– Nettbrukere spores med «supercookies»

Omstridt mekanisme benyttet på flere globalt kjente nettsteder.

Informasjonskapsler, eller «cookies», brukes av de fleste nettsteder til blant annet å gjenkjenne besøkende, enten fra et tidligere besøk eller mellom ulike sidevisninger. Blant annet mange nettbutikker benytter det sistnevnte for å kunne «huske» hva brukeren har lagt i handlekurven.

Mer omstridt er bruken av tredjepartscookies. Dette benyttes av blant annonsører til å gjenkjenne brukere på tvers av nettsteder. Dette brukes ofte av aktørene for å skape en profil over brukerens interesser, slik at brukeren blir vist mer relevante annonser.

Samtidig er det både fullt mulig og enkelt for nettleserbrukere å slette eller sperre for bruken av informasjonskapsler ved hjelp av innstillingsmuligheter som de aller fleste nettlesere tilbyr.

I tillegg til dette, støtter flere nettlesere en ordning som kalles for «Do not track», som forteller nettsteder at disse brukerne ikke ønsker å bli sporet. Det er valgfritt for nettstedene om de vil overholde dette, men en rekke aktører har valg å gjøre dette.

Flash-cookies

Mindre kjent er det at også Flash-teknologien kan brukes til å spore brukere. Flash Player er installert på de aller fleste pc-er i dag. Det er mulig for nettsteder å lagre relativt mye informasjon lokalt på brukerens pc – informasjon som ikke bare blir liggende der inntil brukeren aktivt sletter det, men som også er tilgjengelig på tvers av nettleserne på maskinen. Løsningen kalles for Local Shared Objects (LSO).

Noen aktører bruker data fra det som gjerne kalles for Flash-cookies til å gjenopprette vanlige HTTP-cookies som nettleserbrukerne har slettet.

Adobe har nylig begynt å tilby et programmeringsgrensesnitt i Flash Player som gjør det mulig for brukere å slette disse dataene direkte fra nettleserens brukergrensesnitt. Flere nettlesere tilbyr nå støtte for dette, enten når brukeren slettes alle HTTP-cookie eller når nettleserhistorikken slettes.

En gruppe forskere ved Stanford University og University of California ved Berkeley, har studert i hvor stor grad de største nettstedene lagrer informasjon lokalt på brukerens maskin. Resultatene er presentert i denne rapporten.

Til sammen registrerte forskerne at de 100 største nettstedene la igjen til sammen 5675 HTTP-cookies på brukerens maskin. 4915 av disse var tredjepartscookies, fra over 600 ulike nettsteder. Nettstedet Wikia.com la igjen hele 242 cookies. Google la igjen, direkte eller gjennom annonsenettverket Doubleclick, cookies via 97 av de 100 nettstedene.

Flash-cookies er på ingen måte like utbredt, og bruken har blitt redusert siden 2009. Denne formen for lokal lagring ble registrert ved besøk på 37 av de 100 nettstedene. I alt ble det lagret 100 Flash-cookies. Hos to av nettstedene, Hulu.com og Foxnews.com, fant forskerne de samme verdiene i HTTP-cookiene og Flash-cookiene.

Adobe skal være svært kritisk til bruken av Flash til sporing av brukerne, og har sagt slik bruk bare skal skje dersom brukeren har samtykket med det.

Silverlight

Også Microsofts Silverlight-teknologi har støtte for lokal lagring av data. Både i Flash og Silverlight er det mulig å deaktivere den lokale lagringen. Det kan enklest gjøres ved at brukeren høyreklikker mens man holder muspekeren over en Flash- eller Silverlight-applikasjon og går gjennom innstillingsmulighetene som da tilbys.

Karakteristikken til tre av de ulike typene cookies som omtales i artikkelen.
Karakteristikken til tre av de ulike typene cookies som omtales i artikkelen. Bilde: Rapporten «Flash cookies and privacy II: with HTML5 and ETag respawning»

HTML5 Local Storage

Med nettlesernes stadig utvidete støtte for HTML5, åpnes det for enda større muligheter for nettsteder til å spore brukere. Mens HTTP-cookies er begrenset i størrelse til 4 kilobyte og Flash-cookies til minst 100 kilobyte, kan man med HTML5 Local Storage kan man lagre langt mer, i praksis minst 5 megabyte med data. Dette er innebygd i nettleserne og krever ikke bruk av innhold som må kjøres i plugins.

Ifølge forskerne benyttes ble HTML5 Local Storage benyttet av 17 av de 100 største nettstedene. I disse tilfellene ble det lagret til sammen 60 nøkkel/verdi-par.

Det ble funnet de samme verdiene i HTTP-cookies og den lokale HTML5-lagringen i en rekke tilfeller, inkludert hos twitter.com, tmz.com, squidoo.com, nytimes.com,

hulu.com, foxnews.com og cnn.com. Men i de fleste av disse tilfellene var det tredjepartstjenester som meebo.com, kissanalytics.com og polldaddy.com, som hadde lagt igjen dataene.

Hvordan HTML5 Local Storage-dataene slettes, varierer mellom de ulike nettleserne, men flere ser ut til å gjøre dette samtidig som man sletter informasjonskapslene.

Denne formen for gjenopprettelse av cookies kalles gjerne for «supercookie» eller «evercookie». For å bli kvitt disse, har man tidligere måttet utføre slettingen av de ulike informasjonskapslene i riktig rekkefølge. Men metodene har variert mellom de ulike nettleserne.

ETags

Som om dette ikke er nok, finnes det en metode som er enda verre for brukerne å unngå. Den tar i bruk nettlesercachen for å speile verdier, nærmere bestemt noe som kalles for ETags. Dette er en headertype som er en del av HTTP-spesifikasjonen.

Forskerne av rapporten skriver at de for første gang har sett at noen har brukt ETags for å oppnå gjenopprettelse. Dette skal ha skjedd på hulu.com gjennom en tjeneste levert av kissmetrics.com.

ETags-sporing og gjenopprettelse anses av forskerne for å være spesielt problematisk fordi teknikken genererer unike sporingsverdier også hos brukere som blokkerer både HTTP-, Flash- og HTML5-cookies. For å blokkere ETags-sporing, må brukere tømme cachen til nettleseren mellom hvert nettstedbesøk. Også dersom brukeren velger å bruke nettleserens «privacy browsing»-modus, vil ETags kunne spore brukeren under hele nettleserøkten.

KISSmetrics angivelige bruk av ETags.
KISSmetrics angivelige bruk av ETags. Bilde: Rapporten «Flash cookies and privacy II: with HTML5 and ETag respawning»

Ifølge forskerne ble ETags-sporingen på hulu.com bruk til å sette en førstpartscookie på nettstedet. De mener at dette betyr at andre nettsteder som benytter tjenestene til KISSmetrics vil kunne synkronisere disse identifikatorene på tvers av sine domener.

Wall Street Journal skriver i en artikkel torsdag om flere kjente nettsteder som skal ha benyttet seg av denne formen for supercookies. Dette inkluderer også flere av Microsofts nettsteder. Microsoft opplyser til Wall Street Journal at selskapet har fjernet dette fra blant annet MSN.com, og at bruk av slike metoder er uforenelighet med selskapets policy. Hulu skal ha sluttet å bruke tjenestene fra KISSmetrics.

Syndebukk og søksmål

I rapporten får webanalyseselskapet KISSmetrics på mange måter rollen som syndebukk, og det liker selskapet dårlig. Rapporten ble angivelig utgitt samme dag som det første av to søksmål mot Hulu og KISSmetrics ble innlevert.

I et blogginnlegg avviser Hiten Shah, administrerende direktør i KISSmetrics, alle påstandene i rapporten. Han skriver at selskapet kun bruker førsteparts cookies for sporing, og at det ikke benytter Etags eller andre former for gjenstridige cookies eller objekter i forbindelse med sporing.

I tillegg skal selskapet ha lagt til støtte for Do Not Track-headeren og overholder dette selv under enkeltstående økter.

Ashkan Soltani, en av forskere som har skrevet rapporten, har senere kommet med flere detaljer om mekanismene som er beskrevet i rapporten. På denne siden står det at både Hulu og KISSmetrics skal ha sluttet å bruke gjenopprettelse av cookies allerede før den 29. juli.

Årsaken til at de nye og mer aggressive sporingsmetodene tas i bruk, er at flere nettleserbrukere enn tidligere er oppmerksomme på sporingen og i en del tilfeller deaktivere støttes for vanlige informasjonskapsler.

    Les også:

Til toppen