Dansk firma: Du behøver ikke sætte cookies - brug vores Deep Packet Inspection i stedet

Hvis dit website bruger cookies, skal brugerne ifølge cookie-bekendtgørelsen have det at vide. Men danske Unispeed leverer en løsning, som kan overvåge brugerne helt uden cookies.

For at beskytte borgernes privatliv, kræver det europæiske cookie-direktiv og den danske cookie-bekendtgørelse, at et en bruger af et website tydeligt skal acceptere, at sitet gemmer cookies på brugerens pc. Paradoksalt nok kan reglerne betyde, at websites skifter til ny teknologi, der indsamler langt mere information end med cookies - og det endda uden at give brugerne besked. For den alternative løsning er slet ikke omfattet af cookie-bekendtgørelsen.

Læs også: Her er de nye cookieregler: Sådan skal du gøre

Man behøver altså slet ikke cookies, hvis man vil hive informationer hjem om brugerne. Den danske virksomhed Unispeed laver udstyr, som analyserer internettrafik i en rivende fart og giver samme oplysninger som en cookie kan, uden at brugerne ved det eller behøver give samtykke.

Cookie-fornægtere ødelægger statistikker

En cookie er en lille tekstfil, som bliver lagret på din harddisk, når du besøger en hjemmeside. Et slags navneskilt, der gør, at hjemmesiden fremover kan huske dig og dine præferencer samt lave analyser over din færden på nettet. Analyserne bliver typisk brugt til at optimere hjemmesiderne efter brugernes adfærd og til at sende målrettede reklamer i din retning.

Hvis du ikke ønsker at være del i en analyse, kan du nægte at modtage cookies eller slette dem efterfølgende.

Efter stor fokus på overvågning på nettet er der også dukket software op som Ghostery og Do Not Track Plus, som har til formål at blokere cookies fra analyseværktøjer og reklamenetværk. Det er naturligvis et problem for mange hjemmesideejere, hvor analyser om kunderne er guld værd.

Analyser uden cookies eller samtykke

Derfor har Unispeed udviklet produktet Netlogger, som analyserer hjemmesidetrafik og kan identificere brugerne uden at bruge cookies.

Der er nemlig en række oplysninger, man sender til hjemmesiden uanset om man bruger cookies eller ej. Det er for eksempel informationer om ip-adresse, browsertype og operativsystem. De oplysninger sammen med refererende side og eventuelle argumenter som brugeren medsender, gør Netlogger i stand til at bygge en profil op omkring brugeren, og følge færden på hjemmesiden

Metoden kaldes også Deep Packet Inspection, DPI, og bruges blandt meget andet af visse internetudbydere til at spærre for brugernes adgang til bestemte websites samt af politi og efterretningsvæsener i efterforskningsøjemed.

Læs også: 3 spærrer Grooveshark-adgang med avanceret sniffer-metode

Sådan virker Netlogger

Netlogger arbejder på en kopi af data trafikken enten ved hjælp af en såkaldt lyssplitter eller fra span/mirror porten på en router. En splitter er i princippet et spejl, der hiver en del af det lys som bærer netværkstrafikken ud og ind til serverne gennem lysledere.

To vejs trafikken fra netværket bliver herefter stykket sammen og analyseret på serveren som kan håndtere op til 10 millioner datapakker i sekundet.

På den måde kan den lytte med på trafikken uafhængigt af hvilken serveropsætning, man har. Det har også den fordel, at Netlogger er usynlig for hackere, og det er derfor umuligt for hackerne at slette logfiler for at skjule deres spor.

Trafikken bliver herefter analyseret på en server, som kan klare op til 10 millioner datapakker i sekundet. Alt i alt gør Netlogger det altså muligt med sofistikeret teknologi at hente data hjem om internetsurfere uden deres viden og uden mulighed for at sige fra.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Simon Mikkelsen

De nævnte informationer er også tilgængelige for ethvert script - det er helt unødvendigt at bruge deep packet inspection. Desuden kan man både ændre eller helt udelade at sende dem, så vil man have sit privatliv i fred, er det kun et spørgsmål om at installere den rigtige privatlivs-plugin, der fx svarer at man har en lidt forskellig browser hver gang - og det gør den naturligvis på mange parametre. Så er det system sat ud af spillet.

Derudover er identifikationen rigtigt nok god, men ikke nødvendigvis entydig og kan ikke bruges til fx session management, så skal man logge ind eller er man en webshop, dur den ikke.

Selvom cookie-loven er rigtig dårligt stykket sammen kan man i øvrigt overveje det moralske i at man laver en teknisk work around udelukkende for at man kan tvinge dem til at blive overvåget uden deres viden.

  • 9
  • 0
#2 Flemming Hansen

Desuden kan man både ændre eller helt udelade at sende dem, så vil man have sit privatliv i fred, er det kun et spørgsmål om at installere den rigtige privatlivs-plugin, der fx svarer at man har en lidt forskellig browser hver gang - og det gør den naturligvis på mange parametre. Så er det system sat ud af spillet.

Men er det ikke fuldstændig overkill og paranoid at kæmpe dette "privatlivets fred" på det niveau? Tracking bliver primært brugt til at målrette reklame. Det handler jo ikke om at de vil misbruge dine personligt informationer - det er der andre der tager sig af.

Forestil dig at du går ind i en fysisk butik og køber en varer, og kommer igen ugen efter hvor ekspedienten kan huske dig og derfor viser dig en lignende varer de lige har fået hjem.

Vil du kræve at ekspedienten skal hjernevaskes hver gang du har været i butikken, eller er det ok at de kan huske dig og derfor servicere dig bedre?

Jeg synes at alle os der gerne vil trackes bliver lidt glemt i det her. Vi skal pludselig besværes med at acceptere cookies på alle mulige sites for at kunne fortsætte med at bruge nettet som hidtil.

  • 8
  • 5
#3 Mark Gjøl

Jeg mindes at det var kritik af præcis dette scenarie der dominerede debatten, da forslaget om cookie-loven blev taget op. Det er da godt at vide, at vi er lidt mere fremsynede end vores politikere.

  • 4
  • 0
#4 Allan S. Hansen

Forestil dig at du går ind i en fysisk butik og køber en varer, og kommer igen ugen efter hvor ekspedienten kan huske dig og derfor viser dig en lignende varer de lige har fået hjem.

Nu er der voldsom stor forskel mellem en person der måske eller måske ikke kan huske noget om en anden person, og noget der opbevares elektronisk og kan bruges af alle/andre.

Ekspedienter kan ikke huske 1000-vis af kunder hver dag, og i vilkårlig lang tid og dele det med alle de andre ekspedienter i forskellige butikker m.m. Det kan sådanne oplysninger.

Hvis man ønsker at blive track'et/sporet/opbevaret af alle mulige - så bør det altid være opt-in, i stedet for omvendt.

  • 8
  • 1
#5 Flemming Hansen

Nu er der voldsom stor forskel mellem en person der måske eller måske ikke kan huske noget om en anden person, og noget der opbevares elektronisk og kan bruges af alle/andre.

Ekspedienter kan ikke huske 1000-vis af kunder hver dag, og i vilkårlig lang tid og dele det med alle de andre ekspedienter i forskellige butikker m.m. Det kan sådanne oplysninger.

Så randomfaktoren om hvorvidt en ekspedient kan huske dig retfærdiggøre forskellen? En hjemmeside er jo bare en ekspedient med en rigtig god hukommelse - dog ikke bedre end at kunden "glemmes" hvis cookie slettes eller man bruger en anden maskine eller browser.

Hvorvidt en ekspedient kan huske 10 eller 1000 kunder er da også ligemeget. Det gør ingen forskel for mig om ekspedienten kan huske andre end mig.

  • 2
  • 3
#7 Christian Hedemann Olsen

Når lovgivningen baserer sig på konkrete teknologier og ikke på hensigter. Lovgivningen prøver at forhindre tracking af brugere, som brugerne ikke ved noget om. At indskrænke lovgivningen til at dække cookies skaber huller som dette. Hvorfor dækker lovgivningen fx. ikke også local storage?

  • 12
  • 0
#8 Morten W. Jørgensen

Så randomfaktoren om hvorvidt en ekspedient kan huske dig retfærdiggøre forskellen?

Jeg ved ikke hvad du mener med 'randomfaktoren', men en af forskellene er at den gode ekspedient kan huske dig mens hjemmesiden skriver dig ind i en liste. Og det sidste, det er forbudt. Det har det været i lang tid i den fysiske verden og nu er det tilsyneladende også næsten i den digitale.

Da jeg sad i kassen i Bilka efterspurgte vi en liste over folk der var kendt for at lave ballade eller rapse i lige lovlig stor stil. Den kunne vi ikke få, sagde cheferne, fordi den ikke eksisterede. Og den eksisterede ikke fordi det var ulovligt. Du husker måske også det "bølleregister" fodboldklubberne gerne ville have? Jeg kan ikke huske udfaldet, men hele debatten var der fordi det umiddelbart var ulovligt at oprette såden et register.

  • 5
  • 0
#11 Allan S. Hansen

Så randomfaktoren om hvorvidt en ekspedient kan huske dig retfærdiggøre forskellen? En hjemmeside er jo bare en ekspedient med en rigtig god hukommelse

Nu tvivler jeg mere på du faktisk er seriøs men ....

Det er ikke 'randomfaktoren'. Der er registreringsfaktoren.

Og nej- en hjemmeside er ikke blot en ekspedient med rigtig god hukommelse. For det første er der normalt mere end én ekspedient i en fysisk butik. For det andet er forskellen mellem 'huske' og 'registrering'.

Prøv du at få folk til at skulle give oplysninger, en masse oplysninger, på skrift til et arkiv hver gang de går ind i butikken og se forskellen mellem det og 'god hukommelse'.

  • 2
  • 0
#12 Martin Neiiendam

Som jeg husker lovgivningen er det "direkte personhenførbare oplysninger", der er omfattet af oplysningspligt. Det vil principielt betyde, at hvis man skriver fx navn, adresse og cpr-nummer ind i sin agent-streng (ja - det lyder dumt), så vil enhver webserver med almindelig logning blive omfattet af oplysningspligten. Hvilket vil sige man kunne kræve indsigt i hvad alle mulige firmaer har gemt om en - og dermed få deres administrative omkostninger til at eksplodere. En form for administrativ ping-flood? Jeg kan lige se denne form for distribueret denial of service for mig.

En lille hage ved at bruge DPI til at identificere brugeren er, at de fleste web-frameworks har en god integreret support for at læse og skrive cookies og binde sessionsinformation op på cookie-id. Men det kan selvfølgelig være firmaet har en god løsning på det.

  • 1
  • 0
#13 Jakob Borbye

Tracking bliver primært brugt til at målrette reklame. Det handler jo ikke om at de vil misbruge dine personligt informationer - det er der andre der tager sig af

Primært, ja. Men det bliver i højere og højere grad også brugt til prisdiskrimination og dynamisk prisfastsættelse. Se f.eks. her: http://www.guardian.co.uk/money/blog/2010/aug/07/computer-cookies-bookin.... Jeg har selv oplevet det når jeg har skullet finde flybilletter via prisrobotter. Man kan selvfølgelig diskutere hvad der udgør misbrug af oplysninger, men denne praksis er direkte i modstrid med mine økonomiske interesser som forbruger.

  • 4
  • 0
#14 Flemming Hansen

Primært, ja. Men det bliver i højere og højere grad også brugt til prisdiskrimination og dynamisk prisfastsættelse

Ja, cookies bliver brugt til mange gode og dårlige ting, men jeg vil æde min hat på at regeringen på intet tidspunkt har tænkt pris-manipulation med cookie-lovgivningen, så det er bare et område der også tilfældigvis bliver ramt - til de finder en anden smart måde at gøre det på.

  • 0
  • 1
#15 Jesper Lund

Som allerede nævnt, er det lidt fjollet at blande DPI ind i det. Din http-header gør dig som oftest fuldstændig unik. Tjek selv hvor unikt din browsers fingeraftryk er på http://panopticlick.eff.org/

Et lille bidrag til at mindske dette problem (men slet ikke nok) er at forhindre "font detection" via Flash. Det kan gøres med denne linje i Adobe mms.cfg config filen

# Disable access to information about installed fonts  
DisableDeviceFontEnumeration = 1

Jeg er godt klar over at der skal meget mere til, men man skal starte et sted.

  • 2
  • 0
#16 Ulrich Østergaard

I den her kontekst er overvågning af brugere sjældent formålet når en virksomhed installerer sniffere på netværket. Det drejer sig i langt højere grad om at sikre at netværket fungerer optimalt og brugeren uanset browsertype og version, får de sider og elementer denne beder om. Det er snifferen rigtigt god til, da den ser trafikken til/fra alle serverne samlet og kan ganske præcis beregne response tiden, og om hvorvidt hele siden er loaded inden brugeren surfer videre på sitet. Når man ønsker at "tracke" brugere hen over sitet er det uinteressant, hvad den enkelte bruger gør. Det der har, eller bør være virksomhedens interesse er om brugerne kommer frem til den side, artikel eller vare som interesserer brugeren med færrest mulige click og med mindst muligt delay og minimum belastning på netværk og servere. Hvis man har styr på disse ting så skal kunderne nok vende tilbage til sitet helt af sig selv.

  • 0
  • 0
#17 Ulrich Østergaard

I forhold til Google analytics kræver teknikken en investering og muligvis lidt mere arbejde i opstarten, men når først den er etableret er der langt mindre vedligehold end ved andre systemer. Tagging af sider og sammenkøring af logfiler fra forskellige weservere overflødiggøres.

  • 0
  • 0
Log ind eller Opret konto for at kommentere