[Из песочницы] Трекеры от Google встроены в ряд официальных российских электронных ресурсов
Ассанж Google не то, чем кажется
Дж.
Предваряю текст цитатой небезызвестного товарища Дж.Ассанжа, издавшего в свое время книгу «When Google Met WikiLeaks» в которой описываются некоторые факты и особенности тесного взаимодействия этой компании с правительством/спецслужбами США.
В статье проведен экспресс-анализ ряда официальных российских ресурсов на наличие сторонних зарубежных трекеров, с учетом того, что в современном мире некоторым ресурсам негоже пользоваться программным обеспечением, способным «выуживать» информацию о россиянах-пользователях и особенностях их поведения и априори передавать их на «заграничные» сервера.
Множество ресурсов ЕС, связанных с вопросами здравоохранения и обработки личных, достаточно конфиденциальных и щепетильных вопросов (беременность, рак, СПИД, психические заболевания...) также содержат множество трекеров, что противоречит не только нормам морали, но и закону ЕС об обработке персональных данных GDPR (это позволяет сторонним компаниям сделать вывод о том, что у того или иного пользователя вероятно, есть определенные проблемы или секреты, которые, как он думает, он хранит в тайне). В мартовской статье от компании Cookiebot "Ad Tech Surveillance on the Public Sector Web" подтверждается, что более 89% сайтов правительств стран Евросоюза (belgium.be, gov.bg, gov.uk и т.д.) содержат сторонние трекеры, из которых 82% — от компании Google.
С тех пор технологии шагнули, как говорится, вперед еще дальше. Известна древняя история о том, как магазин узнал о беременности пользователя-школьницы на основании косвенных признаков ее активности в интернете и прислал ей на почту соответствующие рекламные купоны, которые достал ее папа и затеял скандал в магазине.
Это доказано статьей "Tracking the Trackers: Analysing the global tracking landscape with GhostRank", где проведен анализ доминирования различных трекеров в мире на основе изучения 144 млн веб-страниц ресурсов 12 стран, в том числе России. В целом, зарубежные компании, в том числе товарищи из Google, доминируют не только в ЕС, но и во всем мире. При этом подавляющее число трекеров – зарубежного происхождения. Также трекеры находятся на 77,4 процентах исследуемых страниц и позволяют отслеживать деятельность пользователя, получать некоторые данные о нем и сохранять его действия.
В этой связи заинтересовало «… а что у нас?» и я решил провести, как писал выше, экспресс-анализ некоторых официальных российских ресурсов на наличие сторонних трекеров, полагая, что негоже госресурсам пользоваться программным обеспечением, особенно зарубежным, способным «выуживать» информацию о россиянах-пользователях и особенностях их поведения и априори передавать их на «заграничные» сервера.
При этом с помощью Lightbeam можно посмотреть графически, как связаны посещаемые ресурсы между собой «третьей» стороной. Для этого установил ряд браузерных расширений: – Ghostery, uBlock Origin – для Chrome, Privacy Badger, Lightbeam – для Firefox, позволяющих информировать о наличии тех или иных трекеров на посещаемых мною сайтах. Например, пример связи нижеупоминаемых ресурсов.
Исследованы сайты Кремля, Правительства, ФСБ, СВР, МВД, ГИБДД, Минобороны, Росгвардии, МЧС, Госуслуг, Минсвязи, МИД, Минэнергетики, Ростелекома и Роскомнадзора. Адреса некоторых госресурсов отсюда.
Специально отмечаю, что такой анализ не предполагает активных действий на сайте, расширения пассивно анализируют информацию, которой мой браузер обменивается с сайтом и отмечает факты наличия трекера «третьей стороны» — сайты это ПО не «ломает».
Для упорядочивания информации о трекерах составил таблицу с указанием их наличия на исследуемых ресурсах (данные упрощены и «причесаны» (например, yandex.ru а не mc.yandex.ru), кому надо подробнее, может проверить с помощью расширений и иного ПО).
При этом на различных страницах сайта присутствует разный набор трекеров, что затрудняет их описание.
Также напомню, что doubleclick = google Цель статьи – не детальное описание фактов существования каждого типа трекера на каждом ресурсе (это задача для целого исследования а-ля Cookiebot), а оценка, как у нас обстоит ситуация с предоставлением данных о посетителях госресурсов зарубежной третьей стороне.
В таблицу занесены основные трекеры, найденные на ресурсе (на стартовых или других основных страницах, при этом их может быть больше, но они принадлежат одному владельцу).
Ресурс
российские
Зарубежные
Кремль
Правительство
yandex.ru mail.ru
ФСБ
СВР
МВД
yandex.ru sputnik.ru
twitter.com
ГИБДД
sputnik.ru
google.com (скрытая recapcha)
Минобороны
yandex.ru mail.ru rambler.ru
google-analytics.com googletagmamanger.com
Росгвардия
yandex.ru sputnik.ru
cloudflare
МЧС
yandex.ru mail.ru rambler.ru
doubleclick.net google.com
Госуслуги
yandex.ru
Минсвязи
yandex.ru sputnik.ru
МИД
yandex.ru
Минэнергетики
yandex.ru sputnik.ru
Ростелеком
yandex.ru mail.ru
google.com Twitter, Facebook
Роскомнадзор
yandex.ru sputnik.ru
Чтобы не показаться голословным, опишу, что же передает, например, сайт минобороны в адрес Google о пользователе, зашедшем на него, чтобы рассчитать выплаты онлайн- калькулятором на странице сайта (некоторые поля преобразованы из формализованного вида в читабельный)
www.google-analytics.com utmwv=5.7.2 версия трекера
utms=6 количество запросов, сделанных в пределах одной сессии
utmn=2140646854 сгенерированный идентификатор
utmhn=mil.ru сайт
utmcs=UTF-8 формат
utmsr=1920x1080 разрешение экрана
utmvp=1900x962 разрешение окна
utmsc=24-bit глубина цвета
utmul=ru-ru раскладка
utmdt= Калькулятор расчета субсидии для приобретения или строительства жилого помещения ... страница сайта, на которой находится пользователь utmhid=818112135 сгенерированный идентификатор
utmp=/files/files/calc/ адрес посещенной страницы
utmht=13.04.2019 @ 13:30:13 дата/время посещения
utmac=UA-22580751-2 идентификатор аккаунта
utmcc=__utma%3D261091234.889931234.1543171234.1543171234.1554661234.2%3B%2B__utmz%3D261091234.1543171234.1.1.utmcsr …… набор Google-куков, содержащих хеш домена, уникальный идентификатор пользователя, дата первого посещения ресурса, текущего посещения и некоторую другую информацию
utmu=qAAAAAAAAAAAAAAAAAAAAAEE~ служебная информация
Теоретически, Google за счет того, что на сайте нашего минобороны имеется его трекер, способен привязать id посетителя этого сайта, к другим данным, имеющимся на этот id (какие еще ресурсы посещает, чем интересуется, что «гуглит», какой почтовый адрес на gmail, если есть, тексты переписки и т.п.). Это про «заграничные трекеры».
Про сбор данных о пользователях интересно и достаточно подробно написано в статье Google Data Collection
Тот же МЧС, благодаря трекеру mail.ru, без спроса уже знает почтовый ящик на домене mail.ru человека, посетившего сайт МЧС, если до этого заходил на свою почту.
название Mpop
контент 3001305176a4f5483561246431b434566545876b164541:my-user-email@mail.ru:
Главное, что в Кремле нет, да и Роскомнадзор не подкачал. В целом, ситуация не такая плохая. Основные государственные ресурсы не используют трекеры или используют российского производства от mail.ru, sputnik и яндекса.
С одной стороны — постоянные заявления о о том, что информационная безопасность крайне важна и некоторые деятели доводят это до паранойи, блокируя все что ни попадя, с другой — на официальных ресурсах «вражеский» код. По поводу ресурсов, на которых обнаружены зарубежные трекеры — удивлен. На всякий случай проверил минобороны некоторых других стран (это быстрее, чем искать аналог зарубежные аналоги МЧС) на предмет наличия российских трекеров.
Страна
Трекеры
США
google analytics, gstatic, addthis, и др.
Великобритания
google analytics
Германия
нет трекеров
Польша
googletagmananger, gstatic, cloudflare
Турция
Украина
google analytics, doubleclick
Грузия
google analytics, doubleclick
Белоруссия
googletagmananger, bitrix, yandex
Казахстан
googletagmananger, yadro.ru
Китай
нет трекеров
В этой связи меня посетила муза — мысль о том, что это почва для составления "IT-психологических" портретов государств, ведь:
- Запад пользуется исключительно своими трекерами;
- Грузия с Украиной – пользуются трекерами от Google;
- Германия, ввиду дисциплинированности во всех отношениях (ordnung und disziplin), в том числе – инфобезопасности, как и Китай, трекеров не содержат;
- СНГ (как и мы) не гнушается как российскими, так и американскими трекерами (кроме Украины и Грузии, предпочитающей только западное и избавляющейся от всего российского).
И Яндекса хватит для аналитики посещаемости и т.п. На месте администраторов наших ресурсов я бы все-таки убрал бы лишнее, последовав примеру Кремля, СВР и ФСБ и т.п.
Примеры сбора информации некоторыми трекерами
Google Analytics (применяет 75% сайтов в мире) – адрес и название посещенной страницы веб-ресурса, информация о браузере и устройстве, текущее местоположение (по IP), языковая раскладка, данные о поведении пользователя на веб-ресурсе;
DoubleClick (применяет 1,6 млн сайтов в мире) – аналогично, но определяет уникальное устройство по переходу по контекстной рекламе на другой ресурс.
Яндекс – метрика (вебвизор) — адрес и название посещенной страницы веб-ресурса, информация о браузере и устройстве, текущее местоположение (по IP), языковая раскладка, данные о поведении пользователя на веб-ресурсе (в том числе перемещения мыши, страницы).</cut />
Проверить, как относится к безопасности своих посетителей Wikileaks, EFF и другие относительно размещения сторонних трекеров можете сами.
Ответ
Трекеров там нет Относятся с уважением.
