maanantai 26. syyskuuta 2011

Tarua ja totta Facebookin urkinnasta

Päivän uutinen Facebookista seuraamassa kaikkea surffausta sai monen käyttäjän aamukahvin väärään kurkkuun. Onko Facebookin nuuskinta tosiaan muuttunut näin vaaralliseksi?

Piti ryhtyä selvittämään, miten paljon asiassa oli perää. Ja olihan siinä vähän, mutta enimmäkseen kyse oli väärinymmärryksestä.

Ok, siis mitä Facebook tietää ja mitä ei?

Kun surffaat tavallisilla www-sivuilla, Facebookilla ei ole niistä aavistustakaan. Monella sivulla on kuitenkin Facebookin Jaa- tai Suosittele-nappi, jonka koodi ja sisältö haetaan suoraan Facebookin omasta palvelusta.

Jos olet kirjautunut samalla koneella Facebookiin, esimerkiksi nettiuutisen perässä näkyy Facebookin nappi ja tieto siitä, kuinka monta kaveriasi on suositellut uutista muille. Tämän tiedon täytyy tulla suoraan Facebookilta. Olisikin huolestuttavaa, jos nettilehti tietäisi, ketkä ovat FB-kavereitasi ja mitä he ovat tehneet.

Nettilehti tarjoaa Facebookille alustan sen omaa tiedonkeruuta varten. Vastineeksi lehti toivoo, että moni jakaa uutista kavereilleen ja näin sivulle kertyy lisää klikkauksia. Suosittele-nappi on melkoinen troijan puuhevonen, jonka sisälle Facebook on piiloutunut.

Facebook näyttää tiedon, joten sen täytyy tietää käyntisi sivulla vaikka et painaisikaan nappia. Juuri tässä on villakoiran ydin: jos sivulla on Facebookin jakonappi ja jos olet kirjautunut FB:hen, Facebook saa tiedon käynnistäsi sivulla. Miten he tietoa hyödyntävät on asia, jota kukaan ei tiedä.

Facebook voi tietää, mitä sivuja seuraat ja mitä uutisia luet. Tämä on iso periaatteellinen asia, josta ei juurikaan puhuttu kun jakonapit tulivat käyttöön pari vuotta sitten. Sen jälkeen mikään ei kuitenkaan ole muuttunut, joten siltä osin uutinen on ankka.

Jos et ole kirjautunut Facebookiin, näet pelkän napin, eikä sen perässä lue tietoa kaverien suosituksista. Tällöin Facebookin lokiin tallentuu vain tieto IP-osoitteesta, josta painike on haettu. Saman merkinnän aiheuttavat kaikki muut sivulla olevat mainokset ym. elementit. Siltä seurannalta ei voi välttyä.

Opetus: jos haluat minimioida Facebookin seurannan, kirjaudu ulos palvelusta aina kun et käytä sitä. Jakonapin perässä olevasta tekstistä näet heti, mitä Facebook tietää käynnistäsi.

Lisäys: Facebookin tapa käsitellä evästeitä herättää yhä kysymyksiä. Vaikka FB:n edustaja sanoo "However, contrary to your article, we do delete account-specific cookies when a user logs out of Facebook", napin teksti on erilainen riippuen siitä, onko käyttäjä kirjautunut ulos Facebookista vai onko hän poistanut evästeet kokonaan. Tämä herättää kysymyksiä siitä, miten FB todellisuudessa toimii. Selvästikään evästeitä ei poisteta kokonaan uloskirjautumisen yhteydessä, mutta miten niitä hyödynnetään on vain Facebookin itsensä tiedossa.

Lue myös Suomen Kuvalehden kirjoitus asiasta.

Jostain syystä päivän kohu-uutiseen oli sotkettu Read-ohjelma, joka on yksittäinen Facebook-sovellus ja mahdollistaa kollektiivisen lukemisen. Sitä käyttävät lehdet voivat näyttää sisältönsä Facebookin ikkunassa, jolloin sivun lukijat tulevat kertoneeksi kavereilleen lukutapahtumasta ilman jako- tai suositusnappulaakin. Tällä ei kuitenkaan ole mitään tekemistä evästeiden kanssa. Read hyödyntää Facebookin uutta APIa, joka tekee jakamisesta liiankin helppoa. Mutta se on jo oman kirjoituksen aihe.

