סיסמאות, תורכים וLastPass

נפתח בווידוי:
היסטורית, נטיתי ואני עדיין נוטה לזלזל בכל החוקים שמעמיסים על משתמשים כדי להקשיח את הסיסמא שלהם.
כשאני נתקל בהוראות בחירת סיסמא כמו : "בחר סיסמא עם שמונה תווים, עם לפחות מספר אחד, אות גדולה אחת לפחות וסימן מיוחד אחד לפחות, ולא כזו שהשתמשת בה בשנה האחרונה" אני חש שינאה עזה כלפי האתר שמכריח אותי לבחור סיסמא שאני לא יכול לזכור.

כן, גם אני משתמש באותה סיסמא (עד כדי שינויים קטנים כדי לענות על דרישות מעצבנות) ברוב האתרים.
למעשה מדי שנה שנתיים אני מחליף את הסיסמא הראשית שלי, ואז כשאני בא להכנס לאתר אני מנסה להעריך כמה זמן אני מכיר אותו ואיזו מהסיסמאות הקבועות שלי עשויה להתאים. בדרך כלל אני מצליח לנחש בסופו של דבר.

אומנם לאתרים הבאמת חשובים, בנקים, פייפאל וכו' יש לי סיסמאות יחודיות (וכמובן גם לחשבון הדואר שלי, ואגב גם שרתים – אני לא משתמש בסיסמא הקבועה שנתפסת אצלי כקלה מדי עבור שרתים).

אני לא לבד, ולדעתי רוב רובם של המשתמשים נוהגים כמוני – כלומר משתמשים בסיסמא אחת עבור רוב האתרים, ואולי אפילו עבור חשבון האימייל שלהם.
בגלל זה הנזק הפוטנציאלי שיכול לגרום האקר תורכי משועמם ונחוש למשתמש ישראלי תמים וממוצע יכול להיות די גדול, למשל:

  • התחזות : בפייסבוק, בבלוגים או באתרים אחרים. אם הסיסמא הקבועה שלכם היא גם הסיסמא של האימייל – אכלתם פלפל (במילים אחרות, גם אם אתם לא עושים כלום בעקבות הפוסט הזה – לפחות את זה תתקנו, בפקודה!). פריצה לאימייל היא מסוכנת לא רק בגלל הסכנה לחדירה לפרטיות ולהתחזות – אלא גם כי היא מאפשרת שחזור סיסמא במרבית האתרים שאתם רשומים אליהם.
  • גניבת כסף דרך חשבון בנק (לא מאוד סביר, כי רוב הבנקים לא יאפשרו שימוש בסיסמא קלה שלא משתנה תדיר, ובנוסף הם נאצים בכל הנוגע לשחזור סיסמא).
  • גניבת שרותים דרך אתרים שמחזיקים בפרטי כרטיס האשראי שלכם : זה כבר די סביר, מי שמגלה את הסיסמא שלכם ל10BIS יכול להזמין פיצות בלי להזין מחדש את פרטי כרטיס האשראי. למעשה אם האתר עלוב במיוחד הוא גם יכול להשיג את מספר כרטיס האשראי דרך ממשק המשתמש ומשם הדרך אל האושר מובטחת.

בעבר כבר נכוותי קלות מסיסמאות קלות מדי כשאיזה בוט ניחש סיסמא של משתמש חדש בשרת (לפני שהוא הספיק לעשות להכנס בפעם הראשונה ולשנות אותה), וכמובן שהפקתי לקחים ושיניתי כמה הרגלים (פרטים בפוסט המלונקק).

שלשום ארז וולף פרסם בבלוגו We CMS שהוא מצא רשימת סיסמאות של ישראלים מסתובבת באיזה פורום טורקי, ושהרשימה נלקחה מאתר ישראלי גדול בעל אבטחה מפוקפקת ששמר את הסיסמאות שלו כטקסט צח (או בלעז – Clear text).

