Centrum.cz vážně narušuje soukromí svých uživatelů
Používáte vyhledávání na Centrum.cz? Používáte nějaké další služby tohoto portálu, do kterých je třeba se přihlásit? Tak to nedělejte. Centrum totiž přihlašuje své uživatele takovým způsobem, že administrátoři stránek, na které přejdete z vyhledávání na Centru vědí, kdo jste (a samozřejmě kdy jste u nich byli a co jste tam dělali).
Trocha teorie pro začátečníky aneb jaké stopy zanechávají internetoví brouzdalové
Brouzdání internetem není tak anonymní, jak si mnoho lidí myslí. Pokaždé, když si chcete zobrazit nějakou internetovou stránku, váš prohlížeč posílá serveru požadavek. Ten vypadá třeba takhle:
GET /sluzby/sem-marketing/ HTTP/1.1 Host: www.all-stars.cz User-Agent: Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; cs; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3 Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5 Accept-Language: en-us,en;q=0.7,de;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: ISO-8859-2,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Referer: http://www.google.com/search?hl=en&q=internetov%C3%A1+reklama&btnG=Google+Search Cookie: s_nastav=14247; charset=utf-8; PHPSESSID=a4f8a25b3382fe850b91dd3235242e25
V prvním řádku prohlížeč serveru říká, jakou stránku požaduje a jaký protokol pro spojení používá, v druhém řádku je identifikace webu, z něhož se má stránka stáhnout. (Na jednom fyzickém serveru může běžet mnoho webů, takzvaných virtuálních serverů.) Tyto dva řádky nejsou z hlediska ochrany soukromí příliš zajímavé. Třetí řádek obsahuje údaje o použitém prohlížeči, operačním systému atd. Následuje několik řádků s údaji o typech dokumentu, které prohlížeč dokáže zpracovat atd., které rovněž nejsou z našeho hlediska příliš zajímavé. Zajímavé jsou naopak poslední dva řádky. Referer říká cílové stránce, odkud uživatel přišel. V tomto případě je v něm adresa výsledků vyhledávání na Googlu. V posledním řádku zasílá prohlížeč stránce data, která si u něj předtím server uložil jako tzv. cookies (prohlížeč posílá vždy jen cookies, která si uložil server, od nějž požaduje dotyčnou stránku). Kromě toho server zná IP adresu počítače, který požadavek odeslal.
Tyto údaje se na většině serverů ukládají do takzvaných logů. Z logu může administrátor serveru vyčíst, jaké stránky si kdo prohlížel, odkud přišel atd. Záznam ze serverového logu vypadá např. takto:
137.31.17.115 - - [28/May/2006:12:05:04 +0200] "GET / HTTP/1.1" 200 8815 "http://www.google.com/search?hl=en&q=internetov%C3%A1+reklama&btnG=Google+Search" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; cs; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"
Provozovatel serveru s přístupem k logům o svých návštěvnících tedy typicky ví:
- Jakou IP adresu měl jejich počítač.
- Z jakých stránek na jeho server přišli.
- Kdy přišli a co na jeho serveru dělali.
- Jaký prohlížeč a operační systém použili.
- Pokud mají zapnuté cookies, může i spolehlivě vědět, zda a kdy v minulosti již jeho server navštívili a co tam dělali.
Provozovatel se naopak typicky nedozví, jak se uživatel jmenuje, kde bydlí, jakou má e-mailovou adresu atd. Může se to nicméně dozvědět např. pomocí objednacího formuláře na svých stránkách, ten ale musí uživatel dobrovolně vyplnit, takže provozovatel serveru tyto údaje získává s jeho souhlasem.
Všechny tyto údaje slouží typicky ke statistickému zpracování (mohou být podkladem pro optimalizaci stránek) a mohou se hodit i při odhalování útoků na server atd. Nijak zvlášť dobře se nehodí k tomu, aby je někdo využil ke špehování návštěvníků, vydírání atp., protože i kdyby administrátor serveru chtěl, neví, kdo k němu vlastně chodí (ze samotné IP adresy se toho moc poznat nedá).
