bloghoved ole tange

Kære webudvikler: Vær med til at sænke overvågningen

Vi er igang med at udvikle nyt website. I PROSA er vi meget opmærksomme på overvågningen, og vil gerne beskytte vore medlemmer så meget som vi kan - og i hvert fald ikke aktivt støtte overvågningen. Derfor har vi et mål om, at bruger man vores nye webside, så skal ens browser kun tale med vores webserver og ikke med 100+ tracking sites.

Illustration: (CC-By-SA) Ole Tange

Som webudvikler har man et medansvar for overvågningen af borgerne. Det bedst kendte eksempel er nok reklamestalking, hvor en reklame forfølger dig på tværs af websites. Her er det tydeligt, at borgeren bliver tracket. Men der er mange andre tilfælde, der ikke er helt så tydelige.

Facebooks Like-knap hentes normalt fra Facebooks servere, så alene det, at du besøger en side med en 'Like'-knap fortæller Facebook, at du har besøgt siden. Er du ikke logget ind i Facebook, holder Facebook styr på dig, så hvis du på et senere tidspunkt logger ind, ved Facebook præcis hvilken facebookbruger, der er tale om.

Det samme gælder for rigtigt mange dele-knapper: Google+'s +1, Twitter, og Linked-in.

Lidt mindre tydeligt er tracking til analyse. Her ser borgeren ikke overvågningen. Det er f.eks. Chartbeat, som bruges på Politiken. Her bliver Chartbeat informeret om, at du har besøgt en given artikel på Politiken.dk, men Chartbeat bruges også på Avisen.dk, så hvor Politiken alene kan følge, hvilke artikler du læser på politiken.dk, så kan Chartbeat også se, hvilke artikler du læser på Avisen.dk.

Det giver Chartbeat en viden om dig, som hverken Politiken eller Avisen har.

Flere og flere benytter Google Analytics. Det fungerer godt, og det er gratis - i hvert fald for webside-ejeren. Prisen betales naturligvis af nogle andre, og i dette tilfælde er det brugernes privatlivskapital, der betales med.

Ligesom med Chartbeat bliver borgeren ikke opmærksom på, at hvert klik bliver sendt til Google, og hvis man er logget ind i een af Googles services (f.eks. GMail eller Youtube), så kobles disse klik til profilen - ligesom Facebooks Like-knap, og det kan så igen bruges af Googles annoncenetværk (hvor Doubleclick nok er de mest kendte).

Benytter du login via Facebook, Google eller ligende, så bliver borgernes login på dit site naturligvis også koblet til borgernes profil hos Google/Facebook.

Benytter du indlejrede elementer, så som kort fra Google Maps, videoer fra Youtube, de seneste tweets og facebook-opslag, Googles reCAPTCHA, Disqus-debat eller Google Site Search, så bliver leverandøren af disse elementer også informeret om borgerens besøg.

En URL-shortener er jo dejlig, hvis man skal videregive en tosselang URL på tryk, men her kan leverandøren naturligvis også tracke hvilke besøgende, der kommer ind den vej.

Men også helt banale ting som fonte og JavaScript-libraries kan være med til at tracke brugeren. fonts.googleapis.com er velkendt for de fleste webudviklere. Benytter man fonte herfra, så bliver Google informeret om borgerens besøg. Det samme gælder, hvis man bruger JavaScript-libraries f.eks. fra https://ajax.googleapis.com/ajax/libs/jquery/3.1.0/jquery.min.js.

Hvis man benytter CDN (Content Delivery Network) ala CloudFlare, Akamai eller Amazon Cloudfront, så sender du dine brugere via 3-parts servere. Disse skal du naturligvis have tillid til ikke profilerer dine brugere - og hvis CDN'et er gratis at bruge, så kan det tyde på, at forretningmodellen er svarende til Google Analytics: Prisen betales med brugerens privatlivskapital. Du kan øge tilliden ved at bede CDN'et underskrive en databehandleraftale.

Derudover bør man være opmærksom på historien med Lavabit. Lavabit var Snowdens mail-leverandør og blev via et National Security Letter blev Lavabit tvunget til at udlevere krypteringsnøgler.

Grunden til, at vi kender historien er, at Lavabit nægtede; men det kan vi ikke forvente at alle andre leverandører med store aktiviteter i USA vil gøre. Hvis I er nødt til at benytte CDN, så sørg i hvert fald for, at CDN'et holder til i EU (og derfor er underlagt EU's persondataforordning) og at de ikke har store aktiviteter i USA (så de undgår at komme i samme situation som Lavabit).

Løsninger

Løsningen er generelt at lave sin egen kopi og lægge den på ens egen webserver. Det gælder for fontene og JavaScript-libraries; fontene er godt nok lidt bøvlede fordi de skal konverteres til forskellige formater, men det kan lade sig gøre.

Man kan lave sin egen kopi af dele-knapperne, så information ikke lækkes til virksomhederne før der klikkes, men det er bl.a. Facebook selvfølgelig ret kede af.

Indlejrede elementer kan også kræve et klik for at blive aktive, eller man kan hoste dem selv (f.eks. kan de fleste moderne webbrowsere idag afspille .webm-video) eller man kan benytte services, som ikke har ry for at tracke (f.eks. Open Street Map).

At hoste den selv gælder også for URL-shorteneren og søgemaskinen, hvor der findes plug-ins til de fleste CMS'er.

I stedet for Google Analytics kan man bruge noget, som man selv hoster, f.eks. Piwik.

Som login kan man tilbyde OpenID. Så kan borgerne selv vælge, hvilken OpenID-udbyder, som de har tillid til.

Som reklamer kan man enten hoste det selv eller bruge reklamenetværk som ikke tracker. Det sidste kræver selvfølgelig tillid til, at de ikke tracker.

For at forsvare mod aflytning af netværket bør du benytte https alle steder.

Hvis det ikke er muligt at undgå trackingen, så gør det i det mindste klart for borgeren - som minimum ved i beskrivelsen af cookies at nævne præcis hvilke 3. parter, der er tale om, og ikke bare smyge sig udenom ved at skrive "vi deler med 3. part, men gider i øvrigt ikke fortælle dig hvem".

Test det

Disconnect.me, Privacy Badger og Ghostery er gode til at vise, om du har fået det hele med.

CDNPlanet har et værktøj, der også kikker på CDN'er.

Har jeg glemt nogen?

Jeg har identificeret disse trackingmetoder, som man som webudvikler skal være opmærksom på:

  • Dele og like-knapper (f.eks. Facebook Like, Facebook Share, Google+'s +1, Twitter 'tweet', Linked-in 'share')
  • Reklamenetværk
  • Indlejret eksternt indhold eller funtionalitet (f.eks. Google Maps eller Youtube)
  • Eksterne statistiksystemer (f.eks. Google Analytics eller Chartbeat)
  • Login via eksterne parter (f.eks. Facebook Connect)
  • Eksterne URL-shorteners
  • Eksterne fonte
  • Eksterne JavaScript-libraries.
  • CDN

Har jeg glemt nogen? Skriv også gerne en kommentar, hvis du har en løsning, som jeg ikke har dækket.

Relateret indhold

Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Janich Rasmussen

Det er en god portion info - sådan all round - for en ny webudvikler, men synes det virker lidt malplaceret i debatten om privatliv.

Selvfølgelig er der ting i mellem som en webudvikler aktivt kan vælge til/fra, men ...

Hvilken webudvikler anno 2017 [vil|kan|magter|tør] at tage "kampen op" mod marketingsafdelingen der bare vil have Google Analytics, Sleeknote og Website optimizer?

Jeg er fuldstændig enig i, at der er brug for meget mere opmærksomhed på det snart glemte begreb "privatliv", men jeg kan ikke se hvordan det kan (eller bør) lægges over på "webudviklere".

Hvad med f.eks. appudviklere?
https://www.version2.dk/artikel/apps-har-fri-adgang-at-foelge-dine-bevae...

Måske er jeg bare blevet ældre og har lært at leve med det, men dialogen om et "ansvar" og overbevisningen om, at vi selv kan gøre noget ved det, er enormt trættende.
Mens vi diskutere, kommer der hele tiden nye løsninger der bryder grænserne (ansigtsgenkendelse, samkøring af data, etc).

Det virker meningsløst efterhånden.
Denne kommentar virker dog ret spot on, som noget der kunne give dét indspark der er brug for.
Mere fokus på dét, tak! :)
https://www.version2.dk/comment/352107#comment-352107

Ps; Jeg ved godt indlægget var ment af en anden årsag end fremhævet, men blev lige provokeret på en sen eftermiddag med alt for lidt kaffe og søvn. ;)

  • 4
  • 0
Martin Wolsing

Nu er der også en verden til forskel på en hjemmeside til en foreninger der sælger ting eller er reklamefinansieret.

Det er nemt at holde fanen højt, hvis det ingen økonomiske konsekvenser har. For mange sider derimod ville forretningen lukke, hvis de skulle følge alle dine krav.

  • 1
  • 1
Ole Tange Blogger

Nu er der også en verden til forskel på en hjemmeside til en foreninger der sælger ting eller er reklamefinansieret.

Det er nemt at holde fanen højt, hvis det ingen økonomiske konsekvenser har. For mange sider derimod ville forretningen lukke, hvis de skulle følge alle dine krav.

Så vidt jeg kan se, vil langt de fleste anbefalinger være uproblematiske for både webshoppen og for det reklamefinansierede site. F.eks. har jeg svært ved at se, at det skulle koste forretningen noget, hvis det f.eks. krævede et ekstra klik for at trykke 'Like'.

Kan du uddybe hvilke du finder alvorlige og hvilke du er enig i er uproblematiske at implementere?

Måske kan vi sammen finde løsninger, som både respekterer borgernes privatliv og giver mulighed for at drive forretning.

  • 6
  • 1
Gert Madsen

Det er nemt at holde fanen højt, hvis det ingen økonomiske konsekvenser har.


Så kan man jo retorisk spørge hvorfor man ikke gør det ?
Hvorfor er der tracking på kommunale hjemmesider, dr.dk, borger.dk etc. ?
Hvis jeg går ind på bilka.dk, er det nok fordi jeg vil se hvad forretningen vil tage for kaffe, eller hvad det nu måtte være.
Det er hverken oplagt eller rimeligt, at der skal betales ekstra for det besøg, i form af overvågning.

  • 6
  • 0
Henning Wangerin

Nu er der også en verden til forskel på en hjemmeside til en foreninger der sælger ting eller er reklamefinansieret.

Det er nemt at holde fanen højt, hvis det ingen økonomiske konsekvenser har. For mange sider derimod ville forretningen lukke, hvis de skulle følge alle dine krav.

Det er jo et valg som du som website-udvikler gør.

På flere sites som jeg har skruet sammen har jeg sat det op så al loading går via et lokalt caching-script.
Også kort fra fx openstreetmaps, leaflet og meget andet.

Det kræver selvfølgelig noget arbejde at skrue det sammen, men det er slet ikke umuligt. Men medfører selvfølgelig også at der er en masse services som ikke virker out-of-the-box, eller slet ikke.

/Henning

  • 3
  • 0
Pauli Østerø

Så kan man jo retorisk spørge hvorfor man ikke gør det ?
Hvorfor er der tracking på kommunale hjemmesider, dr.dk, borger.dk etc. ?

Fordi for mange hjemmesider bliver lavet i Indien eller består af standard moduler i Wordpress og andre lign. jeg-behøver-ikke-tænke-selv systemer.

Hele artiklen udstiller jo netop problemet med "sådan plejer vi at gøre" eller "det er nemmere bare at copy-paste koden direkte fra Facebook" mentaliteten i stedet for lige at stoppe op og tænke over hvad det er man har gang i.

  • 6
  • 0
Henning Jensen

Nogle gange spørger jeg webbutikkerne, hvorfor de tracker mig, og om de lever af tracking eller af at sælge deres ydelser.
Flere mindre steder har efterfølgende så mindsket tracking betydeligt.

Sålænge kunderne ikke stiller krav om privatliv, sker det ikke !!

Offentlige sider kan nogen gange ændres direkte, men jeg formoder, at hvis hele den kommunale/statslige portal skal være uden tracking, må kommunal/folketings politikerne overbevises om det fornuftige i det.
Et Don Quichotte projekt.

Hvorfor har denne side stadig så mange trackere ??
Trackere giver vel ikke annonceindtægter ??

Jeg har ikke noget imod annoncer, bare de ikke tracker, bruger max et par kB data og ikke står og blinker eller larmer.

  • 7
  • 0
Michael Cederberg

Som webudvikler har man et medansvar for overvågningen af borgerne. Det bedst kendte eksempel er nok reklamestalking, hvor en reklame forfølger dig på tværs af websites. Her er det tydeligt, at borgeren bliver tracket. Men der er mange andre tilfælde, der ikke er helt så tydelige.

Som "arbejder" af en hvilken som helt type, så skal man overholde loven, gøre det man får besked på samt leverede produkter så billigt som muligt. Så snart man fraviger ovenstående, så kommer der nogen andre (personer eller firmaer) og snupper ens job.

Når man så kommer hjem så kan man kaste sig over idealistiske projekter. Det kunne fx være en browser som er bedre til at forhindre tracking, en email løsning der reelt kan afløse gmail, hotmail, etc., en facebook konkurrent der er decentral sådan at et firma ikke ved alt om os alle. Listen fortsætter.

Men så længe folk forventer at alt på internettet er gratis, ligeså længe betaler vi bare på andre måder (dvs. ved frivilligt at afgive private informationer).

  • 2
  • 1
Anne-Marie Krogsbøll

Jeg har ikke noget imod annoncer, bare de ikke tracker, bruger max et par kB data og ikke står og blinker eller larmer.


Det har du da ret i, Henning Jensen. Det er som om, man helt har glemt den mulighed at bibeholde annoncer/reklamer, men blot pille den stump ud af dem, der står for privatlivskrænkelser og hjemmeside"sabotage", der direkte generer brugen af siden.

  • 1
  • 0
Michael Cederberg

Det har du da ret i, Henning Jensen. Det er som om, man helt har glemt den mulighed at bibeholde annoncer/reklamer, men blot pille den stump ud af dem, der står for privatlivskrænkelser og hjemmeside"sabotage", der direkte generer brugen af siden.

Jeg bryder mig heller ikke om at blive tracket og jeg mener vi som brugere skal gøre hvad vi kan for at undgå det. Men jo mere målrettede reklamer er jo mere er de værd. Og dermed kan der laves mere "internet" når reklamerne er målrettede. Så I skal have pungen op af lommen hvis I vil have mere privatliv.

Under alle omstændigheder er det ganske urimeligt at lægge ansvaret på den enkelte webudvikler for dette. Hvis vi vil have en mere privat oplevelse af internettet, så skal vi betale for adgang, have mere lovgivning og/eller bedre værktøjer.

  • 0
  • 0
Thomas Toft

Jeg synes her er en tendens til at gøre det svære end det er at undgå den slags når man laver en hjemmeside (med mindre kravet kommer oppefra). Personligt har jeg lavet løsninger der ikke har nogle af de nævnte problemer - uden at skulle ud i at opsætte lokal analyse scripts eller to-kliks systemer til facebook som måske er mindre brugervenlige(?).

Webserveren kan fint se hvad der sker på en side og dens log er nok for mig. Heatmaps m.m. er at skyde gråspurve med kanoner. Share knapper, så som facebooks, har jeg skiftet ud med et lokalt billede af knappen som først udskiftes ved brug, hvor javascript så bliver indlæst - altså stadig kun ét klik. Alle javascript biblioteker og fonts ligger desuden også lokalt. Dvs. der er nul eksterne kald og en side der loader hurtigere end stor set alt "de store drenge" laver.

  • 1
  • 0
Henrik Biering Blogger

Som login kan man tilbyde OpenID. Så kan borgerne selv vælge, hvilken OpenID-udbyder, som de har tillid til.

Den side du henviste til var en forældet side, der omhandlede de nu generelt afviklede OpenID og OpenID2 løsninger, og som OpenID Foundation derfor nu har fjernet helt for ikke at lede nogen på afveje.

Den Oauth baserede afløser for OpenID hedder OpenID Connect. Belært af problemer med interoperabilitet mellem de forskellige OpenID implementationer er OpenID Connect fulgt op med et certificeringsprogram for såvel Provider som Relying Party libraries og services.

Man kan nu finde både certificerede og ucertificerede libraries og services under "Specs & Dev Info"-menuen

  • 1
  • 0
Log ind eller Opret konto for at kommentere