Hvad er Privatlivs-neutralitet?
Dybest set fungerer de fleste hjemmesider i verden som spioner;- sladrehanke hvis eneste formål er at høste oplysninger ind om dig som forbruger. Mange af dem helt uvidende om hvad de egentlig bidrager til. Særligt Google har været medvirkende til at "ødelægge" internettet, men i dag har myriader af virksomheder enten kopieret deres forretningsmodel eller eksisterer som mellem-leverandør eller data-broker i en global dataindsamlings-industri.
Alle statslige og offentlige hjemmesider gør det, alle avisernes hjemmesider gør det - også selvom de skriver lange artikler om internetøkonomiens iboende råddenskaber. De er selv aktive (medvidende) bidragsydere. Se blot medier som bt.dk og eb.dk, hvis hele (mediestøttede) platform er centreret om click-bait og "historier" fra TV, twitter, facebook og instagram, hvor du skal acceptere bruger-tracking hvis du vil læse indholdet. Ja, "hele verden griner", og selv det mindste småt er "vanvittigt", "chokerende", "uhyggeligt" - hvis ikke vi har en dag hvor "Dette fænomen på himlen kan være livsfarligt". Altså solen, og minuttet efter bliver du præsenteret for en solcreme-annonce.
Vores partnere inden for sociale medier, annoncering og analyse kan også opsamle oplysninger om din brug af websitet til brug for målrettet annoncering. Vores partnere kan kombinere disse data med andre oplysninger, du har givet dem, eller som de har indsamlet fra din brug af deres tjenester....Og så listes der ellers omtrent 120 (!) forskellige måder hvorpå dine data og oplysninger om din adfærd rippes, via Politikens hjemmeside, som altså kombineres med "andre oplysninger, du har givet dem". Hvem er dem? Den tilsyneladende transparente no-bullshit liste (skrevet i jovial Politiken+ lingo) er 100% sikkert hverken udtømmende eller tilstrækkeligt forklaret;- ejheller skal man tro, at det kun handler om "målrettet annoncering". Og selvom det påståes, kan du i praksis ikke slå brugen af disse sporingsmekanismer fra. Det er ikke noget Politiken er herre over, de lægger blot platform til. Med åbne øjne, uden egentlig at være nødsaget til det.
Cookies er langt fra eneste måde "Politiken" høster data ind om dig på
For at gøre en lang historie kort, så bliver du tracked' så snart du besøger en hjemmeside der rummer een eller flere af følgende eksempler på "trojanske heste" (ud af mange) :
- Login via Facebook, LinkedIn, Google, GitHub o.a -profil
- Dele-knapper, f.eks "Del på Twitter" i diverse varianter
- Der anvendes Analytics, Tags-manager eller andre former for "optimeringsværktøjer"
- Der benyttes eksterne fonte, glyffer, emoji-fallbacks o.lign
- Brug af CDN'er (Content Delivery Network's)
- Brug af rammesystemer som Wordpress, Drupal, Wix o.lign
- Brug af indlejrede kort, færdigbagte kommentar-spor, videoer, GIF'er o.lign
- Basalt set alle former for links, det rene
<a>-tag er en guldgrube
osv, osv - der er nærmest uendelige måder en data-hungrende tredjepart kan høste data ind om dig på. Mange hjemmesider bidrager uforvarende til brugertrackingen, f.eks gennem et eller andet smart "gratis" komponent, plugin eller en service, som i ro og mag kan høste data i baggrunden. Men det er slet ikke det værste.
Case: Google ripper alle dine passwords
Hvis du har en google-konto, og du samtidig bruger chrome-browseren, så sidder Google og høster alle dine brugernavne og passwords ind i baggrunden. Som programmør er det "underligt" at Chrome gør praktisk talt alt for at hijacke dine logins. Det er et tilbagevendende problem for scriptere, se f.eks dette populære emne på stackoverflow. Vi er ude i en slags skyttegravskrig, hvor Google uophørlig forsøger at kapre password-felter, og kodere som uophørlig finder metoder til at undgå det på. I det pågældende link taler vi om styringen af login-felter, grafisk layout osv, men det konkretiserer den underliggende problematik. Google anerkender den slags som "fejl" og giver gode råd, blot for at ændre best practice når tilstrækkelig mange er hoppet på limpinden.
Men Google gør naturligvis ikke den slags på grund af "sikkerhed" eller for at "give brugerne en bedre oplevelse". De gør dette fordi de også gerne vil kende dine brugernavne og passwords til alle mulige andre services i verden. De vil gerne vide hvad du bruger, hvornår du bruger det og hvordan du bruger det. For nogle lyder det måske paranoidt, men den er god nok. Denne skribent oplevede f.eks engang at få en advarsel om et "sikkerhedsbrud" :
One or more of the passwords saved in your Google Account appeared in a data breach from a site or app that you use. Your Google Account is not affected. You can change your saved passwords, and see other personalized security recommendations, by taking the Security Checkup.Og så kan man gå ind på Googles Security Checkup (prøv selv), vælge "Check your passwords" og se noget lignende ala :
Og jeg har aldrig nogen sinde "gemt" et password, fraset login'et til min google-konto, konkret gmail (som man slet ikke burde bruge, hvis man har sit privatliv kært). Een ting er at Google har gemt / stjålet alle mulige passwords og brugernavne fra myriader af sites, der går +15 år tilbage (!). En anden ting er, at Google også har gemt passwords for Intranets, og for "localhost" - f.eks testservere kørt lokalt som aldrig været online. Her taler vi om systemudvikling i virksomheder, og systemer til det offentlige, som jeg også har arbejdet med. Men hvorfor? En tredje og endnu værre ting, er, at for at Google overhovedet kan gennemskue at nogle passwords og brugernavne går igen, så må de nødvendigvis ligge et eller andet sted i klartekst, dvs. ukrypterede - ellers kunne det ikke lade sig gøre. Et eller andet andet sted i deres systemer er der simpelthen en slags "database" over stort set alle brugernavne og passwords jeg har brugt gennem halvdelen af mit voksenliv, i klartekst. Og det gælder formentlig også dig.
På en frisk Ubuntu - eller, hvis jeg komplet af og reinstallerer Chrome og dermed fjerner al cache osv - så foreslår Chrome af sig selv et bestemt brugernavn og password - f.eks også her på Dfo - som aldrig nogen sinde har været brugt på andet end en test-side på en localhost, et andet sted, på en anden maskine, for omtrent 10 år siden. Formentlig fordi brugernavnet er det første i Googles lange liste af stjålne brugernavne, hvis man sorterer dem alfabetisk.
For nogle måske en banal "og hvad så?"-detalje, men det viser hvor langt Google (og alle andre der kan, Google er blot et eksempel her) er parate til at gå, for at kunne opbygge så detaljeret en profil på dig som overhovedet teknisk muligt. Ikke hvad der er nødvendigt, eller rimeligt, eller giver mening. De ripper alt, og mere til - blot for en sikkerheds skyld.
Hvis man ikke havde en anelse om den slags i forvejen, forstår man måske bedre nu, hvorfor det er dybt uforsvarligt at man lader folkeskolerne bruge Chromebooks som en obligatorisk del af undervisningen. Det er ikke nærmest kriminelt, det er kriminelt. Men for Google er det da uber cool at begynde profileringen allerede ved indskolingen. Men det er ikke det mest slemme.
Skyggeprofiler
Mange virker til at tro, at hvis de blot ikke er logget ind på t.ex Facebook eller Google, kører via et VPN eller i "incognito"-mode i en browser, så
kan de ikke spores eller trackes. Altså at systemerne på een eller anden måde ikke skulle kunne genkende, at du er dig. Ja, nogle forestiller sig at de undgår "overvågningen" hvis de ikke har en konto f.eks
på LinkedIn eller Twitter eller nogen som helst andre "tjenester".
