tiistai 27. syyskuuta 2011

Näin vältän Facebook-seurannan

(päivitetty klo 18:40)
Eilinen kohu Facebookin suorittamasta muiden www-sivujen käytön seurannasta on saanut monet huolestumaan. Miten varmistan, ettei Facebook näe millä sivuilla vierailen?

Facebookin oma neuvo on kirjautua ulos palvelusta. Se ei kuitenkaan näytä riittävän, kuten eilisen kirjoituksen kommenteissa esittämäni koe osoittaa. Kohteena oli Hesarin verkkosivun uutinen, jonka lopussa on tyypillinen Facebookin suosittele-nappi. Hesari on tässä vain esimerkin vuoksi, sama koskee kaikkia sivuja joilla on Facebookin, Twitterin ym. nappeja.

Kun käyttäjä avaa Hesarin sivun, selaimeen aiemman Facebook-käytön yhteydessä tallentunut eväste (eli keksi) palautetaan takaisin Facebookille, joka tulostaa sen perusteella napin perään oman tekstinsä. Tein IE 10 -selaimella pienen testin, jonka tulokset olivat seuraavat:

1. Toisessa ikkunassa kirjautuneena Facebookiin:
"100 henkilöä suosittelee tätä. Ole ensimmäinen kavereistasi."

2. Kirjauduttu ulos Facebookista:
"100 henkilöä suosittelee tätä."

3. Kirjauduttu ulos Facebookista ja evästeet poistettu:
"100 suositusta. Rekisteröidy ja näe, mitä kaverisi suosittelevat."

Jos Facebook ei saisi tietoa sivulla käynnistä uloskirjautumisen (logout) jälkeen, kohtien 2 ja 3 pitäisi antaa sama ilmoitus. Koska näin ei ole, Facebook ei selvästikään poista uloskirjautumisen yhteydessä kaikkia evästeitään ja pystyy ainakin teoriassa tunnistamaan sivua lukevan käyttäjän.

Tästä eteenpäin olemme luottamuksen varassa. Voimmeko luottaa Facebookin omaan ilmoitukseen siitä, ettei tietoja käytetä esimerkiksi Facebookin sisäisten profiilien laatimiseen ja mainosten kohdistamiseen? Jokainen tehköön omat johtopäätöksensä.

Facebookin puolustukseksi on sanottava, että sen järjestelmä on aika fiksu. Tietoturvan parantamiseksi se pitää kirjaa eri koneista, joilta käyttäjä on kirjautunut palveluun. Jos joku urkkii salasanan selville ja pyrkii palveluun toisen tunnuksilla, Facebook antaa oikealle käyttäjälle varoituksen. Esimerkiksi itselleni tuli asiaa aamulla kokeillessani seuraava ilmoitus:


Uusi kokeilu tuotti vielä selkeämmän varoituksen:


Jos näet tällaisia varoituksia, joku on todennäköisesti yrittänyt murtautua Facebook-tilillesi ja ainakin salasana kannattaa vaihtaa. (Sinänsä hyvä järjestelmä voi tuottaa myös yllättäviä ongelmia).

Myös Gmailissa on vastaava, joskin paljon yksinkertaisempi varoitusjärjestelmä. Se perustuu ilmeisesti IP-osoitteeseen. Ainakin itse sain kerran Gmailista varoituksen, että postiani oli luettu Yhdysvalloista. Varoitus oli tosin aiheeton, koska olin itse juuri matkustanut siellä ja palannut Suomeen.

Facebookin pysyvä eväste voi liittyä esimerkiksi tällaiseen suojaukseen, vaikka se käyttäjän silmissä näyttääkin hyvin epäilyttävältä.

Mutta miten menetellä jos haluat varmistaa, ettei Facebook pysty rekisteröimään käyntejäsi ulkopuolisilla sivuilla? Keinoja on useita:

1. Eri selaimet
Tallennetut evästeet ovat selainkohtaisia. Asenna koneeseen useita selaimia ja hoida kaikki Facebook-asiointi aina samalla selaimella. Älä käytä sitä muuhun surffailuun. Kun luet muilla selaimilla tavallisia sivuja, niissä pitäisi näkyä edellä kuvatun kolmoskohdan mukainen ilmoitus. Se osoittaa, ettei Facebook ole voinut seurata surffaustasi.

2. Eri käyttäjätunnukset
Evästeet ovat myös käyttäjäkohtaisia. Perusta koneeseen erillinen Facebook-käyttäjätunnus ja hoida asiointi sillä. Varjopuolena on se, että tunnusten vaihto on hieman hidasta. Joissakin selaimissa tämän voi hoitaa ohjelman omilla profiileilla.

3. Käytä suojausohjelmia
Varsinkin Firefoxiin on saatavilla monia suojausohjelmia, jotka estävät evästeiden tallentamista sekä blokkaavat sivulla olevia kävijälaskureita ja jäljitysevästeitä (mm. Ghostery). Firefoxissa voi myös kytkeä päälle ominaisuuden, joka poistaa levylle tallennetut evästeet aina käytön loppuessa. Tämä estää seurannan vain, jos selain on sammutettu Facebookin käytön jälkeen.

4. Käytä yksityisyystilaa
Tämä on oma suosikkini. Kaikissa selaimissa (Firefox, Chrome, IE, Safari) on nykyisin ns. yksityisyystila (yleensä Ctrl+Vaihto+P), joka estää evästeitä ja muita aputiedostoja tallentumasta pysyvästi. Käytä Facebookia vain yksityistilassa, niin evästeet eivät näy muille samaan aikaan auki oleville selainikkunoille. Tämä tosin edellyttää, että levyllä nyt jo olevat Facebook-evästeet poistetaan ennen yksityisyystilan käynnistystä, ja ettei yksityisyystilaan avata muita välilehtiä. Yksityisyystila varmistaa, etteivät uudet evästeet tallennu pysyvästi.

Kannattaa lukea myös MikroPC:n uusi uutinen aiheesta. Siinä on korjattu eilisen uutisoinnin ylilyöntejä.

15 kommenttia:

Anonyymi kirjoitti...

Helpointa (ja suositeltavinta) lienee yksinkertaisesti poistaa facebook-tili. Pitäköön tunkkinsa.

Anonyymi kirjoitti...

Ensimmäiselle kommentoijalle: Hyvä alku, mutta unohdit sen, että seuranta fb:n toimesta pelaa edelleen. Joten suojautuminen - sen estäminen on tarpeen.

Petterille:
Tässä unohtui nyt edelleen juuri asian ydin - koko seurannan ESTÄMINEN, ei näennäinen hankaloittaminen.

Miksi fb:lle pitäisi antaa tietoa selailuista heidän alustansa ulkopuolella lainkaan?
(Sama koskien myös googlea, twitteriä, ms:a, tuhansia yhdistettyjen suosittelu/kerro kaverille-nappien tekijöitä jne.)

Se, että käytät
1) eri selainta
2) eri käyttäjätunnusta / selainprofiilia
3) pelkästään ghosteryä ilman scriptien ajamisen estoa
4) pelkästään private browsing-ominaisuutta
ei estä korreloimasta tietoja sinuun. Eikä ole muuten edes vaikeata, varsinkaan tuolla mittakaavalla.

Private browsing-ominaisuuskin on vähän niin ja näin, luotatko ettei siitä vuoda mitään minnekään?

Edelliseen laitoin palautteena ohjeet Firefoxin osalta, voi lukea sieltä. Sekä suosittelen ihmisiä perehtymään joko hosts-tiedoston tai palomuurin käyttöön.
Ei ole oikeastaan iso vaiva vaikka laittaa kaikki fb:n lähteet täysin kiinni muurista silloin kun ei sitä itseään käytä. Softamuurilla yksi rasti kun listan on kerran tehnyt, tai reitittimestä web-kilkkeen kautta sama.

Evojeesus kirjoitti...

Entä Ghostery-addon Firefoxille, auttaako tähän ongelmaan?

Hannu Tanskanen kirjoitti...

Kokemuksen mukaan facebook laittaa facebookiin liittyneelle siihen liittymättömän viestin sen henkilön nimissä, joka käyttää samaa langatonta yhteyttä (siis samaa tukiasemaa), vaikkei tämä ole lähettänyt viestiä. Tällainen kokemus on syynä, etten pyynnöistä huolimatta ole liittynyt naamakirjaan!

Hermiitti kirjoitti...

Auttaako Firefoxissa automaattinen ja täydellinen selaushistorian poisto?

Ainakin Bloggerin eväste taitaa olla kiinteämpää tavaraa, kun olen laittanut blogiini ettei laskuri seuraa omia sivulatauksiani, niin eipä se niitä seuraa, vaikka Firefoxini poistaakin historiatiedot aina sulkiessa. Voisitteko ystävällisesti selventää tätäkin puolta?

Petteri Järvinen kirjoitti...

Firefox käyttää hieman harhaanjohtavasti historiatiedot-sanaa. Facebook tunnistaa käyttäjän evästeestä, joka on yksi historiatiedot-painikkeen takaa löytyvistä (ja tyhjennettävistä) kohteista.

Jos evästeet poistetaan, Firefox unohtaa Facebook-kirjautumisen eikä Facebook näe käyntejä muilla sivuilla.

Petri Ojala kirjoitti...