Sitten oli vielä toinen uutinen: Facebookiin tulleita sähköposti- tai chat-viestejä ei voi enää poistaa. Tässä lähteenä oli ilmeisesti pohjoismaiden Facebookille lähettämä tietosuojakysely, jossa kerrotaan yksityisyyspolitiikan muuttumisesta.

En löytänyt mistään tällaista muutosta. Sen sijaan olen varma, ettei viestejä ole ennenkään poistettu oikeasti. Kun käyttäjä painaa deleteä, estetään vain viestin näkyminen. Facebookin oma mainoskoneisto sekä amerikkalaiset viranomaiset saavat halutessaan kaiken sen tiedon, mitä palveluun on ikinä kirjoitettu.

Syy on yksinkertainen: levytila on nykyään niin halpaa, että tiedon säilyttäminen on halvempaa kuin sen poistaminen. Eikä tämä ole Facebookin vika vaan uskon, että kaikki nettipalvelut toimivat samalla periaatteella -- siis myös Gmail, Hotmail, Twitter jne.

Toivoisi, että toimittajat itse selvittäisivät uutistensa taustoja ennen julkaisua. Nyt mikä tahansa rohkea blogipäivitys saattaa kelvata sellaisenaan uutiseksi. Nettikäyttäjien pitää itse kaivaa esiin, mikä on totta ja mikä tarua.

(Kiitos Twitter-kavereille kommenteista ja lisätiedoista tässä asiassa)

PS 1. Tällä sivulla ei ole tykkäys- eikä jakonappeja. Voit siis lukea kaiken pelkäämättä Facebookin kostoa :-) Toisaalta Blogspot on Googlen palvelu, ja Google tietää muutenkin kaiken sinusta. Suo siellä, vetelä täällä...

Lue myös, miten voit estää seurannan.

33 kommenttia:

Anonyymi kirjoitti...

Lähdekritiikki unohtuu lehdiltä yhä useammin. Kun lehdet kuitenkin joutuvat kilpailemaan muiden tiedonvälityskanavien kautta, luulisi laadun merkityksen korostuvan. Millä lehti voi kilpailla Twitterin tietovirran kanssa, jos se ei tee tapahtumista laadukasta analyysiä ja uutisen sijasta kerro syvällisempää pohdintaa asiasta? Nykyinen meno vie lehdet vaikeuksiin.

Petteri Järvinen kirjoitti...

Suomen Kuvalehti toimi kuten median pitääkin selvittämällä asian taustoja. Yksityishenkilöiden blogikirjoituksia ei pitäisi koskaan uutisoida sellaisenaan, ei tätäkään :-)

jaska kirjoitti...

Onkos tuossa mPC:n kertomassa perää, että uloskirjautuminen ei lopeta seurantaa, vaan pitäisi vielä poistaa fb:n evästeetkin?

Anonyymi kirjoitti...

Valveutunut Fb-ystäväni suositteli Firefoxiin plug iniä yksityisyyden suojaamiseksi: http://sharemenot.cs.washington.edu/

Onko kokemusta kellään?

Anonyymi kirjoitti...

Hyvää pohdintaa. Kaikki suositut palvelut ovat usein joko Googlen tai Facebookin peukalon alla. Tässä "kohussa" on nähtävissä kuitenkin webin seuraavan kehitysvaiheen tuloa. Selain tulee tarjoamaan valmiita ratkaisuja perustuen verkostoomme, laitteisiimme ja siihen mitä olemme netissä aikaisemmin tehneet. Sitä ennen käyttäjille tulee kuitenkin vakuuttaa hyöty, mitä tietojen luovuttamisesta tulee.

Anonyymi kirjoitti...

