войти зарегистрироваться

Я умный whois

индекс
0,00

Про поисковые запросы в куках

На днях читал заметку про рекламу Вебальты. И сегодня мне надо было посмотреть на общение браузера с http-сервером. Случайно получилось так, что тест проходил на странице, куда я пришёл поисковиком. И случайно я обратил внимание на куки. Куки, ясное дело, содержали мой запрос. Куки имеют примечательные имена, я их видел и раньше на других сайтах, просто внимания не обращал. Очевидно, что это не баннерка куки поставила, потому что сайт для тестирования (postgresql.org) вообще баннеров не имеет.

Посмотрел, кто ещё такие куки использует, оказалось что таких сайтов прилично. Очевидно, что кто-то чужой не может поставить одинаковые куки на разных доменах, сделать это можно только используя JS, подключаемый через script src. А кто у нас стоит на всех (русских и нерусских) сайтах? Правильно, гугловские аппликухи.

Итак, что имеется на выходе? Гугл складывает в куку поисковый запрос, баннерка, подключённая точно так же (через script src), читает этот запрос и использует как хочет. Даже если крутилки никогда на сайте не стояло и она вдруг появилась, использование гугловских кук даёт возможность посмотреть поисковый запрос, приведший на этот сайт. Дальше мне разбираться было лениво, может быть в куках и guid какой-нибудь есть, сквозной для всех сайтов. Это было бы самым весёлым — кто угодно может собирать сквозную статистику. Поэтому я просто поставил блокиратор Гугла, чтобы меня больше не считали.

Повлияет ли это как-то на показ мне рекламы Вебальты? Повлияет, конечно — я уже пришёл к выводу, что надо найти adblock, который умеет блокировать абсолютно все JS с внешних доменов, чтобы не вводить их каждый раз вручную в фильтре.
+6
10 июля 2007, 17:23
1
ivanov

комментарии (59)

  • Баннерка, размещённая на домене, который отличается от домена поисковика, не может прочитать чужие куки. В той теме, на которую вы разместили ссылку в начале статьи, я уже рассказывалось, что это делается чтением реферера, а не кук.
    • Пардон за ошибки, спешу.
      Хочу ещё добавить, что блокировка Гугловской статистики здесь абсолютно лишняя. AdRiver читает реферер страницы тем же скриптом, что и выводит рекламу. Достаточно заблокировать показ рекламы.
      • Мне не надо блокировать показы рекламы. Если все заблокируют рекламу, Хабру нечего будет есть, например. Мне просто не хочется, чтобы меня считал Гугл. А вместе с ним и любой другой желающий.
      • Кстати, я ж написал, что вычислить поисковый запрос, приведший на сайт, можно сильно после того, как пользователь пришёл на сайт.

        То есть, пользователь пришёл вчера, крутилку поставили сегодня, а она всё равно знает, что за запрос был. В Вашем случае крутилка должна была быть _до_ того, как пользователь пришёл.
    • Спасибо огромное, я это всё читал и знал до того, как Вы написали =)
      Моя заметка просто пересекается с заметкой по ссылке причиной исследования, а именно наличием поискового запроса в куке.
  • странно, а разве скрипт с одного домена имеет право читать куки с другого домена? Чё-то я ничё не понял...
    • А он не с другого домена. Посмотрите на любом сайте с аналитиксом, как он там появляется.
      Примерно так же вставляется и код крутилки часто.
  • А можно поподробнее описать техническую сторону вопроса? А то я почти ничего не понял...
    • Если просто - у броузера можно спросить, с какой ссылки вы пришли на эту страницу. Достаточно? :)
      • Это слишком просто и похоже на получение реферера. Я говорю о совсем другом - можно сразу узнать хвост любого пользователя, хоть нового, хоть старого.
    • Гугл аналитикс ставится на многие сайты. При чём ставится он так, что может устанавливать куки для этого сайта, смотреть все данные, которые вводит пользователь, ну и вообще, всячески шпионить. Благодаря глобальности Гугла, он легко можно сопоставить все мои логины/пароли с моим именем и паспортными данными. Эта идея не очень мне нравится.

      Техническая сторона на пальцах:
      Гугл аналитикс на сайтах имеет такие же права, как и скрипты с сайтов. Потому что вставляется на страницу таким образом: <script src="http://www.google-analytics.com/urchin.js" type="text/javascript">
      Благодаря тому, что он ставит куки для сайта, этим могут пользоваться и другие, например, некоторые баннерные крутилки.
      • Логи и пароли в куках? O_o
        • Не думаю, что всё будет настолько печально =)
          Скорее всего, логины/пароли и прочие данные они уже хранят или будут хранить в других местах. Сопоставлять их между собой и с любыми другими моими данными можно через глобальный идентификатор уже внутрях Гугла.

