Centrum.cz vážně narušuje soukromí svých uživatelů

Pachollini, 28. května 2006, 14:01

Používáte vyhledávání na Centrum.cz? Používáte nějaké další služby tohoto portálu, do kterých je třeba se přihlásit? Tak to nedělejte. Centrum totiž přihlašuje své uživatele takovým způsobem, že administrátoři stránek, na které přejdete z vyhledávání na Centru vědí, kdo jste (a samozřejmě kdy jste u nich byli a co jste tam dělali).

Trocha teorie pro začátečníky aneb jaké stopy zanechávají internetoví brouzdalové

Brouzdání internetem není tak anonymní, jak si mnoho lidí myslí. Pokaždé, když si chcete zobrazit nějakou internetovou stránku, váš prohlížeč posílá serveru požadavek. Ten vypadá třeba takhle:

GET /sluzby/sem-marketing/ HTTP/1.1
Host: www.all-stars.cz
User-Agent: Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; cs; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.7,de;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-2,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://www.google.com/search?hl=en&q=internetov%C3%A1+reklama&btnG=Google+Search
Cookie: s_nastav=14247; charset=utf-8; PHPSESSID=a4f8a25b3382fe850b91dd3235242e25

V prvním řádku prohlížeč serveru říká, jakou stránku požaduje a jaký protokol pro spojení používá, v druhém řádku je identifikace webu, z něhož se má stránka stáhnout. (Na jednom fyzickém serveru může běžet mnoho webů, takzvaných virtuálních serverů.) Tyto dva řádky nejsou z hlediska ochrany soukromí příliš zajímavé. Třetí řádek obsahuje údaje o použitém prohlížeči, operačním systému atd. Následuje několik řádků s údaji o typech dokumentu, které prohlížeč dokáže zpracovat atd., které rovněž nejsou z našeho hlediska příliš zajímavé. Zajímavé jsou naopak poslední dva řádky. Referer říká cílové stránce, odkud uživatel přišel. V tomto případě je v něm adresa výsledků vyhledávání na Googlu. V posledním řádku zasílá prohlížeč stránce data, která si u něj předtím server uložil jako tzv. cookies (prohlížeč posílá vždy jen cookies, která si uložil server, od nějž požaduje dotyčnou stránku). Kromě toho server zná IP adresu počítače, který požadavek odeslal.

Tyto údaje se na většině serverů ukládají do takzvaných logů. Z logu může administrátor serveru vyčíst, jaké stránky si kdo prohlížel, odkud přišel atd. Záznam ze serverového logu vypadá např. takto:

137.31.17.115 - - [28/May/2006:12:05:04 +0200] "GET / HTTP/1.1" 200 8815 "http://www.google.com/search?hl=en&q=internetov%C3%A1+reklama&btnG=Google+Search" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; cs; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"

Provozovatel serveru s přístupem k logům o svých návštěvnících tedy typicky ví:

  • Jakou IP adresu měl jejich počítač.
  • Z jakých stránek na jeho server přišli.
  • Kdy přišli a co na jeho serveru dělali.
  • Jaký prohlížeč a operační systém použili.
  • Pokud mají zapnuté cookies, může i spolehlivě vědět, zda a kdy v minulosti již jeho server navštívili a co tam dělali.

Provozovatel se naopak typicky nedozví, jak se uživatel jmenuje, kde bydlí, jakou má e-mailovou adresu atd. Může se to nicméně dozvědět např. pomocí objednacího formuláře na svých stránkách, ten ale musí uživatel dobrovolně vyplnit, takže provozovatel serveru tyto údaje získává s jeho souhlasem.

Všechny tyto údaje slouží typicky ke statistickému zpracování (mohou být podkladem pro optimalizaci stránek) a mohou se hodit i při odhalování útoků na server atd. Nijak zvlášť dobře se nehodí k tomu, aby je někdo využil ke špehování návštěvníků, vydírání atp., protože i kdyby administrátor serveru chtěl, neví, kdo k němu vlastně chodí (ze samotné IP adresy se toho moc poznat nedá).

Problém Centra

Dobrá, v čem je tedy problém? Jak narušuje Centrum.cz soukromí svých návštěvníků? Inu, jednoduše. Pokud jste přihlášeni na Centru, adresy, které si prohlížíte, obsahují údaj o vašem přihlašovacím jménu. (Pravděpodobně tu část vaší e-mailové adresy na Centru, která je před zavináčem.) Při vyhledávání je to např.: http://search.centrum.cz/~~cook~jan.bohacek/index.php?q=sex&mt=2&mts=1&sec=mix&kibitz=0&x=37&y=9. Nu, a pokud kliknete na nějaký odkaz, provozovatel serveru s lechtivými obrázky uvidí ve svém logu:

83.69.62.1 - - [27/May/2006:20:34:36 +0200] "GET /xxx HTTP/1.1" 200 8234 "http://search.centrum.cz/~~cook~jan.bohacek/index.php?q=sex&mt=2&mts=1&sec=mix&kibitz=0&x=37&y=9" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

(Pozn. toho Boháčka jsem si přirozeně vymyslel.) Kromě toho z logu může vyčíst, které obrázky si pan Boháček kdy prohlížel, kdy se opět zastavil atd. Jestli vám teď neběhá mráz po zádech jenom proto, že si neprohlížíte v pracovní době lechtivé obrázky a tudíž se nemáte čeho bát, zkuste se na chvilku zamyslet. Tady nejde jen o lechtivé obrázky, tady jde o princip. Pochybuji, že uživatelé dali Centru.cz souhlas k tomu, aby jejich identifikační údaje předával třetím osobám, což se de facto děje. Soukromí je na internetu citlivá věc a etika i zákony přikazují je respektovat. Centrum ho tímto naopak závažně porušuje. Psal jsem na jejich technickou podporu již dvakrát (poprvé na podzim), aby s tou nehorázností něco udělali, ale nedočkal jsem se ani odpovědi. Snad s nimi pohne alespoň tato medializace na celkem nevýznamném blogu.

Co s tím?

  • Nepoužívejte služby Centra, na nichž se musíte přihlásit. (Google stejně hledá lépe.)
  • Pokud je používáte, vždycky se co nejrychleji odhlaste.
  • Zamezte svému prohlížeči posílat referer. Ve Firefoxu to lze udělat pomocí Web Developer Toolbaru nebo jiných rozšíření, případně tak, že:
    • Do adresy napíšete about:config.
    • Do filtru napíšete referer – měla by vám zůstat položka network.http.sendRefererHeader
    • Změníte hodnotu na 0.
    Problém tohoto řešení je v tom, že některé stránky nemusí fungovat správně. Bude jich ale velmi málo.
  • Napište e-mail na Centrum.cz, že vám toto chování vadí

Související informace

  • Cookies – Konec anonymního "brouzdání" Internetem? – starší článek Jirky Koska vysvětlující základní princip cookies.
  • Cookies – totéž na serveru Jak psát web Dušana Yuhůa Janovského.
  • Braňte si své soukromí – seriál na Rootu staršího data. Týká se sice trochu jiného tématu, ale moc kvalitních informací o ochraně soukromí při brouzdání jsem na českém internetu nenašel.
  • Chraňte své soukromí – stránka portálu Bezpečně on-line, rady na ní jsou ovšem často příliš nepraktické na to, aby byly použitelné.

Co vy na to?

zobrazit všechny komentáře

Aktuální Seky

.