"Tässä on se villakoiran ydin: jos sivulla on Facebookin jakonappi, Facebook saa tietää käynnistäsi sivulla." ja

"Saman merkinnän aiheuttavat kaikki muut sivulla olevat mainokset ym. elementit. Siltä seurannalta ei voi välttyä."



Voi välttää ja se kannattaa tehdäkin.

Ohje alla.



"En löytänyt mitään tällaista muutosta."



Löytyy esim. täältä, kohdasta "Removed” content that was still held by Facebook:

Anonyymi kirjoitti...

http://www.europe-v-facebook.org/EN/Data_Pool/data_pool.html



ja ne estot, firefoxilla:

* NoScript

* AdBlock+ ja siihen listat:

- easylist

- wiltteri

- antisocial

* Betterprivacy

* Ghostery



Yksi tapa estää kerralla kaikilta softilta on laittaa hosts-tiedostoon esim. tällä tavalla:

Anonyymi kirjoitti...

127.0.0.1 facebook.com

127.0.0.1 facebook.net

127.0.0.1 www.facebook.com

127.0.0.1 login.facebook.com

127.0.0.1 www.login.facebook.com

127.0.0.1 fbcdn.net

127.0.0.1 www.fbcdn.net

127.0.0.1 fbcdn.com

127.0.0.1 www.fbcdn.com

127.0.0.1 static.ak.connect.facebook.com

127.0.0.1 www.static.ak.connect.facebook.com

127.0.0.1 fbcdn-sphotos-a.akamaihd.net



ja/tai sama palomuurilla.

lista ei välttämättä ole täydellinen, mutta em. lisäosien avulla voi helposti tarkistella mistä tavaraa yritetään hakea.



(ja miksikö fb näitä nappuloitaan ja lonkeroitaan levittelee? kerätäkseen *tarkkaa* tietoa kaikista ja valmistelee omaa mainosverkostoaan laajennettavaksi myös muualle kuin omalle alustalleen, ts. suoraksi kilpailijaksi googlelle.)

Petteri Järvinen kirjoitti...

>Onkos tuossa mPC:n kertomassa
>perää, että uloskirjautuminen ei
>lopeta seurantaa, vaan pitäisi
>vielä poistaa fb:n evästeetkin?

Jos oikein tulkitsen Facebookin vastauksia, uloskirjautumisen pitäisi riittää. Kokeilujeni perusteella näyttää kuitenkin siltä, että esimerkiksi Hesarin FB-painikkeen teksti on erilainen riippuen siitä, onko Facebookin evästeet poistettu vai onko FB:stä ainoastaan kirjauduttu ulos. Hmmm... tätä pitää tutkia vielä lisää. Kokeilkaa muutkin.

Petteri Järvinen kirjoitti...

>Löytyy esim. täältä,
>kohdasta "Removed” content that
>was still held by Facebook:

Ei ole epäilystäkään siitä, etteikö FB säilyttäisi poistettua dataa (jota tuossa kohdassa kuvataan), mutta missä privacy policy -tiedostossa kerrotaan että aiemmin tilanne olisi ollut toinen?

Tässä voi olla kyse väärinkäsityksestä siinä mielessä, että ennen chat-viestit eivät tallentuneet lainkaan. Jossain vaiheessa FB:n toiminta muuttui niin, että chat tallentuu sähköpostiksi ja jää sen vuoksi talteen. Chatin kohdalta tilanne on siten muuttunut, sähköpostin ja muun sisällön ei.

Europe-v-Facebook.orgin sivulla sanotaan vain "according to facebook's privacy policy, messages on facebook can not be deleted anymore". Mukana ei ole mitään viittausta policyyn eikä mainintaa, milloin muutos olisi tapahtunut.

Petri Ojala kirjoitti...

Sen verran alkoi häiritä tuo ajatus siitä että Facebook saa käytännössä tietoon mitä uutispalveluita seuraan yms. että siirryin käyttämään Facebookia erillisellä selaimella ja tekemään muut jutut toisella selaimella. Yksittäistapaukset ei haittaisi mutta nuo Facebook-linkit ovat nykyään käytännössä jokapaikassa.

