עוגיות צד-שלישי ומעקב: למי בכלל איכפת?

פרויקט What They Know של הWall Street Journal הוא פרויקט מקיף, שלראשונה מוציא בעיתונות הפופולרית מידע על המעקב שמבצעים אתרי אינטרנט על גולשיהם, וכיצד שירותים חולקים מידע. הממצאים הרבים בנוגע לTracking Cookies ומעורבות של מיקרוסופט באי-אבטחת הדפדפן על מנת לאפשר למפרסמים לקבל יותר מידע היו מידע שבנחלת הכלל כבר שנים, פשוט לאף אחד לא היה איכפת. ככלל, כמעט כל האתרים הגדולים מאפשרים לשירותים שונים ומשונים לשתול עוגיה בתוך המחשב של המשתמש, שמאפשרת לזהות אותו לא רק באתר שבו נשתלה העוגיה אלא גם באתרים אחרים. אותה Third Party Cookie היא עוגיה שנשתלת על ידי שירות מסוים, שאינו חייב להיות זדוני, ומשייכת את הדפדפן למספר מזהה כלשהוא; לאחר מכן, כל עמוד אליו אותו דפדפן גולש, שמכיל את השירות הזה, מאפשר לעקוב אחריו ולדעת מה הוא עוד עשה.

המחקר של מיכאל בירנהק וניבה אלקין-קורן על פרטיות באתרי אינטרנט ישראלים הראה שלאף אחד לא באמת איכפת מהפרטיות של המשתמשים שלו. אולם את המסקנה הזו רואים בכל יום; כל שירות חדש שמנסה לחדש, לשנות ולקדם את החברה מכיל בעיות פרטיות לא קטנות. כשפייסבוק שחררו לא מזמן את מערכת הLike, הם איפשרו לפייסבוק להיות המרגלת הגדולה ביותר אחרי משתמשיה: היא מספקת לאתרים פלטפורמה לחלוק מידע, ולקדם את עצמם, ומנגד היא מקבלת מידע על האתרים. אבל החדשנות של פייסבוק היא רק דוגמא אחת מני רבות.

מהיכן בא הדחף לשתול את אותן העוגיות? זו שאלת מיליארד הדולר. כאשר אתר כמו Ynet מחזיק שלושה שירותים שונים למדידת החשיפה שלו, ואתר TheMarker חולק את המידע הפרטי של הגולשים שלו עם כלים מפוקפקים כמו Gemius.pl, האם כלל איכפת לו מהגולשים או מהיכולת להפיץ מידע?

רוב שירותי הרשת לא מתעניינים במשתמש הבודד, אלא במידע מצטבר לא מזהה אישית (Aggregated, non-personally identifiable information). הרעיון הוא שסטטיסטית, המידע מעניין יותר כאשר הוא נותן פילוח גדול: גולשים שגלשו לThemarker גלשו גם אחר כך לאתר X, ולכן, אם יש זהות בין השניים, אפשר לפרסם גם באתר X פרסומות שהיינו מעתדים ללקוחות TheMarker בעלות נמוכה יותר. ככל שניתן לבנות פרופילים וחיתוכים טובים יותר, אפשר גם לתת מידע יותר טוב למפרסמים, ולקבל שווי יותר גבוה לכל פרסומת.

הצורך כאן לא נובע מרוע, אבל הוא גורם לתחושת אי-נוחות ותחושה של מעקב. יש לו גם השלכות רעות אחרות. אחת הבעיות ברשתות הפרסום הגדולות היא שהן מוכרות iFrame, כלומר ריבוע קטן בתוך אתרים אחרים (נניח, בתוך TheMarker, אבל לא בהכרח) למפרסמי משנה. אותם מפרסמי משנה בוחנים האם לגולש יש Cookie שלהם, ויכולים לבחור האם להציג את הפרסומת (ולשלם לרשת הפרסום) או לא. מפרסמי המשנה בדרך כלל אדישים לגבי האתר המציג, ולכן יכול (ואף סביר) שיתרחש התרחיש הבא: אדם א' ואדם ב' חולקים את אותו מחשב, ואותו משתמש על המחשב. בשעות הערב, כאשר אדם ב' ישן, אדם א' גולש לאתרי מבוגרים, נניח PornHub, אותו אתר מכיל, בין היתר, את התשריט של Google Analytics. אותו תשריט מתעד שדפדפן ג' (הדפדפן של אדם א' ואדם ב') ביקר לאורך 15 דקות באתר פורנוגרפי, ולכן הוא משייך אותו לפרופיל של אתר פורנוגרפי. לאחר מכן, בבוקר גולש אדם ב' לאתר טיפו אשר גם מכיל את אותו התשריט. השירות של גוגל משייך ולומד, שאם הרבה א' וב' עושים את אותו הדבר, הרי שיש דמיון בין התעבורה באתר טיפו לאתר Pornhub. בעקבות אותה מסקנה, כאשר יעשו שימוש בשירותי הפרסום של Google באחד האתרים האלה, הוא יציג גם תכנים הרלוונטיים לאתר השני.

כמובן, שבמקרה הזה אנחנו מדברים על דיון תיאורטי לחלוטין ועל נזק תיאורטי, אבל עצם הפילוח של הפרסומות לכאלה שאינם מעוניינים במעקב אחריהם. השירותים גם לא מבדילים בין מי שהוא קטין למי שאינו, ועשויים להחזיק מידע רגיש מאוד לגבי הרגלים של קטינים (גם אם בצורה לא מזהה), מה שמחזק את המסקנה שלאתרי הילדים לא איכפת מפרטיות הגולשים שלהם אם הם משתמשים בשירותים שחולקים מידע.

כלומר, הבעיה שחשף הWall Street Journal היתה ידועה לכולם כבר הרבה זמן. מי שידע עליה והיה לו איכפת, פשוט חסם בצורה טכנולוגית את השירותים האלה. מי שלא, כנראה שלא איכפת לו גם שמצלמים אותו ברחוב, שמקליטים אותו ושעוקבים אחריו. כעת, השאלה היא, מדוע לאף אחד לא איכפת?

20 תגובות ל-“עוגיות צד-שלישי ומעקב: למי בכלל איכפת?

  1. ולמה שיהיה אכפת לי ב99.9% מהזמן? אם אני רוצה להסתיר את העקבות שלי ממילא עדיף שאלך לגלוש אצל חבר או בבית קפה איפה שאפילו הISP לא יהיה מסוגל לעקוב אחרי.

  2. מרק,

    למה שיהיה לך איכפת? המטרה היא לא להסתיר את העקבות, אלא שלא יציקו לך. אני לא אוהב שאנשים ניגשים אליי ומבקשים למכור לי דברים, אני לא אוהב שממלאים את תיבת הדואר שלי בזבל, אני רוצה להעזב בשקט, זה הכל.

  3. מאז 1999 אני מדברת, מרצה ומנסה לשכנע אנשים בנושא הפרטיות ברשת. Tracking Cookies היו כבר אז, אם כי בפורמט הרבה יותר קל לחסימה. ובאמת, לרוב האנשים לא אכפת. הרבה יותר מפריע להם אם הגלישה איטית או אם יש הרבה מדי פרסומות, אבל העובדה שאוספים עליהם מידע ממש לא מרגשת אותם. אני לא מצליחה להבין את זה.

  4. אין קשר בין הרצון "שלא יציקו לי" לבין מעקב באמצעות עוגיות. אם מציקים לך עם עוגיות, ימשיכו להציק לך גם בלי עוגיות – עד שתתקין חוסם פרסומות.
    העוגיות רק מאפשרות למפרסם לדחוף לך פרסומת שיותר מתאימה לך.

    איך עובדת הסטטיסטיקה של קשר בין אתרים וכו'? מעורבים פה אלגוריתמים מאוד מורכבים, תיארת מצב די פשטני של 2 אנשים שחולקים מחשב, בפועל יש מצבים הרבה יותר מסובכים – וכל רשת פרסום מתהדרת בשיטות משלה. היסטורית הגלישה האישית שלך מהווה פקטור מאוד חשוב בבחירת הפרסומות.

    מודל העבודה של המפרסמים כיום מבוסס בעיקר על תשלום לפי LEAD או מכירה בפועל (ולא לפי הצגה), עם היזון חוזר – כלומר פרסומות שמתעלמים מהן מוצגות פחות פעמים מפרסומות שמתייחסים אליהן: לוחצים עליהן, משאירים פרטים, קונים משהו דרך הלינק שבפרסומת. אם פרסומת מעצבנת אותך, פשוט תתעלם ממנה – המערכת תבין את הרמז.

    בסופו של דבר, המשמעות היא שהעוגיות משפרות גם את חוויית הגלישה שלך.

  5. יאיר,

    אני מסכים איתך שעוגיות משפרות את חווית הגלישה. מה שלא משפר את חווית הגלישה הן עוגיות צד-ג', שמאפשרות לצדדים שלישיים לדעת עליי בלי שאני הסכמתי לכך.

    אני לא חושב שאם פרסומת מעצבנת אותי אני צריך להתעלם, אני רשאי לחסום אותה, וכל שירות שעוקב אחריי.

  6. יהונתן – אתה בהחלט רשאי, הנקודה היא שגם אם לא תחסום – פרסומת שמתעלמים ממנה תדעך ותעלם.
    אם תחסום את העוגיות ולא תחסום פרסומות, תקבל פרסומות לא-מפולחות שעוד יותר יציקו לך.
    אם תחסום פרסומות, לא יהיו עוגיות ממילא, ופתרת את בעית המעקב.

