הגולשים יכולים לעדכן את חבריהם ברשת פייסבוק שהם ‘אוהבים’ אתר מסוים, או כתבה מסוימת. כדי לאפשר את הפונקציונליות הזאת, אתם חייבים להתחבר לרשת.

אם הייתם מחוברים בחלון נפרד לפייסבוק (של אותו דפדפן), וגלשתם לאתר ושם לחצתם על ‘לייק’, מייד יתעדכן מונה הלייקים ויוסיף את הלייק שלכם. במקביל, אם תיגשו לחלון של פייסבוק, תרעננו אותו, ותבדקו את הפעילות האחרונה שלכם, תוכלו לראות שם שמופיעה שורה המציינת שעשיתם עכשיו ‘לייק’. אם אתם לא מחוברים לפייסבוק, לאחר לחיצה על הלייק תתבקשו לעשות זאת, על מנת שפייסבוק תדע לאיזה חשבון משתמש לשייך את ה’לייק’ הזה.

פייסבוק יודעת אם אתם מחוברים כרגע לרשת באמצעות עוגייה. בנוסף ובמקביל, ייתכן שבפייסבוק עושים שימוש בעוגייה גם כאשר אתם לא מחוברים לרשת. תארנו מקרים בהם אתרים שלישיים מקבלים מכם מידע מסוים כאשר אתם נכנסים לאתר כלשהו, ואותו דבר יכול להתרחש גם עם פייסבוק. אם כאשר אתם מתחברים לאתר שיש בו קוד של כפתור ‘לייק’, הקוד של הכפתור מושך מידע לגביכם ושומר חלק ממנו בעוגייה על המחשב שלכם, הוא יוכל להעלות לפייסבוק את המידע והנתונים בהתחברות הבאה שלכם לרשת.

עד אז, ייתכן שהוא לא מזהה אתכם לפי שם המשתמש או מספר המשתמש הייחודי שלכם בפייסבוק, אבל הוא כן יודע כבר את כתובת ה-IP שלכם, ויודע באיזה אתרים נוספים בהם יש את הכפתור ביקרתם. יש לציין שבהקשר זה, איסוף המידע הסטטיסטי הזה לא שונה מהתנהגותם של אתרים רבים אחרים, לרבות גוגל ועוד. מידע נוסף על יכולות קריאת העוגיות של פייסבוק ניתן לקרוא כאן.

מקור: תמונת מסך

מי שחשוב לו שפייסבוק יפחיתו את הניטור על הרגלי הגלישה שלו, גם אם זה באתרים שיש בהם כפתורי ‘לייק’, יכול רגע לפני שהוא גולש לדף הבית של פייסבוק למחוק את העוגיות שלו. ריקון העוגיות יאפשר לגשת לדף הבית של פייסבוק בצורה נקייה, יחסית. אפשרות נוספת היא התקנת תוספים ייעודיים לנושא, דוגמת Facebook Disconnect, תוסף לכרום.

מי שרוצה לדעת איזה סקריפטים פועלים באתרים אליהם הוא גולש לעיתים קרובות, יכול בקלות להתקין תוסף לפיירפוקס בשם NoScript. ייתכן שישנם תוספים נוספים שעושים זאת, אבל זה התוסף עליו אני ממליץ. התוסף מונע את הרצת סקריפטים באתרים השונים, עד אשר תאשרו אותם, אחד-אחד. האישור שתתנו יכול להיות חד-פעמי או עד להודעה חדשה. אתם תופתעו לגלות כמה סקריפטים ממקורות שונים רצים באתרים הגדולים ברשת, בארץ ובחו”ל.

את מדיניות פייסבוק בשילוב כפתוריה באתרי אינטרנט ניתן לקרוא בחלק הייעודי שלהם למפתחים, כמו גם הסבר מפורט על כפתור הלייק ספציפית.

סיכום

בסופו של דבר, בעת הגלישה שלנו נאסף עלינו מידע, ואין בזה כל חדש. חלק מהמידע, החלק שמאוחסן אצלנו במחשב, אפשר לנטרל ולמחוק בצורה יזומה, או לחפש פתרון אוטומטי שיעשה את זה עבורנו. בכל פעם שאנחנו גולשים באתרים בהם מופעלים סקריפטים ואלמנטים מאתרים שלישיים, אנחנו צריכים לחשוד שחלק מהמידע לגבי נאסף גם באותם אתרים.

ההמלצה היא לשים לב לאן אתם גולשים, לברר אילו סקריפטים רצים ברקע של האתר כדי לאפשר את פעולתו (או פונקציונליות אחרת), ובמידת הצורך לנטרל את מה שלא צריך באמצעות תוספים למיניהם. מי שרוצה יכול גם למחוק את העוגיות שלו כמה פעמים ביום, במטרה לצמצם את כמות האתרים שהוא מבקר בהם הכוללים סקריפטים של פייסבוק.

נדב דופמן-גור

עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

הגב

1 תגובה על "על סקריפטים, עוגיות ופרטיות בפייסבוק"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
Mordi Chen
Guest

comment image

wpDiscuz

תגיות לכתבה: