Kikapcsolás után is követ a Facebook
További Biztonság cikkek
Miközben a felhasználók az átrajzolt kezelőfelület miatt idegeskednek, és az oldal minden eddiginél automatizáltabbá teszi online életünk élő egyenes közvetítését, egy ausztrál hekker érdekes felfedezést tett a Facebookot kiszolgáló cookie-kkal kapcsolatban.
A Facebook titkos cookie-ja
Nik Curbilovic a blogjában példákkal és http-kódokkal alátámasztva nem kevesebbet állít, mint hogy a Facebook azután is követi a felhasználói online tevékenységeit, hogy azok kijelentkeztek róla.
A trükköt az oldal cookie-kkal oldja meg (szerencsétlen hangzása miatt a technológiát http-süti néven próbálták a magyar szaknyelvben honosítani, felemás sikerrel). A cookie egy olyan adatcsomag, amit a szerver helyez el a felhasználó böngészőjében, és annak böngészési szokásairól tartalmaz információkat. Egy online bolt például azért tud belépés után rögtön személyre ajánlatokkal fogadni a nyitóoldalon, mert cookie-ban tárolja, milyen termékeket szoktunk nézegetni náluk. A technológiával könnyű visszaélni, mivel az átlagos felhasználó csak az előnyeit látja, veszélyeit nem (a sütik szabályozásával az EU is próbálkozik mostanában).
Curbilovic a facebookos cookie-k működését tesztelve felhasználót és böngészőt váltott, és ki-be jelentkezett. Azt találta, hogy ezek a fájlok kijelentkezés után nem törlődnek vagy deaktiválódnak, hanem tovább rögzítik a böngészőtől kapott adatokat. Vagyis a Facebook ekkor is követi a webes ténykedésünket, tudja és feljegyzi, milyen oldalakat látogatunk meg. A kilépés utáni sikeres követéshez csupán az kell, hogy a meglátogatott oldalakon legyen valamilyen facebookos alkalmazás, például egy Like vagy Share gomb.
Ez már önmagában is adatvédelmi aggályokat vet fel, hiszen a felhasználó tudtán kívül követi őt az oldal, de a dolog nyilvános terminálok, internetkávézók gépein válik igazán veszélyessé, ahol sokan jelentkeznek be a közösségi oldalra, és sokan férhetnek hozzá a másokról készült sütikhez. A cookie mindig tartalmazza a felhasználót a Facebookon egyedileg azonosító számot, az account ID-t is.
Miért jó ez a Facebooknak?
A Facebook nagyrészt hirdetési felületeinek értékesítéséből él. Minél többet tud rólunk, annál jobban tud személyre szabott reklámokat megjeleníteni, és persze minél hatékonyabban célozza a reklámokat, annál több pénzt kérhet értük a hirdetőktől. Mivel az érdeklődési körünk folyamatos figyelemmel követése akkor sem marad abba, ha kijelentkeztünk a Facebookról, esélytelen, hogy bármit eltitkoljunk előle; ráadásul úgy követi netezésünket, hogy nem is figyelmeztet rá.
A védekezés a Facebook kíváncsisága ellen persze nem megoldhatatlan. A Hacker News egy megfelelően paraméterezett hirdetésblokkolót ajánl, de megoldás lehet az is, hogy több böngészőt tartunk a gépünkön, és az egyiket kizárólag facebookozásra használjuk, a másikat minden másra. Mivel a böngészők a cookie-k kezelésekor nem kommunikálnak egymással, egy Firefoxban megnyitott Facebook nem képes követni, hogy mit csinálunk a párhuzamosan futó Chrome-ben. Az is egy lehetőség, ha bekapcsoljuk a ma már minden böngészőben meglevő, pornó mód gúnynevű privát böngészést – igaz, ilyenkor le kell mondanunk a egy sor kényelmi funkcióról, például a böngészési előzmények vagy a jelszavak megjegyzéséről.
A Facebook hivatalosan még nem reagált a vádakra, de a cég egyik programozója megpróbálta megvédeni a mundér becsületét. Greg Stefancik azt írja, hogy a kilépés utáni felhasználókövetésnek egyáltalán nem a kémkedés a célja, hanem a szolgáltatás javítása, például a spammerek és adathalászok távol tartása a rendszertől vagy anonim információk gyűjtése a felhasználói szokásokról, hogy azok alapján tudják optimalizálni a kiszolgáló szoftvert és hardvert. A programozó állítása szerint kilépéskor valójában törlik a felhasználót egyedileg azonosító cookie-kat, a félreértést csupán néhány, a fájlokban szerencsétlenül elnevezett bejegyzés okozta.
Nincs törlés
Ha a kémkedés nem lenne elég, a közösségi oldal adatkezelési szokásainak nyilvánosság elé tárásával foglalkozó Europe vs Facebook blog kiderítette, hogy státuszfrissítéseink, üzeneteink és kommentjeink gyakorlatilag elpusztíthatatlanok. Ha kiadjuk a törlés parancsot bármilyen, saját magunk által írt szövegre, az valójában csak a felhasználók számára válik láthatatlanná, a Facebook szerverei megőrzik. A Europe vs Facebook szakértői szerint az amerikai hatóságok külön bírói engedély nélkül is kikérhetnek bármilyen töröltnek hitt hozzászólást az archívumból.
A Facebook a feltöltött képek törlését már jó ideje így, törlés helyett a képre mutató link eltüntetésével oldja meg. A több mint két éve ennek kipróbálására feltöltött, majd azon nyomban letörölt képünk a mai napig elérhető a Facebook szerverén.
[UPDATE: 2012. május 18-án jelezte egy szemfüles olvasónk, hogy a kép már eltűnt a Facebook szerveréről. Egyébként egy ásító sünit ábrázolt.]