Men selvom du er komplet anonym, aldrig har været på FB og altid er incognito, så er der bygget en
skyggeprofil op
omkring lige præcis dig, som kan sælges til enhver som har interesse i at nå dig, som forbruger eller meningsmenneske.
Og aftageren kan være hvem som helst;- det kan meget vel være den danske stat, eller politiet, eller PET, - og i tilgift kan staten så
sælge dine
sundhedsdata tilbage til højestbydende data broker, i det omfang disse data ikke i forvejen er rippet fra sundhedsplatformene.
Kina er et skrækeksempel, og t.ex TikTok et rent monster - TikTok tracker dig også selvom du ikke bruger deres app, endda på en temmelig invasiv måde - skyggeprofilering osv. Så meget for Rosa Lund og Vanopslagh, og deres "morsomme" shorts. Og akkurat som Google stiller TikTok virkelig smarte redskaber til rådighed for enhver der skulle have lyst til at vide mere om deres besøgende eller kunder. Se TikTok Pixel. Det er et selvbedrag at tro, at vi ikke er der, hvor Kina var for blot 3-4 år siden. Og et totalt overvågningssamfund ala det kinesiske virker til veritabelt at være EU og f.eks den danske stats store drøm. Hvis ikke, er nogle beslutninger ærlig talt lidt besynderlige. Pt. sidder Claus Hjort og Findsen anklaget for intet mindre end landsforræderi, angiveligt fordi de åbent har erkendt, at amerikanske spiontjenester har fri adgang til danskernes data-trafik. Banalt sagt: I Europa kalder man det bare noget andet, og alting sker jo kun for at sikre alle dine mange rettigheder, og for at bekæmpe skattesnyd, sorte penge, narkokriminalitet, russisk misinformation og naturligvis - uha - terrorisme. Det bliver dog lidt værre endnu.
Tracking uden cookies
I det skjulte kan hjemmesider (af sig selv, via extension, plugin eller bare et reklamebanner, som kun nogle af mulighederne) benytte fingerprinting, der også kaldes "tracking uden cookies". Det er f.eks sådan Facebook kan "opdage", at du nu pludselig er logget ind på en anden device, eller derfor "du har to artikler tilbage" på eksempelvis nytimes.com kan fungere. Lige det sidste kan dog gøres på andre måder også, f.eks er enhver Chrome og Edge browser i sig selv "født" med et unikt Id (hvem har mon fundet på det?), som kan bruges til at identificere dig, hvis alt andet skulle glippe. Data-industriens "værktøjskasse" er som schweizerkniv, der findes altid et eller andet alternativ der kan anvendes.
Fingerprinting er rigtig smart, fordi man på den måde i stilhed og i baggrunden kan omgå f.eks GDPR-reglerne (som dybest set også blot var et debilt tiltag, for lidt og for sent). Eksempelvis benytter Danmarks Radio's dr.dk fingerprinting, endda i en række forskellige scripts simultant. Hvis man er lidt fingernem (pun intended) kan man installere et værktøj som fingerprinting-monitor, og holde øje med hvilke sider der benytter fingerprinting. Det er formentlig alle tjenester du bruger. Fpmon kan give falske positiver, men læser du deres rapport har de sideløbende bygget en machine learning-algoritme, som kan bruges som en facitliste der i store træk bekræfter billedet.
Værktøjer som t.ex Privacy badger (i øvrigt et must-have alle burde benytte) kan ikke stille meget op over for udspekuleret brug af fingerprinting. For at få et indtryk af hvad et enkelt pixel på f.eks DR's hjemmeside kan hive ud af din browser (også din telefon), kan du prøve EFF's Cover Your Tracks. Selvom denne skribent efter lidt ventetid modtager den glade besked: "You have strong protection against Web tracking", så er det alligevel tilstrækkeligt til 100% unik identifikation:
Your browser fingerprint appears to be unique among the 177,399 tested in the past 45 days.Og selv hvis man skulle være så heldig ikke at sidde med en unik device, så er det sådan set ligegyldigt - parret med alle de øvrige oplysninger "man" har på dig (husk Politikens varedeklaration) , så øger det kun granulariteten af "deres" viden om dig, du kan slet og ret ikke gemme dig. Eller jo, du kan gå off-line. Og der er rigelig med data at parre med, læs f.eks rapporten The Data Big Tech Companies Have On You fra security.org (der naturligvis også tracker dig).
Og hvis du stadig skulle være i tvivl, så kan du prøve den pædagogiske gimmick clickclickclick.click. I princippet en slags online kunstinstallation. Det anbefales at slå lyden til. Og dette er - skal det siges - "low tech", som den gennemsnitlige scripter kan eftergøre relativt nemt. Fraset at slå javascript fra, kan man i praksis ikke selv gardere sig imod fingerprinting. Extensions eller plugins der påstår de kan er ganske enkelt oversolgte, hvis ikke en slags svindel. De kan måske noget, men ingen garanti, og det de gør kan altid overrules. Hvis man føler det er et problem, må man ty til Tor eller Brave-browserne.
Jeg har smarte extensions der fjerner reklamer og cookies?
Du kan heller ikke stole på de såkaldte "AdBlockere", vi har f.eks det populære Ghostery, som solgte bruger-data videre, eller det pt. mest populære AdBlock Plus, hvis moderselskab er et annoncebureau som tager 30% for at vise nogle reklamer. Een af deres kunder er vistnok Google, eller var det i hvert fald engang.
Google eksperimenterede en overgang med FLoC, et evil forsøg på at implementere noget som er endnu værre end cookie-tracking. Det er Android-filosofien som forsøges kopieret til Chromium-enginen, som efterhånden alle browsere er baseret på. "FLoC" ringer hjem hver anden dag, og fortæller hvilke hjemmesider du har besøgt, og så placerer en AI dig i et system bestående af 32.000 forskellige kundesegmenter. Kritikken var stor, og Edge og andre browsere baseret på Chromium disablede googles våde drøm. Selvom t.ex Edge er baseret på samme kerne som Chrome, så kan de frit fjerne eller omprogrammere funktionalitet. Og for Google giver det ikke så meget mening, hvis ikke man får alle med.
I stedet sysler Google nu med noget de kalder Topics API. Frem for cookies, eller et setup ala FLoC, så skal din adfærd og profileringen af dig fremadrettet ligge lokalt, på din egen computer eller telefon. I al uskyldighed vil dine besøg på nettet blive sorteret i nogle få simple kategorier, og reklameudbyderne kan så "spørge" din browser efter hvad du interesserer dig for. Men naturligvis kun hvis du giver dem lov! For dybest set har Google egentlig aldrig brudt sig om cookies, og er utrolig kede af, at de har registreret din færden i årtier ned til allermindste detalje - en beklagelig nødværge fordi de bekymrer sig så meget om hele menneskehedens privatliv. Så under paroler som Building a more private web o.lign, går vi en lys og privatlivs-orienteret fremtid i møde. Her må man gerne hoste ...
Jeg ved ikke hvor det ender, men jeg ved at Google med 100% sikkerhed ender op med en "løsning". Motivationen er der, og her er "privatliv" nok en mindre driver end de 209.5 mia dollar, eller 1.609 mia danske kroner, som Google tjente på internet-annoncering, alene i 2021. Til sammenligning er hele det danske statsbudget på omtrent 1.100 mia kroner.
Nogle sider bruger 100% ressourcer, de er browser-killere?
Glem alt om hvad du kan google dig til. Disse opskrifter er plantede af Google selv (og typisk kopi af kopi). Det skyldes ikke at du ikke har opdateret din browser, eller har for mange extensions, eller ser for meget HD-video, eller ikke har sat Chromium-enginen til "standards" eller, eller ... Det skyldes heller ikke at du har for mange tabs åbne.
Jeg kan nemt køre med 40-50 åbne tabs i Chrome, og har som regel Opera, FireFox og Brave kørende sideløbende. Hver med måske 10-20 tabs åbne. Og den laptop jeg pt. bruger kostede så vidt jeg husker kr. 2.995 i Elgiganten for omtrent 1½ år siden. Det er altså ikke en supercomputer. Så hvad sker der?
Systemerne er lavet så de bruger minimalt med ressourcer, hvor det ikke er nødvendigt. Så snart du forlader en tab, der viser f.eks dr.dk, eller YouTube, så forbruger den næsten ingen ressourcer. Det som sker, når du oplever din browser blive irresponsiv, er, at der forekommer et race condition mellem de forskellige tredje-parts cookies i den enkelte browser. Altså ikke blandt cookies'ne som sådan, det er bare dumme stykker tekst, men blandt de forskellige tabs indeholdende scripts der vil læse dem og interagere på dem samtidig. Tracking af dig sker live, mellem de forskellige tabs eller vinduer. Du kan søge i den ene tab efter lad os sige viskestykker, og i den anden tab dukker viskestykker op som forslag umiddelbart efter. Det sker desværre selvom du på alle mulige måder forsøger at disable al form for tracking og cookies. Du kan forhindre visningen af reklamer, og du kan i noget omfang forhindre tredjepartscookies, men du kan ikke forhindre systemerne i at prøve at gøre det, som de er designet til. Den som regel dårligt kodede Javascript aner ikke den er i et andet miljø, og der er ikke error-handling osv, de ender op i at forsøge det samme igen og igen, det ender i et såkaldt stack overflow. Derfor de 100% ressource-forbrug. Og det er grotesk irriterende. Sider jeg kender som har dette problem, enten til tider eller hver gang, er især bold.dk, bt.dk, eb.dk, zetland.dk og mange andre.
Løsningen er at slå cookies fra på disse sider. I en Chromium-baseret browser, kan du gå til Settings, vælge Privacy and Security og i bunden er der Sites that can never use cookies. Her tilføjer du så de hjemmesider du har problemer med, t.ex bold.dk. Jeg lover dig, at du så vil slippe for problemet med browser-killere. Eneste ulempe er, at du hver gang skal svare forfra på om du vil acceptere cookies (det kan siden af gode grunde så ikke "huske") men en ret lille pris for at løse et nogle gange voldsomt irriterende problem.
Du kan naturligvis godt slå alle cookies fra, i ét hug, een gang for alle. Men det ville blive et helvede, her er jeg enig med "giganterne". Dfo tilbyder en "husk mig"-funktion, så man ikke skal logge ind forfra hver evig eneste gang. Det ville ikke kunne lade sig gøre uden en cookie. Jeg bruger mange hjemmesider hvor jeg forventer at jeg er logget ind automatisk så snart jeg tilgår siden, men man kan godt gøre noget ved problem-hjemmesiderne.
VPN
Mange tror de undgår tracking hvis de bruger et VPN, men for det første forpurrer VPN (kryptering og anonymisering) ikke tredjeparts-cookies overhovedet, for det andet sælger de gratis VPN-tjenester din browser, shopping og geo-historik videre. Alting er efterhånden gennemsyret af hungeren efter "big data": Hvis du sender et URL-forkortet link til en ven, så har du i praksis sendt en "track & trace"-trojaner, bruger du browser-extensions er der pæn chance for at een eller flere sælger dine oplysninger videre. Eksemplerne er legio.
2022
Her i det herrens år 2022 er virkeligheden naturligvis langt værre end nogle cookies og smarte "gratis"-scams.
Et nyligt studie viste t.ex, at din telefon "ringer hjem" ca hver 4½ minut.
En Android-telefon sender "roughly" ca 1mb "data" til Google hver 12 time. Både Android-telefoner og iPhones begynder trackingen allerede medens
de ligger i pakken, og "ringer hjem" uanset dine indstillinger og om du bruger telefonen eller ej. Hvis du sætter et nyt SIM-kort
i telefonen, så sendes SIM-kortets data øjeblikkelig til Google eller Apple, altså før du overhovedet har bekræftet SIM-koden selv. Android, iPhone - men det gælder også Chromium, Windows etc - er lowlevel systemer som du i forvejen har tilladt
at køre på dine enheder, med fuld adgang til alt - ellers kunne de ikke virke. Men at din smartphone gør dette, er Naturligvis kun for at sikre dig en bedre brugeroplevelse,
og kontrollere at alle programmer virker ...
Denne skribent benytter af princip ingen Apps på sin telefon. Ingen! Jeg valgte løsningen med en kodeviser, og kan så bruge en open source browser som t.ex Brave eller FireFox.
Det var forbløffende nemt, havde ingen problemer, også selvom jeg overskred alle datoer med ugevis (helt bevidst). Noget tyder på, at det netop
er telefon-delen med en App der har forvoldt mange så mange problemer. Aalborg kommune måtte t.ex ansætte hele
13 nye medarbejdere
blot for at klare presset med frustrerede borgere. De årsværk kunne nok være brugt bedre i for eksempel ældreplejen. At kalde det idioti
ville være udtryk for mild, konstruktiv kritik.
Så det er win-win: Brug kodeviser og MitId fra en browser du kan stole på. Såkaldt "smartphones" er sorte bokse du ingen kontrol har over,
og som du overhovedet ikke har nogen anelse om hvad foretager sig i baggrunden, medens du bruger dem. En Android-telefon, og alle de sjove spændende Apps du bruger, kan sammenlignes med et slags lege / aktivitets-center for børn,
hvis eneste formål er at sælge slik til dem ved udgangen af legetøjsbutikken.
Dfo er privatlivs-neutral
Du kigger netop nu på Danmarks, måske verdens, eneste 100% privatlivs-neutrale website! I hvert fald hvor dette har været et ufravigeligt design-mål i sig selv. Dfo er garanteret klinisk renset for enhver tænkelig tracking-teknik, også alle de skjulte. Dette er opnået ved at bygge et diminutivt CMS fra grunden og strengt holde de omtalte "trojanske heste" fra indledningen ude af døren.
Og det var en rent ud sagt vanskelig opgave - forbløffende (overraskende selv for en garvet) hvordan nærmest alting i sidste ende kun har eet eneste formål: At vide så meget som muligt om dig som person og dermed som forbruger. Men det lykkedes!
For at gøre det ekstra transparent er sitets javascript hverken minified eller obfuscated. Den script-kyndige kan altså se lige præcis hvad der sker på client-siden.
Undtagelsen ift. minificering (men ikke privatlivs-neutraliteten!) er nogle standard open source biblioteker jeg har måtte bruge lidt i nød: jQuery (der vil blive udfaset helt), Bootstrap 4.x, day.js samt magnific-popup (vil også blive udskiftet). I forhold til ikoner, som der bruges rundt omkring, gør jeg brug af Font Awesome i den ældre 4.7.x-udgave.
Tekstbehandleren (når der skrives / redigeres artikler) er SunEditor, skrevet af et lille sydkoreansk vaskeægte geni. Jeg har renset ud i de forskellige scripts, og de er alle hostet lokalt, dvs ingen CDN osv. Fuld kontrol over hele gøjemøget.
Rent teknisk betyder fravalg af cookies osv. i øvrigt, at siden performer langt bedre. Det er simpelthen de slemme flaskehalse der er luget væk.
Men hvad betyder det for mig?
Ærlig talt, ikke en pind. Det eneste det betyder, er, at dit besøg på detfrieord.dk ikke registreres via tredjeparts-cookies. Hvis du derimod søger "det frie ord" frem i f.eks Google, så bliver dit besøg lagret af Google så snart du klikker, men ikke når du lander på siden. Det samme gælder i øvrigt hvis der i en artikel eller kommentar er indlejret en YouTube-video. Det var et valg - skulle denne mulighed helt udelades? Et slags pro et contra, det smadrer ligesom hele konceptet, men ville omvendt kunne virke som en spændetrøje. Et fint illustrativt eksempel på hvordan vi sidder i saksen ...