פונקציות גיבוב לערבול סיסמאות

מתכנתים עם אחריות מינימלית לעולם ירגישו אי נוחות עזה כשהם מתכננים מערכת שבה סיסמאות המשתמש נשמרות כטקסט צח. הפרקטיקה המקובלת היא להעביר את הסיסמא דרך פונקציית גיבוב חד כיוונית (MD5 או SHA למשל), שמבטיחה שיהיה קשה עד בלתי אפשרי לנחש את הסיסמא על בסיס התוצאה של הפונקציה.
למעשה, מכיוון שהפונקציות האלו מסוגלות להעביר נתונים באורך כלשהו לתוצאה באורך קבוע, עקרון שובך היונים מבטיח לנו שיש אין סוף קלטים שיובילו לפלט מסויים (כי יש אין סוף פלטים ומספר סופי אם כי עצום של פלטים אפשריים).

המשמעות של זה היא שגם אם האקר שם את ידו על רשימת גיבובים כזו, ומצליח למצוא סיסמא כלשהי שהגיבוב שלה מתאים לשורה בטבלא, הוא עדיין לא יודע מה הסיסמא האמיתית של המשתמש.
האקרים משתמשים בטבלאות עצומות הנקראות טבלאות קשת בענן (נשבע לכם) ששומרות את הגיבובים של סיסמאות נפוצות עבור פונקציה מסויימת, למשל MD5. (אי אפשר לשמור את כל האפשרויות כי יש 2 בחזקת 128 כאלו, ואין מספיק כוננים קשיחים בעולם בשביל לשמור את זה). בכל אופן, המחמירים מוסיפים "מלח" לתבשיל לפני שהם מבשלים אותו, כלומר במקום להכניס את הסיסמא ישירות לMD5 הם מוסיפים לה איזשהו קבוע סודי, מה שגורם לMD5 להוציא פלט אחר (בכך למעשה הם ממציאים גרסא פרטים של MD5).
מי שקצת מעורה באבטחת מידע בוודאי נע באי נוחות למראה המילה "סודי" במשפט הקודם, העניין הוא שהאקר ששם ידו על רשימת הסיסמאות המגובבות שהיא בהחלט סודית עלול לשים את ידו גם על המלח הסודי באותה הזדמנות. לכן אני אישית רואה במלח פתרון וודו שלא באמת עוזר למשהו.

בכל מקרה, אתרים רבים נכתבו על ידי ילדים קטנים, אנשים בוגרים אך מוגבלים נפשית או מפתחים חסרי אחריות והם שומרים את הסיסמא שלהם כטקסט נקי, מה שאומר שבהגדרה מי שמצליח לפרוץ אליהם יכול לשים את ידו על סיסמאות קבועות רבות בלי להתאמץ כלל.
למעשה, לטעון שאתר מסויים הוא מאובטח זו חתיכת טענה, כמעט לכל אתר יש חולשות אבטחה ולכן חשוב מאוד מאוד לא לשמור סיסמאות בצורה לא אחראית שכזו כי הסיכוי שהאתר יפרץ בשלב זה או אחר הוא כמעט 100%, וחשוב להקטין מראש את הנזק הפונציאלי האפשרי למקרה הזה – לכשיגיע.
אחת הדרכים הקלות ביותר לזהות אתרים כאלו היא כדלקמן:

בקשו מהאתר החשוד לשחזר את הסיסמא, אם הוא שולח לכם את הסיסמא הישנה שלכם באימייל : מזל טוב, מצאתם אתר שנכתב על ידי דגנרטים חסרי אחריות!
הדרך היחידה שבה הוא יכול לעשות את זה היא אם הוא שומר את הסיסמא כטקסט צח.
מה שרוב האתרים יעשו יהיה לשלוח לכם לינק שיאפשר להם לשנות סיסמא באתר, הבדל קטן אך חשוב.

אגב, היום בבוקר גיליתי ש10BIS שומר את הסיסמאות כטקסט נקי, בצ'אט עם נציג שרות נאמר לי ש"האתר מאובטח על ידי קוד אמריקאי".
כמעט השפרצתי קולה מהנחיריים על המסך כשקראתי את זה, והבהרתי בעדינות לנציג החביב אך חסר המושג שכדאי לפתור את זה בכל זאת.

לעניינינו

היום בבוקר פורסם בYNet שהאתר המסויים הוא לא אחר מאשר Homeless; עבר זמן רב מאוד מאז שהשתמשתי בו לאחרונה ולא זכרתי את הסיסמא.
בפרוצדורה הרגילה של אתרים שאני לא זוכר את הסיסמא שלהם, בדקתי את הסיסמא הקבועה הנוכחית ולמרבה אי הנוחות, הצלחתי להכנס.

מה שאומר שלפחות בתאוריה, הסיסמא הקבועה שלי מסתובבת אצל לועסי הרחת-לקום.

אין ספק שזו סיבה להחליף את הסיסמא הקבועה, אבל במה?
אפשר להגריל סיסמא קבועה חדשה, אבל הגיע הזמן לשנות הרגלים – ולו כי אתרים רבים כתובים בחוסר אחריות מוחלט.

הפתרון

מנהל סיסמאות טוב, שיאפשר לכם לעבוד עם סיסמא שונה לכל אתר, וידרוש מכם לזכור סיסמא אחת בלבד.
זכרתי שחייב להיות אחד טוב כזה, וזכרתי גם שסטיב גיבסון המליץ על משהו בSecurity Now. בבדיקה מסתבר שבדיוק היה פרק על האבטחה של פתרון בשם LastPass. למעשה עדיין לא שמעתי את האפיזודה הרלוונטית (אני אגיע לזה כשאני אסיים לשמוע את הספר הנוכחי – Under the dome של סטיבן קינג) – אבל ההערות של הפרק שכנעו אותי לנסות.

LastPass

לאסט-פאס מגיע עם פלאגינים לכל הדפדפנים הרלוונטיים, ומאפשר להם לסנכרן את הסיסמאות בין מחשבים שונים ודפדפנים שונים על אותו מחשב.
הסיסמאות מוצפנות על המחשב שלכם עם סיסמאת המאסטר שבחרתם, והמפתח הפרטי שלכם לעולם לא נשלח לשרת.
כמובן – בסיס הנתונים שמכיל את הסיסמאות המוצפנות נשלח לשרת ומשמש כגיבוי וכאן מאפשר עבודה נוחה עם כמה מחשבים.

התחלתי להשתמש בו היום בבוקר, וסך הכל החוויה נעימה ודי אינטואיטיבית.
רשימת הפיצ'רים מרשימה למדי, וכוללת יבוא אטומטי של הסיסמאות הקיימות מהדפדפן שלכם, יצירת סיסמאות חזקות (עדיין תצטרכו לעבור אתר אתר ולשנות סיסמא), שמירת כרטיסי אשראי מאובטחת, תמיכה ביוביקי (אני בהחלט צריך לבדוק את זה) ועוד.

החיסרון היחיד הוא שהיא לא משוחררת ברשיון קוד פתוח, אבל לדעתי זה חיסרון קטן שמתגמד לעומת הערך הגדול שהתוכנה הזו מספקת.
ניסיתי את לאסט-פאס בפיירפוקס כל היום ובכרום במשך זמן קצר ונראה שהיא עובדת היטב.

אני ממליץ בחום לנסות את LastPass (בחינם, יש שרות פרמיום ב12$ לשנה שמוסיף תמיכה בטלפונים חכמים ועוד כל מני דברים חביבים אך לא הכרחיים לרוב האנשים). גם אם החברה נעלמת – יש אפשרות ליצא את הסיסמאות שלכם לקובץ CSV (או ישירות לתוך מנהל הסיסמאות של פיירפוקס).