    בקיצור, הנושא מלכתחילה רלוונטי רק לאנשים שרוצים פרסומות (ולא חוסמים אותן) – אז למה לא לתת להם פרסומות מפולחות לפי היסטוריה אישית?
    (והשאלה האם מודל של opt-out נכון לפרסומות היא שאלה אחרת לגמרי)

  7. משום מה, אותי זה לא מפתיע. אין סיבה שלאדם הממוצע יהיה אכפת יתר על המידה מהפרטיות שלו, או מכך שמצלמים אותו או עוקבים אחריו. והוא גם לא מבין למה לאנשים כמוך, אכפת.

  8. יהונתן, אני תמיד יכול לחסום פרסומות אם זה הענין. למרבה הצער דוקא הפרסומות הלא מפולחות נוטות להיות הרבה יותר מרגיזות מהמפולחות.

    ניטפוק: בכל מקרה מבחינה טכנית מי שמפרסם עוקב אחריך (לפחות ברמת הIP) ואם זה IFRAME אז אפילו לא מדובר בעוגיות צד שלישי (לפחות מבחינת הדפדפנים). נדמה לי שברירת המחדל בFF היא לחסום עוגיות צד שלישי, אז זה אפילו לא נכון להגיד שלאף אחד לא אכפת.

  9. מרק,
    הרבה יותר מטריד אותי לקרוא פרסומות בג'ימייל על דברים שקשורים לתוכן המכתב שלי מאשר כל דבר אחר.

    ובiFrame עצמו יש את הצד השני (נניח שירות הפרסומות) שנותן לצדדים שלישיים לשתול עוגיות.

    ולא, בפיירפוקס האפשרות פעילה כברירת מחדל.

  10. נראה לי שהבעיה שלך היא בלהגדיר בעיות מעשיות שבן-אדם יחיד עשוי להתקל בהן, או אולי השפעה שלילית כוללת על החברה.

    הדוג' שהבאת היא כל כך מפותלת*, והפגיעה כל כך מינורית (ילד נחשף לפורנו)
    שקשה להתייחס אליה ברצינות.

    כל עוד זה המצב הדיבורים על עוגיות ימשיכו ליפול על אוזניים ערלות.

    *אגב, גוגל לא מפרסמת פורנו או באתרי פורנו.

  11. יהונתן, אתה יכול לאמץ את הפתרון שלי לחסימת פרסומות בגימייל…. לא להשתמש בו ;)

    אני מודה שאני מוצא לפעמים שהפרסומות של גוגל רלבנטיות עבורי ואני בהחלט מקליק עליהן. אם המחיר עבור קבלת שירותים חינמיים הוא איבוד פרטיות בכדי שהאתרים יוכלו להציג פרסומות רלבנטיות, אז זה מחיר שאני כנראה מוכן לשלם. הרבה יותר קל לי עם זה מאשר עם אובדן הפרטיות האפשרי שקשור בשימוש בפייסבוק.

  12. לי מפריעה התזוזה של הפרסומות שמרצדות מול העיניים – הפרסומות של גוגל שהן קצת יותר עדינות למשתמש פחות מטרידות – אני מתעלם הן מאלה והן מאלה. וכבר שנים שאני משתמש בחוסם פרסומות בפ"פ.
    אני מסכים עם יהונתן על האדישות של רוב האנשים – ראבק, את אשתי אני לא מצליח לעניין בזוטות הללו שנקראות פרטיות. מזל שאנחנו משתמשים במחשבים שונים :)
    אבל תרשו לי לקחת את הדיון צעד קדימה –
    אמנם אינני חובב תאוריות קונספירציה, אבל כל טכנולוגיות המעקב קיימות בשימוש ממשלתי ולא רק של חברות פרסום. כיום, ממשלות המערב, על פי רוב, לא עושות שימוש נלוז במידע, ואני נוטה להאמין שהשימוש שנעשה הוא אפילו חיובי – מניעת פשיעה וכדומה. אבל מי ערב לנו שזה תמיד יהיה המצב.
    לכן אני מעדיף שבד בבד עם טכנולוגיות המעקב יצאו כלים של הסתרה וחסימה שהם ברורים וידועים לכל.

  13. צודקים כולכם, יש בעייה תיאורטית אחת וזאת משום שהגולש אינו נשאל באם הוא מעוניים לקבל את מה שהוא מקבל.
    יש מספר פתרונות לאנשים חשדניים שאינם מעוניינים שישתלו להם Tracking Cookies
    לדוגמא תוספת לFIREFOX שנקראת NOSCRIPT

  14. יהונתן, אני תמיד יכול לחסום פרסומות אם זה הענין. למרבה הצער דוקא הפרסומות הלא מפולחות נוטות להיות הרבה יותר מרגיזות מהמפולחות.

    ניטפוק: בכל מקרה מבחינה טכנית מי שמפרסם עוקב אחריך (לפחות ברמת הIP) ואם זה IFRAME אז אפילו לא מדובר בעוגיות צד שלישי (לפחות מבחינת הדפדפנים). נדמה לי שברירת המחדל בFF היא לחסום עוגיות צד שלישי, אז זה אפילו לא נכון להגיד שלאף אחד לא אכפת.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *