Quantcast http://pixel.quantserve.com/pixel żądanie 302 przekierowuje do Facebooka i innych sieci reklamowych

28

Właśnie spędziłem kilka godzin badając, co według mnie może być złośliwym rozszerzeniem Chrome (korzystanie z narzędzi programistycznych do ich audytu, wysoce zalecane!), Problem z wstrzykiwaniem ISP / DNS lub infekcja złośliwym oprogramowaniem, ale najlepiej wiedzieć, że dzieje się tak, ponieważ uzasadniona odpowiedź od serwerów pikseli Quancast . Teraz mogłem odtworzyć problem na wielu komputerach, przeglądarkach i dostawcach usług internetowych i jestem całkowicie pewien, że odpowiedzi pochodzą z ich serwerów; Po prostu nie wiem dlaczego. Po sprawdzeniu FAQ i Polityki prywatności Nie widzę żadnych szczegółów na temat tego rodzaju działań i bardzo mnie martwi, dlaczego te przekierowania do zewnętrznych programów śledzących są czasami wstrzykiwane na naszą stronę internetową i jakie informacje są gromadzone na temat naszych użytkowników.

Podczas odwiedzania area51.stackexchange.com jeden z naszych pracowników zauważył dziwne żądanie na stronie ad.360yield.com, która wydaje się być firmą analityczną o nazwie Improved Digital . Podczas dochodzenia odkryłem, że prośby do http://pixel.quantserve.com/pixel czasami otrzymywały 302 odpowiedzi na przekierowania do różnych sieci reklamowych i firm analitycznych. Najłatwiejszym sposobem przetestowania tego było odwiedzenie bezpośrednio zmierzonej witryny Quantcast, takiej jak SO / SF / SE, i użycie karty sieciowej narzędzi programistycznych F12 (z zaznaczoną opcją „Wyłącz pamięć podręczną”) w celu sprawdzenia podejrzanych domen (kliknij prawym przyciskiem myszy nagłówek, aby dodać tę kolumnę) lub nieoczekiwane 302 odpowiedzi z żądania piksela. Do tej pory mogłem zobaczyć następujące 302 odpowiedzi:

ad.360yield.com/match?publisher_dsp_id = ... (ten przechwycony w IE) ad.360yield.com/match

i kolejne 360yield podczas odwiedzania strony głównej Stack Overflow: ad.360yield.com z SO

www.facebook.com/tr?id = .... & cd [prospecting] = T -.... (DLACZEGO JEST TO NA TERENIE51?) www.facebook.com/tr prospecting

stags.bluekai.com / ...? id = ... (firma analityczna przejęta przez Oracle ) stags.bluekai.com

bh.contextweb.com/bh/rtset?do=add ... (ten został przechwycony przy użyciu proxy Fiddler) bh.contextweb.com

tap.rubiconproject.com/oz/feeds/quantcast-pmp/tokens?afu = ... tap.rubiconproject.com

Widziałem również przekierowania na: analytics.twitter.com , ads.yahoo.com , e.nexac.com/e/quantcast_sync.xgi, ce.lijit.com, x.bidswitch.net, delivery.swid.switchads.com, rtb-csync.smartadserver.com i soma.smaato.net

Wygląda na to, że dzieje się to przynajmniej od grudnia 2014 r. , Ale nie znalazłem żadnych informacji na temat tego, dlaczego Quantcast przekierowuje do zewnętrznych podmiotów śledzących innych niż ta krótka notka z Ghostery (premia za ten link ma również opcję rezygnacji i prywatności) Detale):

Uważamy, że ta firma ułatwia lub angażuje się w ukierunkowanie oparte na zainteresowaniach stron trzecich.

Więc moje pytanie brzmi: decydując się na usługi Quantcast „Measurement & Insight”, które nie powinny wymagać od nich łączenia się z wieloma zewnętrznymi modułami śledzącymi, co jeszcze ujawniliśmy naszym użytkownikom?


16 grudnia 2015 Szybka aktualizacja: Właśnie odbyliśmy świetne spotkanie z Quantcast na temat działania ich latarni. Podali ogólne wyjaśnienie procesu i planują podać więcej szczegółów technicznych jako odpowiedź, gdy będą mieli trochę czasu na napisanie odpowiedzi. Jeśli którykolwiek z webmasterów ma dodatkowe pytania, zalecamy skontaktowanie się z przedstawicielem konta lub skorzystanie z formularza kontaktowego .

