Веб-маяк

Веб -маяк ^{[примечание 1]} это метод, используемый на веб-страницах и в электронной почте , чтобы ненавязчиво (обычно незаметно) проверить, получил ли пользователь доступ к определенному контенту. ^[1] Веб-маяки обычно используются третьими сторонами для мониторинга активности пользователей на веб-сайте с целью веб-аналитики или маркировки страниц . ^[2] Их также можно использовать для отслеживания электронной почты . ^[3] При реализации с использованием JavaScript их можно назвать тегами JavaScript . ^[4] Веб-маяки — это невидимые элементы HTML , которые отслеживают просмотры веб-страницы. Когда пользователь повторно посещает веб-страницу, эти маяки подключаются к файлам cookie, установленным сервером, что облегчает скрытое отслеживание пользователя. ^[5]

Используя такие маяки, компании и организации могут отслеживать поведение веб-пользователей в Интернете. Поначалу компании, занимавшиеся таким отслеживанием, были в основном рекламодателями или веб-аналитики компаниями ; позже сайты социальных сетей также начали использовать такие методы отслеживания, например, с помощью кнопок , которые действуют как маяки отслеживания.

В 2017 году W3C опубликовал кандидатскую спецификацию интерфейса, который веб-разработчики могут использовать для создания веб-маяков. ^[6]

Обзор

Веб-маяк — это один из нескольких методов, используемых для отслеживания посетителей веб-страницы . Их также можно использовать, чтобы узнать, было ли прочитано или перенаправлено электронное письмо или была ли веб-страница скопирована на другой веб-сайт. ^[7]

Первые веб-маяки представляли собой небольшие файлы цифровых изображений, встроенные в веб-страницу или электронное письмо. Изображение может быть размером всего в один пиксель («пиксель отслеживания») и может иметь тот же цвет, что и фон, или быть полностью прозрачным . ^[8] Когда пользователь открывает страницу или электронное письмо, в которое встроено такое изображение, он может не увидеть изображение, но его веб-браузер или программа чтения электронной почты автоматически загружает изображение, требуя от компьютера пользователя отправки запроса на сервер принимающей компании , где исходное изображение сохраняется. Этот запрос предоставляет идентифицирующую информацию о компьютере, позволяя хосту отслеживать пользователя.

Этот базовый метод получил дальнейшее развитие, поэтому в качестве маяков можно использовать многие типы элементов. В настоящее время они могут включать в себя видимые элементы, такие как графика, баннеры или кнопки , а также неграфические элементы HTML, такие как рамка , стиль, сценарий, входная ссылка, встраивание, объект и т. д. электронного письма или веб-страницы.

Идентифицирующая информация, предоставляемая компьютером пользователя, обычно включает его IP-адрес , время выполнения запроса, тип веб-браузера или устройства чтения электронной почты, отправившего запрос, а также наличие файлов cookie, ранее отправленных хост-сервером. Хост-сервер может хранить всю эту информацию и связывать ее с идентификатором сеанса или токеном отслеживания, который однозначно отмечает взаимодействие.

Использование компаниями

Как только компания сможет идентифицировать конкретного пользователя, она сможет отслеживать поведение этого пользователя при многочисленных взаимодействиях с различными веб-сайтами или веб-серверами. В качестве примера рассмотрим компанию, владеющую сетью веб-сайтов. Эта компания могла бы хранить все свои изображения на одном конкретном сервере, но хранить остальное содержимое своих веб-страниц на множестве других серверов. Например, каждый сервер может быть привязан к конкретному веб-сайту и даже может располагаться в другом городе. Но компания могла бы использовать веб-маяки, запрашивающие данные со своего единого сервера изображений, для подсчета и распознавания отдельных пользователей, посещающих разные веб-сайты. Вместо того, чтобы собирать статистику и управлять файлами cookie для каждого сервера независимо, компания может анализировать все эти данные вместе и отслеживать поведение отдельных пользователей на всех различных веб-сайтах, собирая профиль каждого пользователя при навигации по этим различным средам.

Отслеживание электронной почты

Веб-маяки, встроенные в электронные письма, имеют большее значение для конфиденциальности, чем маяки, встроенные в веб-страницы. Благодаря использованию встроенного маяка отправитель электронного письма – или даже третья сторона – может записать ту же информацию, что и рекламодатель на веб-сайте, а именно время прочтения электронного письма, IP-адрес компьютера, который использовался для чтения электронной почты (или IP-адрес прокси-сервера , через который прошел читатель), тип программного обеспечения, используемого для чтения электронной почты, а также наличие любых ранее отправленных файлов cookie. Таким образом, отправитель (или третья сторона) может собрать подробную информацию о том, когда и где каждый конкретный получатель читает свое письмо. Каждый раз, когда сообщение электронной почты отображается, та же информация может быть отправлена повторно отправителю или третьему лицу.

Заголовки электронной почты «Return-Receipt-to» (RRT) также могут инициировать отправку информации, и их можно рассматривать как еще одну форму веб-маяка. ^[9]

Веб-маяки используются продавцами электронной почты, спамерами и фишерами для проверки прочтения электронного письма. Используя эту систему, они могут отправлять похожие электронные письма на большое количество адресов, а затем проверять, какие из них действительны. В этом случае «действительный» означает, что адрес действительно используется, что электронное письмо прошло спам-фильтры и что содержимое электронного письма действительно просматривается.

В некоторой степени такого рода отслеживание электронной почты можно предотвратить, настроив программное обеспечение для чтения электронной почты таким образом , чтобы избежать доступа к удаленным изображениям.

Один из способов нейтрализовать такое отслеживание электронной почты — отключиться от Интернета после загрузки электронной почты, но до прочтения загруженных сообщений. (Обратите внимание, что это предполагает, что вы используете программу чтения электронной почты, которая находится на вашем компьютере и загружает электронные письма с сервера электронной почты на свой компьютер.) В этом случае сообщения, содержащие маяки, не смогут инициировать запросы к хосту маяков. серверы, и отслеживание будет предотвращено. Но в этом случае придется удалить все сообщения, предположительно содержащие маяки, иначе они рискуют снова активировать маяки после повторного подключения компьютера к Интернету.

Веб-маяки также можно отфильтровывать на уровне сервера , чтобы они никогда не доходили до конечного пользователя.

API маяка

Beacon API ( интерфейс прикладного программирования ) является кандидатом, рекомендованным Консорциумом World Wide Web , организацией по стандартизации Интернета. ^[10] Это стандартизированный API, который предписывает веб-клиенту бесшумно отправлять данные отслеживания обратно на сервер, т. е. не предупреждая пользователя и не нарушая его работу. ^{[ нужна ссылка ]}

Использование этого API-интерфейса Beacon позволяет отслеживать и профилировать пользователей без ведома конечного пользователя, поскольку он невидим для них, а также без задержки или иного вмешательства в навигацию внутри сайта или за его пределами. ^[11] Поддержка Beacon API была введена в браузер Mozilla Firefox в феврале 2014 года. ^[12] и в браузере Google Chrome в ноябре 2014 г. ^[13]

Примечания

^ Также называется веб-ошибкой, ошибкой отслеживания, тегом, веб-тегом, тегом страницы, пикселем отслеживания, пиксельным тегом, GIF 1×1 или прозрачным GIF.

Ссылки

^ Стефани Олсен (2 января 2002 г.). «Почти необнаружимое устройство слежения вызывает беспокойство» . Новости CNET . Архивировано из оригинала 7 ноября 2014 года . Проверено 23 мая 2019 г.
^ Ричард М. Смит (11 ноября 1999 г.). «Часто задаваемые вопросы по веб-ошибкам» . EFF.org Архив конфиденциальности . Архивировано из оригинала 29 июня 2012 года . Проверено 12 июля 2012 г.
^ Ричард Лоу-младший и Клаудия Аревало-Лоу. «Невидимый трекер электронной почты собирает информацию без разрешения» . mailsbroadcast.com . Архивировано из оригинала 3 декабря 2017 года . Проверено 22 августа 2016 г.
^ «Негрино, Том; Смит, Дори. JavaScript для Всемирной паутины . Pearson Education, 2001. По состоянию на 1 октября 2015 г.» . Архивировано из оригинала 12 мая 2016 года . Проверено 1 октября 2015 г.
^ Пэйтон, Энн М. (22 сентября 2006 г.). «Обзор шпионских кампаний и стратегий борьбы с ними» . Материалы 3-й ежегодной конференции по разработке учебных программ по информационной безопасности . InfoSecCD '06. Нью-Йорк, штат Нью-Йорк, США: Ассоциация вычислительной техники. стр. 136–141. дои : 10.1145/1231047.1231077 . ISBN 978-1-59593-437-6 .
^ Джатиндер Манн; Алоис Райтбауэр (13 апреля 2017 г.). «Маяк» . Рекомендация кандидата W3C . W3C . Архивировано из оригинала 27 октября 2019 года . Проверено 7 ноября 2019 г. {{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )
^ Бугеттайя, АРА; Эльтовейси, МЮ (2003). «Конфиденциальность в сети: факты, проблемы и решения» . Безопасность IEEE Конфиденциальность . 1 (6): 40–49. дои : 10.1109/MSECP.2003.1253567 . ISSN 1558-4046 . Архивировано из оригинала 25 августа 2021 года . Проверено 29 марта 2021 г.
^ Нильсен, Янне (27 апреля 2021 г.). «Использование смешанных методов для изучения исторического использования веб-маяков в веб-отслеживании» . Международный журнал цифровых гуманитарных наук . 2 (1–3): 65–88. дои : 10.1007/s42803-021-00033-4 . ISSN 2524-7832 . S2CID 233416836 .
^ См. меморандум Рабочей группы по проектированию Интернета RFC 4021.
^ «Рекомендация кандидата Beacon W3C от 13 апреля 2017 г.» . Архивировано из оригинала 3 марта 2021 года . Проверено 26 июля 2017 г.
^ Максимальное использование нового W3C Beacon API. Архивировано 3 октября 2017 г., в Wayback Machine - NikCodes, 16 декабря 2014 г.
^ Navigator.sendBeacon. Архивировано 30 апреля 2021 г. в Wayback Machine - Сеть разработчиков Mozilla.
^ Отправка данных маяка в Chrome 39. Архивировано 13 апреля 2021 г. на Wayback Machine — Developers.google.com, сентябрь 2015 г.

Внешние ссылки

Часто задаваемые вопросы по веб-ошибкам от EFF
— Они это прочитали? из еженедельных новостей Linux
Троянский маркетинг
Slashdot on Web Bugs — ветка форума Slashdot.org, посвященная блокировке веб-ошибок.

[1] Также называется веб-ошибкой, ошибкой отслеживания, тегом, веб-тегом, тегом страницы, пикселем отслеживания, пиксельным тегом, GIF 1×1 или прозрачным GIF.

[2] Стефани Олсен (2 января 2002 г.). «Почти необнаружимое устройство слежения вызывает беспокойство» . Новости CNET . Архивировано из оригинала 7 ноября 2014 года . Проверено 23 мая 2019 г.

[3] Ричард М. Смит (11 ноября 1999 г.). «Часто задаваемые вопросы по веб-ошибкам» . EFF.org Архив конфиденциальности . Архивировано из оригинала 29 июня 2012 года . Проверено 12 июля 2012 г.

[4] Ричард Лоу-младший и Клаудия Аревало-Лоу. «Невидимый трекер электронной почты собирает информацию без разрешения» . mailsbroadcast.com . Архивировано из оригинала 3 декабря 2017 года . Проверено 22 августа 2016 г.

[5] «Негрино, Том; Смит, Дори. JavaScript для Всемирной паутины . Pearson Education, 2001. По состоянию на 1 октября 2015 г.» . Архивировано из оригинала 12 мая 2016 года . Проверено 1 октября 2015 г.

[6] Пэйтон, Энн М. (22 сентября 2006 г.). «Обзор шпионских кампаний и стратегий борьбы с ними» . Материалы 3-й ежегодной конференции по разработке учебных программ по информационной безопасности . InfoSecCD '06. Нью-Йорк, штат Нью-Йорк, США: Ассоциация вычислительной техники. стр. 136–141. дои : 10.1145/1231047.1231077 . ISBN 978-1-59593-437-6 .

[W3C-7] Джатиндер Манн; Алоис Райтбауэр (13 апреля 2017 г.). «Маяк» . Рекомендация кандидата W3C . W3C . Архивировано из оригинала 27 октября 2019 года . Проверено 7 ноября 2019 г. {{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )

[8] Бугеттайя, АРА; Эльтовейси, МЮ (2003). «Конфиденциальность в сети: факты, проблемы и решения» . Безопасность IEEE Конфиденциальность . 1 (6): 40–49. дои : 10.1109/MSECP.2003.1253567 . ISSN 1558-4046 . Архивировано из оригинала 25 августа 2021 года . Проверено 29 марта 2021 г.

[9] Нильсен, Янне (27 апреля 2021 г.). «Использование смешанных методов для изучения исторического использования веб-маяков в веб-отслеживании» . Международный журнал цифровых гуманитарных наук . 2 (1–3): 65–88. дои : 10.1007/s42803-021-00033-4 . ISSN 2524-7832 . S2CID 233416836 .

[10] См. меморандум Рабочей группы по проектированию Интернета RFC 4021.

[11] «Рекомендация кандидата Beacon W3C от 13 апреля 2017 г.» . Архивировано из оригинала 3 марта 2021 года . Проверено 26 июля 2017 г.

[12] Максимальное использование нового W3C Beacon API. Архивировано 3 октября 2017 г., в Wayback Machine - NikCodes, 16 декабря 2014 г.

[13] Navigator.sendBeacon. Архивировано 30 апреля 2021 г. в Wayback Machine - Сеть разработчиков Mozilla.

[14] Отправка данных маяка в Chrome 39. Архивировано 13 апреля 2021 г. на Wayback Machine — Developers.google.com, сентябрь 2015 г.

[примечание 1]

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]