[Разработка веб-сайтов, Google API, IT-компании] Систему Google reCAPTCHA раскритиковали за приватность
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Разработчик и соучредитель компании Victory Medium, занимающейся веб-аналитикой, Зак Эдвардс обнаружил в конце октября 2020 года, что сервис Google reCAPTCHA (через gstatic.com) обновил свой javascript код. Теперь он выполняет дополнительный запрос на синхронизацию пользовательских файлов cookie с сайтом google.com.
CAPTCHA – это сокращение от Completely Automated Public Turing test to tell Computers and Humans Apart (полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей). reCAPTCHA — это бесплатный сервис Google, который позволяет обеспечить безопасность сайтов и защитить их от спама.
Другие разработчики также подтвердили его находку и пояснили, что, оказывается, политика Google допускает использование gstatic.com ReCaptcha в рекламных целях.
Google использует различные домены для установки файлов cookie, используемых в своих рекламных сервисах, включая следующие домены и версии доменов для некоторых стран, например, google.fr:
- admob.com;
- adsensecustomsearchads.com;
- adwords.com;
- doubleclick.net;
- google.com;
- googleadservices.com;
- googleapis.com;
- googlesyndication.com;
- googletagmanager.com;
- googletagservices.com;
- googletraveladservices.com;
- googleusercontent.com;
- google-analytics.com;
- gstatic.com;
- urchin.com;
- youtube.com;
- ytimg.com.
Эдвардс пояснил, что Google занимается игрой в риторику, рассказывая о своем продукте Re-Captcha. Компания утверждает, что этот сервис не используется для персонализированной рекламы» и что gstatic.com не устанавливает файлы cookie. Фактически Google в своих заявлениях игнорирует процедуру синхронизацию данных, которая на самом деле там происходит после действий с кодом сервиса reCAPTCHA.
Издание Register попыталось выяснить у Google, почему компания настаивает, что не использует данные reCAPTCHA для персонализированной рекламы, заявляя об этом в условиях обслуживания reCAPTCHA. Однако, нигде в документах Google не говориться, что reCAPTCHA полностью изолирована от сбора всех связанных с рекламой данных пользователей.
Используя обнаруженную Эдвардсом «треугольную синхронизацию» два различных веб-домена могут ассоциировать файлы cookie, которые они проставляли для определенного пользователя.
В таком случае, если пользователь посещает веб-сайт, реализующий подобный сценарии отслеживания, где есть привязка к одному из двух рекламных доменов, то обе компании будут получать сетевые запросы, связанные с пользователем. И теперь каждая из них может отображать рекламу, ориентированную на этого конкретного пользователя.
Два разных домена, как правило, не должны иметь доступ к одному и тому же набору данных файлов cookie. Это зависит от способности различать собственные и сторонние ресурсы в модели безопасности определенного веб-браузера. Однако, «треугольная синхронизация» с reCAPTCHA позволяет это сделать практически с любом случае.
Google пояснила изданию Register, что не использует reCAPTCHA для «треугольной синхронизации». Сервис загружает статические ресурсы из двух мест на gstatic.com, при этом файлы cookie не анализируются и не сохраняются. Также в рамках этого процесса не выполняется их синхронизация. Вдобавок, как утверждает Google, домен gstatic.com разработан так, чтобы не иметь возможности собирать данные файлов cookie.
Тем не менее оказалось, что JavaScript код reCAPTCHA, размещенный в домене Google gstatic.com, включает несколько ссылок на файлы cookie. Также при посещении веб-страницы со встроенным виджетом reCAPTCHA у пользователя устанавливается NID cookie, даже если система может блокировать сторонние файлы cookie.
Небольшой видеоролик, демонстрирующий, как сервис Google ReCaptcha устанавливает сторонние файлы cookie, даже когда браузер Mozilla Firefox настроен на блокировку «файлов cookie для межсайтового отслеживания опубликовал в Twitter исследователь Ашкан Солтани (Ashkan Soltani).
Извините, данный ресурс не поддреживается. :(
Солтани напомнил, что в 2012 году американская Федеральная торговая комиссия оштрафовала Google на $22,5 млн за предоставление пользователям Safari ложных сведений о том, что компания не будет размещать файлы cookie для их отслеживания. Google в 2011 и 2012 годах была уличена в том, что пыталась обойти механизм блокировки сторонних файлов cookie в Safari.
Теперь же история повторяется, но с большим размахом. Может пострадать конфиденциальность многих пользователей, также в этом случае происходит нарушение законодательства некоторых стран. Например, в соответствии с Законом Калифорнии о конфиденциальности данных пользователей, нарушается их право знать, что происходит установка файлов cookie с google.com на их систему. Это же относится и к законам Евросоюза. Причем в последнем случае Google подстраховалась. Компания рекомендует разработчикам в условиях использования reCAPTCHA, чтобы для пользователей из Европейского Союза они использовали Политику согласия пользователей из ЕС.
===========
Источник:
habr.com
===========
Похожие новости:
- [Презентации, IT-компании] Еще одна презентация Apple пройдет 10 ноября. Ожидаются Mac на собственных процессорах
- [Поисковые технологии, Исследования и прогнозы в IT, Финансы в IT, IT-компании] «Сбер» купил «Рамблер»: кому это выгодно?
- [CSS, JavaScript, HTML] Цветовые темы на сайте
- [Беспроводные технологии, Разработка систем связи, IT-компании] Бета-тестеры Starlink показали присланное им оборудование для спутникового интернета
- [Гаджеты, Носимая электроника, Медгаджеты, IT-компании] Приложение «ЭКГ» и уведомления о нерегулярном сердечном ритме станут доступны на Apple Watch в России
- [JavaScript, VueJS] Организация типовых модулей во Vuex
- [Разработка веб-сайтов, Java] Разработка тем для портала Liferay 7
- [Разработка веб-сайтов, PHP, Laravel] Laravel–Дайджест (26 октября – 1 ноября 2020)
- [PHP, MySQL, CSS, JavaScript, HTML] RevolveR Contents Management Framework v.1.9.4.9
- [JavaScript, HTML, Accessibility] Решение проблемы обеспечения доступности модального окна для людей с ограниченными возможностями
Теги для поиска: #_razrabotka_vebsajtov (Разработка веб-сайтов), #_google_api, #_itkompanii (IT-компании), #_google_recaptcha, #_javascript, #_reklama (реклама), #_razrabotka_vebsajtov (
Разработка веб-сайтов
), #_google_api, #_itkompanii (
IT-компании
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 23:48
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Разработчик и соучредитель компании Victory Medium, занимающейся веб-аналитикой, Зак Эдвардс обнаружил в конце октября 2020 года, что сервис Google reCAPTCHA (через gstatic.com) обновил свой javascript код. Теперь он выполняет дополнительный запрос на синхронизацию пользовательских файлов cookie с сайтом google.com. CAPTCHA – это сокращение от Completely Automated Public Turing test to tell Computers and Humans Apart (полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей). reCAPTCHA — это бесплатный сервис Google, который позволяет обеспечить безопасность сайтов и защитить их от спама. Другие разработчики также подтвердили его находку и пояснили, что, оказывается, политика Google допускает использование gstatic.com ReCaptcha в рекламных целях. Google использует различные домены для установки файлов cookie, используемых в своих рекламных сервисах, включая следующие домены и версии доменов для некоторых стран, например, google.fr:
Эдвардс пояснил, что Google занимается игрой в риторику, рассказывая о своем продукте Re-Captcha. Компания утверждает, что этот сервис не используется для персонализированной рекламы» и что gstatic.com не устанавливает файлы cookie. Фактически Google в своих заявлениях игнорирует процедуру синхронизацию данных, которая на самом деле там происходит после действий с кодом сервиса reCAPTCHA. Издание Register попыталось выяснить у Google, почему компания настаивает, что не использует данные reCAPTCHA для персонализированной рекламы, заявляя об этом в условиях обслуживания reCAPTCHA. Однако, нигде в документах Google не говориться, что reCAPTCHA полностью изолирована от сбора всех связанных с рекламой данных пользователей. Используя обнаруженную Эдвардсом «треугольную синхронизацию» два различных веб-домена могут ассоциировать файлы cookie, которые они проставляли для определенного пользователя. В таком случае, если пользователь посещает веб-сайт, реализующий подобный сценарии отслеживания, где есть привязка к одному из двух рекламных доменов, то обе компании будут получать сетевые запросы, связанные с пользователем. И теперь каждая из них может отображать рекламу, ориентированную на этого конкретного пользователя. Два разных домена, как правило, не должны иметь доступ к одному и тому же набору данных файлов cookie. Это зависит от способности различать собственные и сторонние ресурсы в модели безопасности определенного веб-браузера. Однако, «треугольная синхронизация» с reCAPTCHA позволяет это сделать практически с любом случае. Google пояснила изданию Register, что не использует reCAPTCHA для «треугольной синхронизации». Сервис загружает статические ресурсы из двух мест на gstatic.com, при этом файлы cookie не анализируются и не сохраняются. Также в рамках этого процесса не выполняется их синхронизация. Вдобавок, как утверждает Google, домен gstatic.com разработан так, чтобы не иметь возможности собирать данные файлов cookie. Тем не менее оказалось, что JavaScript код reCAPTCHA, размещенный в домене Google gstatic.com, включает несколько ссылок на файлы cookie. Также при посещении веб-страницы со встроенным виджетом reCAPTCHA у пользователя устанавливается NID cookie, даже если система может блокировать сторонние файлы cookie. Небольшой видеоролик, демонстрирующий, как сервис Google ReCaptcha устанавливает сторонние файлы cookie, даже когда браузер Mozilla Firefox настроен на блокировку «файлов cookie для межсайтового отслеживания опубликовал в Twitter исследователь Ашкан Солтани (Ashkan Soltani). Извините, данный ресурс не поддреживается. :( Солтани напомнил, что в 2012 году американская Федеральная торговая комиссия оштрафовала Google на $22,5 млн за предоставление пользователям Safari ложных сведений о том, что компания не будет размещать файлы cookie для их отслеживания. Google в 2011 и 2012 годах была уличена в том, что пыталась обойти механизм блокировки сторонних файлов cookie в Safari. Теперь же история повторяется, но с большим размахом. Может пострадать конфиденциальность многих пользователей, также в этом случае происходит нарушение законодательства некоторых стран. Например, в соответствии с Законом Калифорнии о конфиденциальности данных пользователей, нарушается их право знать, что происходит установка файлов cookie с google.com на их систему. Это же относится и к законам Евросоюза. Причем в последнем случае Google подстраховалась. Компания рекомендует разработчикам в условиях использования reCAPTCHA, чтобы для пользователей из Европейского Союза они использовали Политику согласия пользователей из ЕС. =========== Источник: habr.com =========== Похожие новости:
Разработка веб-сайтов ), #_google_api, #_itkompanii ( IT-компании ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 23:48
Часовой пояс: UTC + 5