Kenties olisi hiljalleen aika että selaimiin tulisi mahdollisuus sandboxata ikkunat/tabit.


Facebook tosiaan näyttäisi pystyvän seuraamaan käyttäjää vaikka olisikin kirjautunut ulos Facebookista. Käytännössä homma toimii siten että Facebook logout ei poista kaikkia sisäänkirjautumisessa luotuja keksejä ja kun vaikkapa hs.fi hakee Facebookin sivuilta sen "tykkää tästä"-kohdan, sinne lähetetään nämä jäljelle jääneet keksit -- mistä löytyy riittävästi käyttäjädataa.
(http://nikcub-static.appspot.com/logging-out-of-facebook-is-not-enough)

Eli seurantadataa tosiaan syntyy nykypäivänä kiitettävästi.

Jaakko Kuivalainen kirjoitti...
Kirjoittaja on poistanut tämän kommentin.
Jaakko Kuivalainen kirjoitti...

Evästeessä kulkee sama käyttäjätunniste nimellä "datr" kirjautumisen jälkeenkin, eli FB tunnistaa käyttäjän samaksi. Tai ainakin voi halutessaan niin tehdä.

http://kuivalaiset.net/jaakko/fb/fb_login_logoff_hsfi.jpg

Vasemmalla kuvassa kirjautuneena ja oikealla jälkeen.

Jaakko Kuivalainen kirjoitti...

Tuo ylläolevakin on minun, ja jostain oudosta syystä, jota en edelleenkään muista, minulla on tuollainen outo nimimerkki käytössäni. :)

Anonyymi kirjoitti...

Tällä sivustolla ei ole tykkää nappia, mutta kyllä tuo Ghostery nappasi parit Googlen lisäpalikat kuitenkin pois. :)

Petteri Järvinen kirjoitti...

Kokeiltua Windows 8:n IE 10:llä ja Hesarin uutisella:

Kirjauduttu Facebookiin:
"100 henkilöä suosittelee tätä. Ole ensimmäinen kavereistasi."

Ei kirjauduttu Facebookiin:
"100 henkilöä suosittelee tätä."

Ei kirjauduttu, evästeet poistettu:
"100 suositusta. Rekisteröidy ja näe, mitä kaverisi suosittelevat."

Petri Ojala kirjoitti...

.. eli Facebook jo nykyisellään käyttää näitä jätettyjä keksejä hyväkseen ja tietää että olet jo Facebook-käyttäjä.

Sitä emme tiedä käyttääkö Facebook sisäisesti mahdollisuutta myös tunnistaa sinut. Mielestäni se on liian helppoa.

Uskoisin että tämä(kin) tapaus ajaa selain-kehitystä siihen suuntaan että käyttäjä voi paremmin kontrolloida mitä tietoja itsestään levitetään. Kenties myös plug-in puolella tulee uusia mahdollisuuksia esimerkiksi hämäys-keksien luomiseen.

Tero Teelahti kirjoitti...

Sandbox-ominaisuudet ovat tulossa selaimiin, mutta ne on tehty ennemminkin sovellusten turvaksi kuin käyttäjän yksityisyyden suojaksi. Esimerkkejä vaikka IE10 testisaitilta.

Seurantaevästeiden blokkauksen standardoinnistakin on ollut puhetta, mutta taitaa mennä vielä vuosia ennen kuin sellainen on standardissa.

Anonyymi kirjoitti...

Miten IE:n InPrivate -selaus; safe surfin' with it?

Anonyymi kirjoitti...

Eli väite, että facebook voisi käyttäjän tahdosta riippumatta mainostaa sivuja, joilla käyttäjä on käynyt, on tuubaa? Onhan? Jossakin kun näinkin väitettiin.

Lanttu kirjoitti...

Ehdinkin jo hieman huolestua sen lehtijutun jälkeen, että näinkö Petterikin liittyy Pelottelijoiden hiippakuntaan. :D

Petteri Järvinen kirjoitti...

>Eli väite, että facebook voisi
>käyttäjän tahdosta riippumatta
>mainostaa sivuja, joilla käyttäjä
>on käynyt, on tuubaa?