Wskazali również, że latarnię można wyłączyć za pośrednictwem sekcji ustawień naszego profilu Quantcast i że jej wyłączenie nie wpłynie na korzystanie z usługi Quantcast Measure. Jesteśmy przekonani, że nic złego się nie dzieje, ponieważ mają one zabezpieczenia chroniące prywatność użytkowników i nie używają jawnie ruchu SO / SE (ani żadnej konkretnej witryny) bezpośrednio w żadnym algorytmie targetowania. Doceniamy jednak możliwość rezygnacji z lampy ostrzegawczej i planujemy ją wyłączyć.

Greg Bray
źródło
3
Jest to kolejny powód, dla którego analityki i reklamy innych firm powinny umrzeć i spłonąć w piekle. Chcesz analityki? Zrób to na serwerze i nie naruszaj prywatności użytkownika.
André Borie,
Czy możesz potwierdzić, że to zostało (lub nie było) wyłączone?

Odpowiedzi:

10

Quantcast Measure Warunki korzystania z usługi ( https://www.quantcast.com/terms/measure-terms-service/ ) Część 6:

Serwery Quantcast mogą od czasu do czasu reagować na dowolny tag wydawcy, przekierowując przeglądarkę na anonimowy sygnał nawigacyjny innej firmy w celu obsługi świadczenia usług Quantcast na rynku. Decyzja o beaconie nie jest związana z tobą, wydawcą, ruchem ani bazą użytkowników.

mbc
źródło
Dzięki! Wygląda na to, że przegapiliśmy tę sekcję. Według web.archive.org/web/20111018183116/http://www.quantcast.com/… wydaje się, że sekcja była w swoich Warunkach korzystania z usługi przynajmniej od października 2011 r. I zawierała również link opisujący anonimowy latarnia była. Przekażę to władzom, które będą, aby mogły zdecydować, czy warunki są dopuszczalne, czy też powinniśmy spojrzeć na alternatywną metodę pomiaru ruchu.
Greg Bray
1
Nie jestem pewien, w jaki sposób mogą twierdzić, że jest anonimowy, gdy wydaje się, że bezpośrednio zawiera informacje o użytkowniku (np. Niezerowe external_user_id) w swoich przekierowaniach - jest to wykorzystywane przez dopasowanie plików cookie Improve Digital: webcache.googleusercontent.com/… - patrz strona 10, na której wyraźnie napisano: „Jeśli nie chcesz, aby pliki cookie pasowały do ​​użytkownika, możesz zwrócić identyfikator_użytkownika zewnętrznego równy 0”
Michael Hart
5

Podejrzewam, że jest to dopasowanie plików cookie do różnych dostawców danych / analityków odbiorców i firm reklamowych.

Wydaje się, że jest to objęte ich polityką prywatności , choć dość niejasno:

Możemy udostępniać stronom trzecim dane osobowe, w tym niektóre dane dziennika, w ramach dostarczania i ulepszania naszych produktów mierzących i reklamujących się. Na przykład możemy ujawnić takie dane firmom zaangażowanym w dostarczanie reklam lub ich widoczność.

Jeśli chodzi o to, czy tak naprawdę liczy się to jako „brak informacji o charakterze osobistym” (dane osobowe) - myślę, że jest to wysoce dyskusyjne. Jeśli rzeczywiście pasują do unikalnych identyfikatorów, to tak, nie udostępniają żadnych „dodatkowych” informacji, ale nadal pozwalają stronom trzecim na śledzenie tego samego użytkownika i dopasowanie ich do dowolnych danych, które mają w systemie, czyli wyraźnie możliwa do zidentyfikowania osobista.

Michael Hart
źródło
2
Byłoby to o wiele smaczniejsze, gdybyśmy faktycznie korzystali z któregokolwiek z ich produktów „Quantcast Advertise”, ale według mojej wiedzy tak nie jest. Używamy ich usług „Quantcast Measure” do mierzenia ruchu i ogólnych danych demograficznych, więc łączący naszych użytkowników za pośrednictwem Facebooka / Twittera i innych stron wydają się bardzo podejrzani i powinni zostać wyraźnie przywołani w swoich TOS / FAQ
Greg Bray,
Kolejny opis dopasowania plików cookie użytkownika z Adzerk można znaleźć na help.adzerk.com/hc/en-us/articles/205492375-User-Matching
Greg Bray