Problém Centra
Dobrá, v čem je tedy problém? Jak narušuje Centrum.cz soukromí svých návštěvníků? Inu, jednoduše. Pokud jste přihlášeni na Centru, adresy, které si prohlížíte, obsahují údaj o vašem přihlašovacím jménu. (Pravděpodobně tu část vaší e-mailové adresy na Centru, která je před zavináčem.) Při vyhledávání je to např.: http://search.centrum.cz/~~cook~jan.bohacek/index.php?q=sex&mt=2&mts=1&sec=mix&kibitz=0&x=37&y=9. Nu, a pokud kliknete na nějaký odkaz, provozovatel serveru s lechtivými obrázky uvidí ve svém logu:
83.69.62.1 - - [27/May/2006:20:34:36 +0200] "GET /xxx HTTP/1.1" 200 8234 "http://search.centrum.cz/~~cook~jan.bohacek/index.php?q=sex&mt=2&mts=1&sec=mix&kibitz=0&x=37&y=9" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
(Pozn. toho Boháčka jsem si přirozeně vymyslel.) Kromě toho z logu může vyčíst, které obrázky si pan Boháček kdy prohlížel, kdy se opět zastavil atd. Jestli vám teď neběhá mráz po zádech jenom proto, že si neprohlížíte v pracovní době lechtivé obrázky a tudíž se nemáte čeho bát, zkuste se na chvilku zamyslet. Tady nejde jen o lechtivé obrázky, tady jde o princip. Pochybuji, že uživatelé dali Centru.cz souhlas k tomu, aby jejich identifikační údaje předával třetím osobám, což se de facto děje. Soukromí je na internetu citlivá věc a etika i zákony přikazují je respektovat. Centrum ho tímto naopak závažně porušuje. Psal jsem na jejich technickou podporu již dvakrát (poprvé na podzim), aby s tou nehorázností něco udělali, ale nedočkal jsem se ani odpovědi. Snad s nimi pohne alespoň tato medializace na celkem nevýznamném blogu.
Co s tím?
- Nepoužívejte služby Centra, na nichž se musíte přihlásit. (Google stejně hledá lépe.)
- Pokud je používáte, vždycky se co nejrychleji odhlaste.
- Zamezte svému prohlížeči posílat referer. Ve Firefoxu to lze udělat
pomocí Web Developer Toolbaru nebo jiných rozšíření, případně tak, že:
- Do adresy napíšete about:config.
- Do filtru napíšete referer – měla by vám zůstat položka
network.http.sendRefererHeader
- Změníte hodnotu na
0
.
- Napište e-mail na Centrum.cz, že vám toto chování vadí
Související informace
- Cookies – Konec anonymního "brouzdání" Internetem? – starší článek Jirky Koska vysvětlující základní princip cookies.
- Cookies – totéž na serveru Jak psát web Dušana Yuhůa Janovského.
- Braňte si své soukromí – seriál na Rootu staršího data. Týká se sice trochu jiného tématu, ale moc kvalitních informací o ochraně soukromí při brouzdání jsem na českém internetu nenašel.
- Chraňte své soukromí – stránka portálu Bezpečně on-line, rady na ní jsou ovšem často příliš nepraktické na to, aby byly použitelné.
Co vy na to?
[1] Trochu to precenejus
Řekl bych, že význam této informace v refereru poněkud přeceňuješ. Navíc já osobně nepovažuji přihlašovací jméno za citlivý údaj.
[2] Trochu to precenejus
To je skoro kauza hodná zpravodajství TV Nova ;-)
[3] Trocha hysterie
Tak jednak jmeno a prijmeni NEJSOU osobni data, ani identifikacni udaje ani nic jineho. Druha vec je ta, ze internet nebyl, neni a nikdy nebude zcela anonymni. Na to bych nezapominal.:-)
[4] spam
Timto zpusobem by se dal sehnat docela zajimavy mail list.
[5] Llaik
Pokud chce nekdo sehnat maillist, znam urcite mnohem pohodlnejsi zpusoby, nez se snazit lakat lidi z nekterych sluzeb centra, aby prechazeli na muj web a pak se koukat do logu... imho staci projet par diskuznich for, kde se mailove adresy zobrazuji a hned ten maillist mate vyrazne vetsi.