הנה סירטון קצרצר שמדגים את הפעילות הבסיסית:

ממשלת ישראל מודיעה: כלב מי שמשתמש בVBScript

הממשלה שלנו התחלקה על השכל.
במסגרת ממשל זמין, הם עושים כל דבר שאפשר כדי לחנך אותנו שאין דבר כזה פרטיות.
ההברקה האחרונה שצצה לה, באתר משרד החקלאות ניתן לאתר בעלי כלבים לפי שם או לפי מספר התג של הכלב.
הפרטים כוללים כתובת, ובהמשך מספר טלפון.
מי שלא יהיה מעוניין, יהיה צריך לפנות למשרד החקלאות, בטח לשלוח איזה פקס או שניים, שלושה מכתבים רשומים ושתי מעטפות אנטרקס כדי שפרטיו יוסתרו.
כמובן, מי שלא יודע על זה, לא ידע גם לבקש שפרטיו יוסתרו.
שוב, הממשלה שלנו עובדת בשיטות נכלוליות של אופט-אאוט.
מי צריך לפרוץ למאגרי מידע? המידע פשוט שם זמין לכל דיכפין.

אנקדוטה מרתקת, תחזיקו חזק:
"האתר" המושקע משתמש בVBSCRIPT.
בצעד מבריק אחד, הממשלה מוכיחה שהיא מצפצפת על הפרטיות שלנו, וגם שהיא מצפצפת על כל מי שלא מריץ את אקספלורר.

מצלמות נגד הפשע

בעקבות גל האלימות בחודשים האחרונים, נשמעו קולות שקראו להתקין מצלמות טלוויזיה במעגל סגור (CCTV) במקומות מועדים לפשיעה,  בטענה שניסוי באילת הראה ירידה של 60% עד 80% במעשה הבריונות באותם מקומות.
נניח רגע בלי לבדוק שהטענה נכונה ואכן יש ירידה כזו באלימות באותם מקומות.

גם אם זה נכון, זה לא מוכיח שלאורך זמן הפשע באותם מקומת באמת יקטן, וזה לא מוכיח שסך הפשע בעיר באמת קטן (ואותם חוליגנים לא עברו בפשטות להתפרע במקומות לא מצולמים).

מצלמות במעגל סגור יכולות להיות יעילות רק בשילוב של ניתור אמיתי של מה שהמצלמות תופסות, צריך גם אנשים שיסתכלו באופן פעיל על המצלמות ויבדקו שלא קורה שם שום דבר מעניין, וברגע שקורה משהו יזעיקו כוח שיטור שיגיע למקום במהירות.
הבעיה היא שצריך הרבה מאוד מצלמות כדי לכסות עיר שלמה, מספרים מ2005 עומדים על 200,000 מצלמות בלונדון, מספרים קצת יותר עדכניים עומדים על מעל מליון מצלמות בלונדון.
גידול של מאות אחוזים בתוך כמה שנים, ובשביל מה?

כתבה בגארדיאן מ2008 : הגידול האדיר במצלמות CCTV נכשל בהקטנת הפשיעה, אומרת המשטרה.
בכתבה מוזכר שרק שלושה אחוז מהשדידות ברחוב נפתרו בעזרת CCTV.

כחלק מהנסיון לשפר את היעילות של מערכת הCCTV, המשטרה תתחיל להשתמש במאגר תמונות ובטכנולוגיה למעקב אחרי פושעים ולזיהוי שלהם.
כאן רואים את הקשר אל המאגר הביומטרי.
כשמתחילים להשתמש בטכנולוגיה כדי לפתור על ידי כוח גס בעיות שאין להם פתרון יעיל, יש פיתוי להשתמש בעוד ועוד טכנולוגיה כדי שההשקעה עד כה לא תרד לטמיון.

כתבה יותר עדכנית מהטלגרף מדברת על זה שאחד מ1000 פשעים נפתר באמצעות CCTV.

תחשבו מה זה אומר לצפות בפלט ממליון מצלמות, 24 שעות ביממה, צריך עשרות אם לא מאות אלפי עובדים שיסתכלו כל היום במצלמות.

העלות של מעל מליון מצלמות היא אדירה, עלות האכסון של הנתונים (התצלומים של המצלמות ברכבת התחתית נשמרים כארבעה עשר יום) היא גם גבוהה מאוד, וכנראה הרבה יותר משמעותית מעלות התקנת המצלמות הראשונית.
קצת קשה להבין כמה בדיוק השקיעה ממשלת בריטניה בCCTV בשנים האחרונות.

המספרים שמצאתי נעים לבין 500 מליון פאונד ברחבי המדינה, לבין מילארדי פאונד. (1 פאונד ~= 6 שקלים)
בסכומים האלו אפשר היה להוסיף כמות משמעותית ביותר של שוטרים שיפטרלו באיזורים המועדים לפשע, ובאמת יעלו את תחושת הביטחון של האזרחים.

מה שבטוח, למערכות האלו יש אפקט משמעותי ביותר על הפרטיות של האזרחים.
לדעתי זה רק עניין של זמן עד שנשמע על חוקרים פרטיים שהשיגו גישה למאגר הווידאו הזה כדי להוכיח שבעל בוגד באישתו, או שפוליטיקאי מסויים הלך לזונה.
מצד שני, יכול להיות  שנשמע קודם על זה שפושעים הצליחו לגשת למאגר הוידאו.

במסגרת השחיקה המתמידה בפרטיות ובחופש שלנו בארץ, אולי זה יהיה הדבר הבא כאן.

A new database of images which is expected to use technology developed by the sports advertising industry to track and identify offenders.

המאגר הביומטרי : בור מלא זאבים

יש שתי בעיות עם טביעות אצבעות, false negative וfalse positive.

  • false negative (שלילי שגוי) : כאשר בהנתן דוגמא של טביעת אצבע, אנחנו לא מוצאים התאמה במאגר למרות שהמאגר מכיל התאמה.
  • false positive (חיובי שגוי) : כאשר בהינתן דוגמא של טביעת אצבע, אנחנו מתאימים אותה לטביעת אצבע לא מתאימה במאגר.

אם ניקח שתי טביעות אצבע של אותה אצבע, אחת אחרי השניה – הן לא תהינה זהות, זווית הלחיצה תהיה שונה, עוצמת הלחיצה, שטח הלחיצה וכו.
כדי לזהות טביעת אצבע, לא מחפשים התאמה מושלמת, כי אז אפילו שתי טביעות עוקבות לא יתאימו.
אז מה כן?
מחפשים ממצאים מסויימים, בשתי טביעות האצבע, ומתאימים אותם.

מכיוון שלא כל הממצאים יופיעו בכל טביעה (טביעה חלקית, זווית לחיצה וכו') וגם אם יופיעו כולם, הם לא יהיו במרחקים שווים אחד מהשני, משתמשים בהתאמה מקורבת, בגבולות threshold מסויים.
התאוריה הרווחת היא שאין שני אנשים עם טביעות אצבע זהות (למרות שאף אחד לא באמת בדק את כל אוכלוסית העולם). גם אם אנחנו מקבלים את התאוריה, היא עדיין לא אומרת שאלגוריתם הבדיקה לא יכריז על שתי טביעות ממקורות שונים כזהות כי הן דומות מספיק.|
יש תיעוד של כמה מקרים של זיהוי חיובי שגוי, שהצליחו לקלקל לכמה אזרחים תמימים את הבוקר, או את השבוע, או את העשור. (וניתן להניח שיש גם כמה טעויות שלא התגלו ודפקו לאנשים את החיים).
אז שגיאות קורות, אבל אולי הן נדירות מאוד?
נניח לשם השעשוע שבהינתן שתי טביעת אצבע מאנשים שונים, הסבירות ששתיהן יזוהו כשיכות לאותו אדם היא אחד למליון, נשמע טוב?
עכשיו, נניח שבונים מאגר ביומטרי של כל אזרחי המדינה (קצת יותר משבע מליון איש נכון לסוף 2008):
עם סבירות של אחד למליון, בהינתן טביעת אצבע, יהיו לה בממוצע שבע התאמות חיוביות שגויות במאגר.

אם המאגר מכיל רק טביעות אצבע של פושעים מוכרים, אז הבעיה הזו הרבה פחות משמעותית, כי רוב האזרחים הם לא פושעים ולכן המאגר קטן בהרבה (אני מנחש שגודלו הוא כמה עשרות אלפים).

פרופסור עדי שמיר, קריפטוגרף חתן פרס נובל זוכה פרס טורינג ואחד משלושת המפתחים של אלגוריתם ההצפנה RSA, הציע לנוון את הקשר בין הזהות שלכם לבין טביעת האצבע שלכם ששמורה במאגר על ידי יצירת התאמה של אחד לK בין הזהות לבין טביעות האצבע.

הצורה הפשוטה ביותר לנוון את הקשר, הוא לחלק בצורה אקראית לחלוטין את כל אזרחי המדינה לקבוצות קטנות יחסית (לצורך הדיון, נניח שגודל כל קבוצה הוא כ-100, אם כי ניתן לבחור במספרים אחרים).
גם אוסף כל טביעות האצבע יחולק לקבוצות תואמות באותו גודל. המאגר הביומטרי יכיל אך ורק את "הקשר הסודי" (שכדי להשיגו יהיה צורך להשתמש במפתחות הצפנה), בין כל קבוצת זהויות בחלק הראשון של מאגר המידע, לכל קבוצת טביעות אצבע בחלק השני של מאגר המידע.

מומלץ לקרוא את כל הכתבה בYNET.

אין ספק שזה שיפור על פני המצב המוצע כיום, אבל האם הוא אכן עונה על הדרישות?

איך נמנע זיוף זהות?

אחת המטרות המרכזיות של הקמת המאגר היא למנוע זיוף של תעודות זהות – כלומר הנפקה של שתי תעודות שונות על אותו מספר זהות וגניבת זהותו של אדם.
במשרד הפנים קוראים לזאת "הרכשה כפולה". פרופ' שמיר מתייחס גם לעניין הזה, ומדגים במכתבו איך הצעתו תמנע את הזיוף:

"אם אני ניגש בפעם הראשונה למשרד הפנים, מזדהה כראובן, מקבל תעודת זהות רשמית, וטביעת האצבעות שלי נרשמת באיכות גבוהה במאגר, אך לא בהכרח כטביעת האצבע של ראובן.

נניח שלאחר מכן, אני ניגש פעם נוספת למשרד הפנים, ומבקש לקבל תעודת זהות כשמעון (אני טוען למשל, שעדיין לא קיבלתי תעודת זהות ביומטרית, או מפני שאני טוען שקיבלתי כזו בעבר אך היא אבדה או נגנבה).

בדיקת טביעת האצבעות שלי במאגר הביומטרי, תגלה ברמת וודאות גבוהה שכבר הונפקה לי תעודת זהות בעבר, אך עקב הגנת הפרטיות שאני מציע להוסיף, תצביע רק על כמאה זהויות אקראיות אפשריות שקשורות לאותה טביעת אצבע.

האם זה מספיק?
אם אנחנו מקבלים את הנחת האחד למליון שלי, אז מה שיקרה ברגע שאדם יבוא להפיק תעודת זהות זה הדבר הבא:
הפקיד יבדוק את טביעת האצבע שלו, וגלה שהיא מופיע בכשבע קבוצות שונות, מה שאומר שאולי אותו אדם כבר הפיק תעודת זהות בעבר.
אחרי בדיקה של כ700 איש, הפקיד יכריז שהכל בסדר, ויפיק את תעודת הזהות.
בבן אדם העשירי שבא להפיק תעודת זהות, הפקיד כבר יגיע למסקנה שזה הכל בולשיט, ותמיד המערכת מתלוננת ומבזבזבת לו חצי יום של בדיקות, ופשוט ידלג על הבדיקה.
מאותו רגע כל מי שרוצה להפיק תעודת זהות נוספת יוכל לעשות את זה בלי בעיה.

ועל זה נאמר:
זאב! זאב!

אז, לא – לדעתי זה לא מספיק.

אני חושב ששטרית חופר לנו בור עמוק מאוד עם המאגר הזה, והבור הזה מלא בזאבים.

עצרת מחאה נגד החוק הביומטרי, היום בערב

היום בשבע בערב ברחבת הסינמטק בתל אביב תתקיים עצרת מחאה נגד החוק הביומטרי בחסות מאיר שטרית.
אל תניחו שזה אבוד, את חוק הצנזורה הצלחנו לנטרל.
אל תניחו שמיותר להגיע, אם חשוב לכם למנוע את הקמת המאגר הביומטרי (טביעת אצבע וצילומים ברזולוציה גבוהה של כל אזרחי המדינה) אז תגיעו.
איך אמר בר כוכבא*?
כל אחד הוא אור קטן וכולנו אור איתן.

נתראה שם.

* כן, יתכן שזה לא היה בר כוכבא אלא ש.ל. תנאי/ע. עמירן (אליבה דה גוגל).

מכונת הריגול של גוגל

אני משתמש באדסנס באתר של פיירסטטס.
היום קיבלתי מגוגל את האימייל הבא:

Hi,

We're writing to let you know about the upcoming launch of interest-based advertising, which will require you to review and make any necessary changes to your site's privacy policies. You'll also see some new options on your Account Settings page.

Interest-based advertising will allow advertisers to show ads based on a user's previous interactions with them, such as visits to advertiser website and also to reach users based on their interests (e.g. "sports enthusiast"). To develop interest categories, we will recognize the types of web pages users visit throughout the Google content network. As an example, if they visit a number of sports pages, we will add them to the "sports enthusiast" interest category. To learn more about your associated account settings, please visit the AdSense Help Center at http://www.google.com/adsense/support/bin/topic.py?topic=20310.

As a result of this announcement, your privacy policy will now need to reflect the use of interest-based advertising. Please review the information at https://www.google.com/adsense/support/bin/answer.py?answer=100557 to ensure that your site's privacy policies are up-to-date, and make any necessary changes by April 8, 2009. Because publisher sites and laws vary across countries, we're unfortunately unable to suggest specific privacy policy language.

For more information about interest-based advertising, you can also visit the Inside AdSense Blog at http://adsense.blogspot.com/2009/03/driving-monetization-with-ads-that.html.

We appreciate your participation and look forward to this upcoming enhancement.

Sincerely,

The Google AdSense Team

אז זה קורה, גוגל מתחילים להצליב מידע שהם אוספים על משתמשים ברחבי הרשת (אני מנחש שבעיקר דרך אתרים שמשתמשים בגוגל אנליטיקס) כדי להגיש להם פרסומות מפולחות אישית בלי תלות באתר שבו הם מבקרים.
זה היה עניין של זמן, ולפחות הם מצהירים שזה מה שהם עושים, דיברתי על זה כאן, כאן ובעוד כמה מקומות.

בחיפוש קצר לא מצאתי דרך לכבות את האופציה הזו בתור מפרסם, מישהו יודע על דרך?
אני כנראה אחפש שרות אחר לפרסומות לאתר אם אני לא אוכל לכבות את האופציה הזו.

למשתמשים באשר הם:
אם אתם לא רוצים שגוגל יאספו עליכם מידע שישמש אחר כך מי יודע למה אז:
1. אל תשתמשו בשרותי גוגל שדורשים אימות, ואם אתם כבר משתמשים – אל תשארו מחוברים (Logged in) אליהם באופן קבוע בדפדפן בו אתם גולשים.
2. כדאי מאוד לחסום את גוגל אנליטיקס, אפשר לעשות את זה על ידי הוספה של www.google-analytics.com ולהפנות את הכתובת אל 127.0.0.1 בקובץ ההוסטים המקומי שלכם (/etc/hosts במערכות יוניקס).
אפשרות נוספת היא שימוש בתוסף פיירפוקס Customize Google שמאפשר מניעת שליחת קוקיז לגוגל אנליטיקס (פחות חזק מחסימה גורפת, אבל עדיף מכלום).

מיקרוסופט מפתחת את גוגל אנטיליטיקס

לפני כמה חודשים העלתי את הרעיון של גוגל אנטיליטיקס, תוסף פיירפוקס שימנע מהדפדפן שלכם לספר לגוגל לאן אתם גולשים.
לא יצא לי לפתח את זה, אבל חשבתי לעצמי שזה יכול לחסום גם אתרי ריגול אחרים.
מסתבר שמייקרוסופט ישלבו משהו דומה, באקספלורר 8:
תכונה שתמנע גישה לאתרי גוף שלישי כאשר אתם גולשים כדי למנוע זליגת מידע לאותם אתרים.
השאלה הגדולה היא אם מייקרוסופט תפעיל את כברירת מחדל, ואם כן – איך גוגל יגיבו.
זה לא שאין פתרונות טכניים שיאפשרו לגוגל לאסוף את המידע בכל זאת, אבל לכו תשכנעו מליוני בעלי אתרים להזיז את הישבן ולממש אותם.

נכון לכרגע, פיירסטטס לא מושפע מהחסימה הזו כי הוא לא עובד בצורה שרגישה לה.
מצד שני, הגרסא הבאה של פיירסטטס תתמוך בהקלטת כניסות על ידי ג'אווה סקריפט, ומי שינסה להשתמש בתכונה הזו כדי להקליט כניסות מכמה דומיינים שברשותו עלול לגלות שגוגל אנטיליטיקס של מייקרוסופט גורם לו לבעיות.

אגב:
סביר מאוד שהתכונה הזו תחסום גם את הפרסומות של גוגל (ושל עוד כמה מפרסמים שעובדים בצורה דומה). הולך להיות חם.

גוגל אנטיליטיקס

דעתי על גוגל אנליטיקס ידועה, בקצרה:
גוגל אוספים מידע עלי ועליך כשאנחנו מסתובבים באינטרנט לתומינו, בכל מני אתרים שלא קשורים לגוגל.
איך? גוגל אנליטיקס, שמותקן בכל כך הרבה אתרים היום – מוסר לגוגל פרטים מפורטים על הגלישה שלך באתר כולל נתונים שמזהים אותך באתר.
סביר מאוד שגוגל יכולים להצליב את הזהות שלך באתר עם הזהות הגוגלית שלך (במילים אחרות – אם יש לך חשבון בגוגל, הם יכולים לדעת שאתה נכנסת לאתר מסויים שמשתמש בגוגל אנליטקס).
אני לא יודע אם גוגל באמת עושים את זה, אבל לדעתי גם אם לא – זה רק עניין של זמן עד שהם יתחילו כי זה יאפשר להם לפרסם בהתאם להיסטורית הגלישה שלך, מה שיכול להגדיל משמעותית את הרווחים שלהם.

עכשיו, לעניין.
מה דעתכם על תוסף פיירפוקס – נניח בשם גוגל אנטיליטיקס (שימו לב למשחק המילים המתוחכם), שיזהיר בצורה לא פולשנית (למשל איקון של מרגל בפינה העליונה של הדף) ברגע שאתם נכנסים לאתר שמריץ את גוגל אנליטיקס, ויאפשר גם לחסום בצורה גורפת את הדיווח של הדפדפן שלכם לגוגל?

היית משתמש/ת בגוגל אנטיליטיקס?

View Results

Loading ... Loading ...