Privacy-tila selaimessa ei taida auttaa jos haluat samaan aikaan olla sekä Facebookissa että selata Interwebiä muutoin, ml. seurata linkkejä mitä Facebookissa on levitetty?

Itseäni ei huolestuta kohdistettu mainonta vaan se, että nuo Facebookin sivuilta tulevat Recommend/Share -linkit ovat nykyään niin monessa paikassa eli selailuhistoria tulee Facebookin tietoon harvinaisen täydellisenä.

Selaimissa on nykyään plug-in kaatumisten yms. takia sandboxausta eli jos flash kaatuu yhdessä ikkunassa, se ei kaada muita selain-ikkunoita/tabeja. Tämä suuntaus sopisi myös privacy-puolelle eli yksittäinen selain-ikkuna/tab olisi suojattu ja käyttäisi omia keksejään ja muita asetuksia.

Jaroneko kirjoitti...

Jätetäänpä tähän nyt sitten vinkki itsekäyttämästäni metodista Facebook-spamin poistoon muilta sivuilta. Eli käytän itse AdBlock Plussaa niin Chromessa kuin Firefoxissa ja olen lisännyt sen asetuksiin oman, seuraavanlaisen filtterin: "||facebook.*$domain=~facebook.com|~127.0.0.1". Eli mitä tämä tekee on blockaa kaikki facebookin palvelimia kohtaan kohdistuvat pyynnöt muista lähteistä kuin lokaalista (eli kun vaikka kirjoitat facebookin osoitteen osoiteriville) ja Facebookin sisältä.

En ole huomannut tämän mitenkään häiritsevän omaa (joskin hyvin vähäistä) Facebookin käyttöä, mutta se poistaa hyvin tehokkaasti häiritsevät 'näitä kaverisi lukevat' -listat, tykkäysnapit ja vastaavat ja estävät sivuja ottamasta muutakaan yhteyttä Facebookin palvelimiin (facebook-domainien alla).

Aron Viestitin kirjoitti...

Aikajana tuo mieleeni taannoisen pohdintani siitä miltä tuntuisi jos meillä olisi käytössä tietokoneista tuttu kumoa-nappi omaan elämäämme...

Koko tarina blogissa http://viestitin.blogspot.com/2011/01/mita-sina-haluaisit-kumota.html

Petteri Järvinen kirjoitti...

>Privacy-tila selaimessa ei taida
>auttaa jos haluat samaan aikaan
>olla sekä Facebookissa että
>selata Interwebiä muutoin, ml.
>seurata linkkejä mitä
>Facebookissa on levitetty?

Pitäisi toimia niin, että muissa (ei-privaattitilan) ikkunoissa voi surffata vapaasti samalla kun FB on auki privaatti-ikkunassa. Sen sijaan saman privaatti-ikkunan välilehdet jakavat ilmeisesti evästeet ym. keskenään.

Privaatti-ikkunan FB-viesteissä olevat linkit avautuvat ilmeisesti (voi riippua selaimesta) omina privaatti-ikkunoina, tältä osin pitää vielä jatkaa testausta.

Hannu Tanskanen kirjoitti...

Tätä nörttien munkkilatinaa seuratessa tulee yhä vakuuttuneemmaksi siitä, etteivät nämä hommat ole tarkoitettu nk. tavallisille ihmiselle tai insinöörille!

(Eikä myöskään lentomatkailu, lentoyhtiöt vaativat jo matkustajaa tekemään itse jotakuinkin kaiken muun paitsi koneen ohjaamisen - jos protestoit, sanotaan "nämä hommat pitäisi hoitaa jo kotona tietokoneella". Ehkäpä olen jo liian wanha (69) tähän maailmaan?)

Hannu Tanskanen kirjoitti...

Mitäs tästä sanot, Petteri?


Älypuhelimet raportoivat salaista tietoa ties minne

Petri Ojala kirjoitti...

Jaronekon idea käyttää AdBlockia myös Facebookin blokkaamiseen onkin erinomainen ajatus.

Lisäsin itselleni :)

Hannu Tanskanen kirjoitti...

Linkki ei näköjään toimi, kokeillaas uudelleen:

Uutinen

Jos ei vieläkään toimisi, kysymys oli siis eilisen uutisesta siitä, että uudet älypuhelimet lähettävät koko ajan salattua dataa jonnekin.

Petteri Järvinen kirjoitti...

Uutinen kertoo, että seurannasta on nostettu USA:ssa ryhmäkanne: http://www.taloussanomat.fi/informaatioteknologia/2012/05/18/facebook-haastettiin-oikeuteen-kayttajien-kyttayksesta/201229701/12

Onkin oikein, että Facebookin tietosuoja-asioista riidellään lähtökohtaisesti sen kotimaassa. EU-viranomaiset eivät voi muuta kuin pyytää erilaisia selvityksiä.

Website Security Test