Krome toho mi prijde mirne nepravdepodobne, ze byste prechazeli na pornograficke stranky ze stranek Centra.
Ale jako bublina hezke, zkuste to napsat na Novu (viz [2]), urcite se dostanete do hlavniho vysilaciho casu :)
[7] Hale to vědí všichni podle ip
To co tady žblemtáš to ví každý provozovatel nějaké stránky, pokud to chce vědět. Seznam a Atlas to dělají také.
[8] Ale Centrum poskytuje i vyplnene osobni informace!
[3] Pravda, ale da se podle nich na Centrumu dohledat, kdo jsi. Spousta lidi treba pouziva xchat.cz, tam si mohu dohledat s kym si povida ten clovek, co si prohlizi porno u me, s trochou stesti se da i sehnat jeho fotka, prave jmeno, mesto, kde zije... A uzivatel nevi, ze pouhym pouzitim vyhledavani na Centrumu poskytuje serveru, na ktery pristupuje tuto informaci. Dokonce by tam nemelo byt ani session id.
[9]
No to je fakt problém. Ještě že třeba takoví ISP neví vubec nic ;)
[10] Ale ty vyplnene "osobni" informace jsou poskytovany zcela s uzivatelovym svolenim
[8] Ale to není problém Centra, ale uživatele, zda dovolí spárovat svuj mail s dalšími informacemi o něm, pokud je někde uvede. Ani toho session id bych se nebál. Samo o sobě nemá žádnou hodnotu, protože autentizace uživatele by nejspíš neměla probíhat jen oproti session id.
[11] Je to problém
Na rozdíl od předchozích komentujících to za dost vážný problém považuji. Sice na Centru žádné služby kromě mailu nepoužívám, ale posílání jména a příjmení (v nejhorším případě) kdejakému webu do logu se mi vůbec nelíbí. Díky za článek, nikdy předtím mě to nenapadlo.
[12] Souhlasim
Souhlasim s clankem a nekterymi komentujicimi, je to docela zavazny problem, v pripade ze se najde nejaky debil, ktery to zneuzije. A jak znam spolecnost, takove individuum nenmusite hledat, brzo si ono najde Vas.
[13] chjo
btw. To je takovy problem doplnovat u webu http:// automaticky?
[14] Zaděláváte si na velký problém
Jako profesionální vývojář nejmenované společnosti tento článek označuji za silně klamavý a nechtěl bych být v kůži autora, celý článek posílám do Centra a jsem zvědav, co vám k tomu u soudu řeknou.
[15] ano, je to necestne
Urcite je to necestne a nesportovni. Dilem o tom uzivatel nevi, dilem je to opravdu predavani osobnich informaci. Sluzbu neuzivam, nemohu si tedy overit ve skutecnosti.
Web rozhrani Email Seznam dela neco podobneho: vyuziva pro odkazy aliasy, ktere se nekam nepochybne loguji:
tedy: kliknu-li ve web emailu na http://a
pak se provede http://seznam.cz/redirect/a
a teprve po te http://a
To je take necestne. Co je komu do toho na co klikam v osobnim emailu?
PS: ten nadpis clanku je ale presto trochu ala blesk!
[16] Opravdu závažný problém
Nevím, proč to někteří komentující zlehčují. Ihned získat e-mailovou adresu návštěvníka, který přijde na mé stránky je sen všech obchodníků a noční můra všech uživatelů.
[3] Špatně jste to pochopil, v Refereru se nepředává jméno a příjmení, ale login, ze kterého se přidáním @centrum.cz dá triviálně odvodit e-mail, což osobní údaj je.
[15] Seznam e-mail nedělá něco podobného, ale pravý opak - redirect slouží právě k tomu, aby se na cílovou stránku nedostalo vaše Session ID, a slouží tak jako ochrana uživatelů. Sledovat, na co klikáte, by se dalo mnohem transparentněji.
[17] To se teď v Centru nosí?
[14] To se teď v Centru nosí? Výhružky a špiclování? nejmenovaný vývojáři?
[18] Odkazy
Osobně mi předávání těchto informací v URL vadí. Důvod je však mnohem odlehčenější. Vadí mi to proto, že cokoliv potom na Centru dělám a chci někomu poslat odkaz na stránku, kterou si prohlížím, on si ji zobrazit nemůže, protože URL je fixováno na moje přihlášení. Nemůžu udělat copy/paste, to mě štve.
[19] zemze
[16] Prestoze popisovany problem Refereru to opravdu odstranuje, jiny zpusob logovani o klikani na odkazech na strane serveru bych tezko hledal. Podobnost jsem spatroval v netransparentnosti tohoto kroku, nikoliv v obdobnosti technickeho reseni.
Ztrata refereru je ale zrejme vetsi zlo. Jine reseni si dokazi predstavit jen pomoci JS, coz je nespolehlive, nebo se mylim?
[20] ...
[1] Vzhledem k tomu, že přihlašovací jméno je zároveň de facto e-mailováá adresa a navíc je často více méně shodné s reálným jménem, jde dle mého názoru o velmi citlivý údaj, který by bez svolení uživatele nikdo nikam předávat neměl.
[2] To jo, ale Nova neumí udělat pořádnej bulvár ;-) Pravda, nezvolil jsem mírný ton, ale podstata věci mi připadá skutečně nehorázná. Nedokážu si představit, co by se strhlo, kdyby něco takového udělal Google, nebo dokonce Microsoft. Nebo jakákoliv americká firma.
[5] Podívejte se např. na http://img.netcentrum.cz/reklama/autopromo/vyhledavani/slova/index.html nebo http://o.centrum.cz/pressroom/clanek.phtml?id=232 Opravdu si myslíte, že na Centru porno nikdo nehledá? Já myslím, že zastoupení bude zhruba stejné, jako na všech ostatních vyhledávačích. Tedy vysoké.
[9] Rozdíl je v tom, že můj ISP nepředává mou e-mailovou adresu ani jiné údaje provozovatelům stránek, které navštěvuji.
[14] Jako profesionální vývojář nejmenované firmy, který si přeje zůstat v anonymitě byste se asi neměl připojovat přes DNS gate-out.netcentrum.cz.
Pokud jsou některá má tvrzení zavádějící, budu vděčný, pokud mne na tyto nesrovnalosti upozorníte, rád je odstraním.
Zatím však mám za to, že byste v Centru měli, dříve než začnete vyhrožovat, odstranit tento vážný problém.
[21] co by mohli říct u soudu
[14] Milý zvědavý vývojáři (profesionální), podle mě by u soudu mohli říct třeba tohle:
1. Osobním údajem je podle zákona 101/200Sb. jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat.
2. Správce osobních údajů je povinen stanovit účel, k němuž mají být osobní údaje zpracovány a zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny.
3. Centrum ve svých podmínkách uvádí, že osobní údaje slouží jako prostředek k prezentaci uživatele v rámci služeb provozovatele a nebudou použity k žádným dalším účelům.
Mno, kdyby autor tvrdil, že Centrum porušuje zákon o ochraně osobních údajů, bylo by to jiný kafe, ale že porušuje soukromí svých uživatelů, by si asi obhájil :)
[22] Osobni udaje...
Ad 1 a 3: Uzivatelske jmeno na sluzbe je osobni udaj? Toho bych se nechtel dozit... kazda sluzba, ktera manipuluje s regsitraci by pak toto musela resit.
Jak je definovana ochrana soukromi uzivatele?
[24]
http://my.opera.com/kimkardashiansextape/blog/||kim kardashian sex tape
[25]
http://my.opera.com/kimkardashiansextape/blog/||kim kardashian sex tape
[26]
http://my.opera.com/kimkardashiansextape/blog/||kim kardashian sex tape
[27]
http://my.opera.com/kimkardashiansextape/blog/||kim kardashian sex tape
Aktuální Seky
- Truhlářství Švagr – kvalitní dřevěná okna a dveře – Hledáte-li kvalitní dřevěná eurookna nebo vchodové či interiérové dveře, Truhlářství Švagr je správnou volbou.