On. Tältä osin alkuperäisessä uutisessa oli ilmeinen väärinkäsitys Read-sovellukseen. Jos sitä käytetään verkkolehtien lukemiseen, FB-kaverit saavat tiedon lukutapahtumasta ilman erityistä jakamistakin.

Anonyymi kirjoitti...

Heips!

Olet mahtava ja edellä asioista ja hyvä kun kannat huolta ihmisten tietoturvasta.

Jos kaikki on noin helppoa facebookille ja tietävät ihmisten sähköpostiosoitteet niin eikö ole helppoa murtautua myös sähköpostiinkin. Sähköpostin kautta sitä kirjaudutaan usein facebookkiin.

Yksi vika tässä sivustossa on. Missä on se facebook nappula ???

Anonyymi kirjoitti...

TYÖNHAKU JA FACEBOOK

Esim. Sonera käyttää myynnissään jotain celectus firmaa. Työpaikkaa hakiessasi voit hyödyntää facebook tiliäsi. http://www.celectus.com/sonera.

Omia tietoja ei tarvi laittaa lomakkeeseen vaan siellä viesti "Esitäytimme lomakkeen Facebook-tilisi tiedoilla."

Voiko jo kertoa että mitä tietoja mahdollisesti tuleva työnantaja saa selville hakijasta facebookin kautta?

Anonyymi kirjoitti...

Siis voiko facebook tietää jos käyn jossain sivulla, sillon ku en oo facebookissa ? tuleeko muitten etusivulle se mitä mä teen koneella ?

Anonyymi kirjoitti...

Uutta tai ei. Itse en (ainakin vielä) ole FB:n käyttäjä. Eräs läheinen kuitenkin kertoi, että on saanut kohdistettuja mainoksia, mistä selvästi kävi ilmi hänen identiteetinsä (ei siis pelkkä IP-osoite) vaikkei olesikaan ollut kirjautunut FB:iin. Minunkin epäilys oli, että olisikin kiinni näistä tykkään -napeista, mutta hän ei ollut niitä käyttänyt. Ehkä sitten ei ole huomannut, vai onko kysymys tavallisista kekseistä, tai flash cookiesta (jotka eivät tuhoudu tavallisella historian tyhjennyksellä). Olisin tästä kiinnostunut opiskelun kannalta. BTW. Tällaisen seurannan ansiosta saattaa kyllä FB:n hyödytkin jäädä kokeilematta.
J.

Anonyymi kirjoitti...

[url=http://paydayloansatonce.com/#bpjarvinen.blogspot.com]payday loans[/url] - payday loans , http://paydayloansatonce.com/#spjarvinen.blogspot.com payday loans

Anonyymi kirjoitti...

hi viagra samples,viagra , genericcialistyj.com ,cialispricekut.com
http://viagrasamplesegs.com http://geneircviagrasdj.com http://genericcialistyj.com http://cialispricekut.com

Anonyymi kirjoitti...

hi viagra samples,viagra , genericcialistyj.com ,cialispricekut.com
http://viagrasamplesegs.com http://geneircviagrasdj.com http://genericcialistyj.com http://cialispricekut.com

Anonyymi kirjoitti...

srg viagra sample,viagra generic , cialis ,cialis
http://viagrasamplesegs.com http://geneircviagrasdj.com http://genericcialistyj.com http://cialispricekut.com

Anonyymi kirjoitti...

srg viagra sample,viagra generic , cialis ,cialis
http://viagrasamplesegs.com http://geneircviagrasdj.com http://genericcialistyj.com http://cialispricekut.com

Anonyymi kirjoitti...

srg viagra sample,viagra generic , cialis ,cialis
http://viagrasamplesegs.com http://geneircviagrasdj.com http://genericcialistyj.com http://cialispricekut.com

Anonyymi kirjoitti...

srg viagra sample,viagra generic , cialis ,cialis
http://viagrasamplesegs.com http://geneircviagrasdj.com http://genericcialistyj.com http://cialispricekut.com