          Получить их можно просто подписавшись на сабмит всех форм страницы. Пользователь всё ввёл, нажал сабмит, Гугл собрал все введённые данные, отправил их к себе на сервер и вызвал настоящий обработчик сабмита. Всё довольно просто.
          • Ой, ну я рад тогда, что все не так плохо =)
          • А зачем они вообще кладут поисковый запрос в куку, если он наверняка ещё и в их базе фиксируется? Вполне возможно, кстати, что это сделано умышленно для использования в других ГуглоСервисах - том же Google AdSense.
            • Ну да, для других кладёт.
      • Гугл аналитикс на сайтах имеет такие же права, как и скрипты с сайтов.

        Снимаю шляпу. Провёл эксперимент, действительно есть такая дыра. Скрипт с чужого домена доступа к самой странице не имеет, а вот куки видит.
        • Хотя стойте... Видит то видит. Но оперировать с куками он может по идее только в пределах страницы. А это совсем не то же самое, что передать полученную инфу на другой домен. Продолжаю эксперимент. :)
          • Передалось без проблем и картинкой (через параметры), и через фрейм, и вторым java-скриптом. Куки таки можно тырить. Проверялось в ИЕ, Фаерфоксе, Опере.
        • Скрипт с чужого домена, подключенный через script src, может всё, что может скрипт с того же самого домена. Ставить куки для домена сайта, смотреть что я ввожу в формах, отправлять это на свой сервер и так далее.
  • Опа! А Вы ведь совершенно правы! Только что провёл эксперимент: "кросс-доменно" вычитал ту самую злополучную куку utmctr, которую ставит Google Analytics... Забавно получается, это ведь, если по-хорошему, серьёзная дырочка в безопасности...

    Коллеги, за что минусуете пост? Его нужно вверх продвигать!
    • Я не знаю насчёт серьзности дыры в безопасности, но вряд ли это прикроют. Потому что перестанет работать Гугл аналитикс =)
  • А как дело с запросами из других поисковиков? Ведь баннер подставлял и запросы Яндекса.
    • Я не знаю, как работал Адривер там. Может быть, он сам смотрел реферер, может быть пользовался кукой Гугла - что мешает Гуглу иметь у себя базу поисковых систем, чтобы правильно выкусывать поисковый запрос? Счётчики на сайтах ведь умеют показывать статистику поисковых запросов =)

      Моя заметка в большей степени о том, что глобальность Гугла мне не нравится. Ну и немного о том, что данными Гугла могут пользоваться другие компании.
    • Вы Гугл Аналитикс видели :)? Он знает все ведущие поисковики мира. Для него нет разницы, зашли ли Вы с Гугла или Яндекса, просто в этой куке в поле "ID поисковика" будет написано google или yandex соответственно. Наберите в Яндексе "metal", перейдите по первой ссылке и посмотрите куку __utmz: там будет "...utmccn=(organic)|utmcsr=yandex|utmctr=metal|utmcmd=organic..." - вот Вам и ключевое слово.

      Меня пугает другое. Мы размещаем у себя на сайтах код всяких счётчиков. А они имеют полный доступ к нашим кукам. Пять баллов. Вот это действительно Большой Брат...
      • Счётчики размещают картинку.
        Да, они считают всех. Но максимум, что им доступно, это определить моё поведение (то есть, на каких страницах бываю). Получить какие-либо мои данные они не могут. А Гугл аналитикс может. И может собрать воедино вообще всё, что я ввожу на сайтах, все мои сообщения, все мои телефоны/адреса/счета и так далее.
        • А вот и нет, Гугл Аналитикс нынче далеко не единственный, кто вставляет свой код при помощи внешнего JS-файла. Так что это многим системам доступно.
          • Счётчики так не вставляются обычно.
            А про многих других я писал ещё в заметке - найду блокиратор, который блокирует загрузку всех чужих JS.
            • Раньше не вставлялись. А, кажется, SpyLOG как раз недавно анонсировал новую версию кода, которая - внимание! - вставляется в одну строку! Угадайте, какую :).

              P.S.: Насчёт SpyLOG не уверен, но какой-то из общедоступных сервисов точно.
              • Специально сейчас перепроверил. Вот навскидку те сервисы, которые вставляют свой код через script src:
                1. Google Analytics
                2. Google AdSense
                3. Яндекс.Директ (точнее, MixMarket, который - для "розничных" продавцов)
                4. SpyLOG

                Это просто из тех, чьими услугами я пользуюсь или пользовался у себя на портале. Наверняка есть и многие другие.
              • Тем более блокиратор для внешних скриптов сейчас актуален =)
                • Ну, это зависит от масштабов паранойи ;). Мне лично даже забавно посмотреть, как инфу о моей истории поиска используют в маркетинговых целях :).
                  • История поиска это ерунда по сравнению с паспортными данными и логинами/паролями =)
                    • Логины-пароли в куках - это нонсенс! Не ходите на сайте, где такую инфу кладут в куки :)!
                      • Логины-пароли и прочие данные могут лежать у них на серверах. В куках только поисковые запросы.
                        • Конечно на серверах. Но туда они попадают только по Вашему согласию, а блокировка js-кода, внешнего к домену, не заставит Вас самостоятельно не регистрироваться в сервисах Гугла :).
                          • Когда я ввожу логин/пароль на drive.ru, я никакого согласия на сохранение этих данных в Гугле не даю. Они могут и без спроса их взять.
                            Чтобы не могли, надо блокировать внешние JS скрипты.

                            Регистрация на сервисах Гугла к этому не имеет отношения.
                            • Э-э-э... это как же они могут логин/пароль с drive.ru утянуть через js-код? Ставить хуки на введённые данные?! Ну это они никак не будут делать, зря Вы :). Это же моментально засветится - и всё, ёк Гуглу.
                              • Определив с высокой точностью компьютерные познания пользователя, они избирательно будут собирать данные.

                                Можно назвать это "паранойя", но надежда на лучшее с ожиданием худшего часто помогает в жизни от неприятных неожиданностей =)
                        • Мы ведь говорим про анализ Вашего поведения в Сети, который проводят различные сервисы в своих меркантильных целях. Именно этого Вы сможете избежать, включив какие-то блокировки. А логины/пароли - это совсем другое, их никто из кук не украдёт, в отличие от последнего поискового запроса :).
                          • Для меня не имеет значения анализ моего поведения. Это всё делают маркетологи, которые обычно вычисляют среднего человека.

                            Логины-пароли можно воровать не из кук, а из форм, которые я заполняю на сайтах с внешними скриптами.
  • так обьясните же как от этого защитится ?
    • Очевидно не ставить счетчики и тереть куки судорожно сидя через Tor ;)
      • Я уже раз 20 написал, что куки это ерунда. Гораздо важнее то, что Гугл и любой другой, кто на сайте появляется в виде JS-скрипта через script src, может читать все данные пользователя, которые пользователь вводит. В случае с Гуглом это любой сайт, где стоит Гугл аналитикс.
        • Что мешает производителям Firefox'а собирать данные которые пользователь вводит в формы? Что мешает Майкрософту делать это в пределах всей ОС?
          На мой взгляд ситуация с Гуглом аналогичная. К тому же всегда можно посмотреть что делает скрипт гугла или я ошибаюсь?
          • Firefox'у мешает собирать сообщество его девелоперов =)
            Майкрософту мешают спецслужбы правительств стран, куда они отдают исходники на аккредитацию.
            Гугл же никому ничего не должен. И Спайлог никому ничего не должен. И крутилки баннеров не должны. Рорер стоит на куче сайтов, ты когда-нибудь слышал, что с ними заключаются договора на тему несобирания данных пользователей? ;)
            Посмотреть, что он делает, можно, только хрена с два ты увидишь =) Потому что они могут тебе давать скрипт один, мне другой, а кому-то третий. Их же код лежит на серверах, а не на компе.
            • Возможно он никому и не должен, но я предсталяю какая шумиха поднимется, если кто-то уличит их в этом. Сильно сомневаюсь что они будут рисковать своей репутацией.
              • А я не представляю, какая шумиха поднимется.
                Сорос продаёт оружие и никакой шумихи нет.
    • Смотря от чего защищаться.
      Если от Гугл аналитикс и ко, только блокировкой внешних JS. У меня сейчас стоит в FF плагин Adblock, блокирует только Гугл аналитикс. Как будет время и желание, найду способ блокировать все вшеншние скрипты.
    • А вот и правильное объяснение, как защищаться: NoScript
      • это конечно очень хорошо, но у меня, например, Опера.
        • Так там запросто можно запретить скрипты с определенных доменов
          • Это неспортивно =) NoScript то, что надо. Может быть, знаете что-то подобное для Оперы?
          • а где конкретно, и по какой маске запретить гугловский счетчик ?
        • Переходите на продвинутые браузеры =)
          С Оперой не знаю что делать. Это можно решать только на уровне браузера, а про Оперу я почти ничего не знаю в этом плане.
  • Автору топика:
    Вы забыли учесть одно, что бывают first party и third party куки. Google Analytics использует только first party куки, поэтому эти данные он не может расшаривать для других своих или сторонних сервисов. В отличие от всяческих Spylog'ов и т.д.
    Подробно я описал в статье "Куки как счетчик посещений"
    http://kpis.ru/2007/03/18/cookies_internet_counter.html
    • А гугл аналитикс и не расшаривает. Хоть это 10 party куки. У него никто не спрашивает, потому что доступ к кукам базового домена имеют все, кто грузится через script src. Про другие сервисы надо было применять мозг при чтении — когда делается запрос за яваскриптом на сайт Гугла, он выдаёт глобальный идентификтор пользователю, что позволяет любому сервису Гугла получать доступ к любой информации о пользователе, потому что эта информация может храниться не только в куках, но и в БД Гугла.

      И статья по ссылке херня. Банальности и глупости. LiveInternet куки ставит для своего домена, а не для домена, на котором стоит счётчик, что вполне законно.
Только авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста.