1. Inicio
  2. Pregunta y respuesta
  3. Una aplicación de privacidad intenta ineficazmente bloquear los datos de seguimiento para nuestro análisis web. ¿Deberíamos detectar el intento fallido y no rastrear a sus usuarios?

Una aplicación de privacidad intenta ineficazmente bloquear los datos de seguimiento para nuestro análisis web. ¿Deberíamos detectar el intento fallido y no rastrear a sus usuarios?

2010-01-06 8 views
27

Mi empresa tiene un paquete de análisis web que utilizamos para nuestro seguimiento de campaña de marketing propio y de cliente. Utiliza una combinación de registros de servidor, JS & bugs de imagen de web, cookies, archivos en caché exclusivos y encabezados de ETag para recopilar y clasificar la actividad del usuario.Una aplicación de privacidad intenta ineficazmente bloquear los datos de seguimiento para nuestro análisis web. ¿Deberíamos detectar el intento fallido y no rastrear a sus usuarios?

Recientemente, hemos encontrado que una determinada aplicación de protección de privacidad (sin nombre) que se conecta al navegador del usuario está ocultando ciertos códigos de seguimiento con la aparente intención de impedir que se rastree la actividad del usuario. Hemos comprado una copia de la aplicación y probado a nivel local, y hace lo mismo para muchas otras aplicaciones de análisis y errores web incluyendo Google Analytics.

En la mayoría de estos casos, la forma en que se modifican los datos podría impedir que el software de seguimiento funcione correctamente. Sin embargo, utilizan un patrón consistente para las modificaciones, y debido a la forma en que funciona nuestra intercalación, sus cambios no tienen ningún efecto en el funcionamiento de nuestro paquete de seguimiento y análisis. (Bueno, no es un efecto secundario que reduce la precisión de algunos cálculos de tiempo de Millis de segundos.)

En pocas palabras, la situación es la siguiente:

  1. Nuestros resultados de análisis no se ven afectados por el intento de la aplicación de subvierten los datos

  2. el usuario tiene la clara intención de prevenir el análisis de su actividad en línea

  3. es posible que alteran nuestra aplicación para detectar el intento de bloqueo

  4. tendríamos que gastar tiempo y dinero en la reparación y prueba de nuestra aplicación con el fin de hacer el intento de privacidad bloqueo realidad exitosa

Así que hay un dilema ético, en cuanto a la cantidad de esfuerzo que debemos tomar para detectar y honrar los deseos del usuario. Algunos de los problemas involucrados son:

  1. ¿No es responsabilidad de la aplicación de privacidad realizar el funcionamiento esperado? Hay formas en que podrían alterar los datos que serían para evitar que nuestros análisis rastreen a sus usuarios.

  2. ¿Es nuestra responsabilidad mejorar nuestra aplicación para detectar la intención del usuario? Esto implicaría tanto el costo de desarrollo como la eliminación de datos valiosos (aproximadamente el 2% de nuestro tráfico usa esta aplicación).

¿Cuál crees que debería ser nuestra responsabilidad ética?

  • Debemos hacer caso omiso de ella y tener nuestra aplicación funcione como está

  • Debemos tener el gasto, perder los datos, y el honor de los usuarios implícito el deseo

  • Debemos contacto con el desarrolladores de la aplicación y les dicen una mejor manera de evitar que nuestro sistema funcione

  • Debemos publicitar que su software no funciona como se espera

  • Otros ...?

    Para aclarar, la herramienta de privacidad simplemente no funciona. Nuestra aplicación, sin alteración, sigue la pista de los usuarios que la usan. Tendríamos que cambiar nuestra aplicación para que no rastrear a estos usuarios.

    Tenemos una opción de exclusión basada en cookies que el usuario puede seleccionar desde la página de inicio del rastreador.

    Enviamos una nota a la empresa que desarrolló la aplicación de privacidad, y dijeron que la examinarían.

Fuente

2010-01-06 ryandenki

+10

Creo que es un poco injusto que este tipo sea votado negativamente. Aunque no es popular, es posiblemente interesante, y es bueno que esté buscando consejo. –

+1

+1 Siempre me pregunto por qué las empresas publicitarias intentan evitar by ad bloqueadores: cuando instalo un bloqueador de anuncios, ya es bastante poco probable que haga clic en su molesta ventana emergente. Sé que no es lo mismo, pero solo quería despotricar un poco ;-) –

+0

No tratamos de eludir adblockers: la pregunta es cuánto debemos intentar si el bloqueador de anuncios no funciona correctamente. Tampoco hacemos ventanas emergentes por exactamente las razones que das. Es un equilibrio ético difícil entre tratar de llegar a las personas que se beneficiarían de sus productos y servicios, frente a las personas molestas que preferirían quedarse solos. Queremos honrar las preferencias de las personas en la medida de lo posible. – ryandenki

Respuesta

2

Qué obligación ética tiene usted para que me ayude en nada que sospecha que estoy tratando y fallando en?

Fuente

2010-01-06 04:32:19

+0

Has malentendido; el usuario instaló la aplicación (para proteger la privacidad) y OP se pregunta si eso implica que debería dejar que la aplicación "destruya" sus cookies, incluso si sabe cómo solucionarlas. Él está tratando de * ayudarlo * a usted. (Al menos, preguntándose * cómo * a). –

+0

@silky Correcto, el punto es que los datos munged nos dicen que el usuario prefiere no ser rastreados, y la pregunta es si deberíamos salir de nuestro camino para cumplir con sus preferencias implícitas de privacidad. – ryandenki

+0

@silky: Más específicamente, OP está preguntando cuánto esfuerzo deben tomar para ayudarme y si es su responsabilidad. –

4

Proporcionaré una forma de deshabilitar su seguimiento, y me pondré en contacto con los autores de la herramienta y les pediré que lo usen explícitamente. No te metas en una carrera armamentista para deshacer su trabajo; (solo continuará); proporcionar un interruptor trivialmente "apagado" y todos estarán felices.

Fuente

2010-01-06 04:33:39

+2

Ya tenemos una opción de exclusión de cookies que los usuarios pueden seleccionar desde la página de inicio del rastreador. – ryandenki

+0

Me refiero a una API para aplicaciones de privacidad de terceros para deshabilitarla (para que no necesiten 'adivinar' cómo). Debería ser bastante sencillo, y mientras tanto, para cumplir con el objetivo, ignorar los datos 'malos' (tal vez por un mes o un período X) después del cual puede dejar en claro que los terceros deben bloquear el 'nuevo' método. Si no lo hacen, después de un período de tiempo significativo, creo que podrías comenzar a rastrearlo, o seguir ignorándolo, me sentiría cómodo de cualquier forma, creo. –

+0

NOTA: Acabo de leer su edición. En este caso, publicaría el enfoque API de "bloqueo" y diría que no cambiará a DISREGAR los datos que son actualmente válidos, y simplemente fomentará la nueva API. Eso es muy honorable, y no creo que nadie pueda decir que ha hecho algo malo con ese enfoque. –

0

No creo que tengas ni siquiera una responsabilidad social remota para decirle al cliente "hey, no estás evadiendo nuestro sistema correctamente", así que tendería a "seguir como está".

Si te molesta sinceramente, entonces tal vez contactes a los desarrolladores como mencionas, pero no hay razón para que gastes nada en ello.

Fuente

2010-01-06 04:34:50 Sapph

2

Creo que la solución correcta es dejar que el usuario decida si quiere ser rastreado. Como yo lo veo, hay dos formas de alcanzar este objetivo:

  1. Filtra esos usuarios en tu aplicación.
  2. Indique al desarrollador de la otra aplicación sus debilidades.

me gustaría eligió el enfoque que es menos trabajo para usted . Escríbeles un correo electrónico. Si no mejoran su aplicación, felizmente continuaré el seguimiento. (Al mismo tiempo, podría considerar una API de exclusión voluntaria como han sugerido otros).

Incluso podría imaginar que podría beneficiarse si tiene a alguien de esa otra compañía que lo conoce a usted/a su empresa de manera positiva. camino.

Fuente

2010-01-06 07:36:59

+0

+1 para "Elegí el enfoque que es menos trabajo para usted". Ya estás actuando muy bien. No hay necesidad de hundir recursos en eso también. Estás en el negocio de hacer dinero después de todo. –

8

He estado activo en cuestiones de privacidad informática durante más de 20 años y esta es la primera vez que me encuentro con una pregunta como la suya. Es muy interesante.

Usted no tiene ninguna obligación de intentar modificar su aplicación para detectar los esfuerzos del usuario, y hay varias razones por las que recomiendo que no sigue esta línea de acción:

  • Puede haber otras aplicaciones que también se está volviendo ineficaz. No desea favorecer una aplicación sobre otra.
  • Si realiza esta acción, deberá tener cuidado con las actualizaciones de su aplicación y la de privacidad.
  • Si modifica silenciosamente su aplicación, la comunidad de privacidad perderá un "momento de enseñanza" valioso.

Lamentablemente, la parte de "negociación de privacidad" de P3P nunca se implementó realmente. Hubiera sido una situación ideal aquí.

Si tiene una opinión muy clara al respecto, le invitamos a contactar al desarrollador y decirles lo que están haciendo mal. Alternativamente, si tiene una inclinación académica, podría escribir un artículo para una conferencia de privacidad; sería una pieza interesante de "lecciones aprendidas". También podría escribir una publicación de blog, pero sospecho que no desea la publicidad.

Si desea enviarme un mensaje privado, me complacerá transmitir el mensaje al desarrollador.

Fuente

2010-03-01 16:14:00 vy32

+1

Tienes razón en todos los aspectos.Terminamos contactando con ellos, explicando qué parte de su enfoque era ineficaz. Puede que le interesen los detalles del error: tenemos algunas secuencias codificadas hexadecimales como parte de una clave única por usuario. Reemplazaron algunos caracteres en la secuencia con caracteres no hexadecimales para que no puedan decodificarse. Desafortunadamente, cualquier algoritmo que elijan siempre cambia los mismos caracteres de la misma manera para cualquier secuencia dada. Y nuestra aplicación en realidad no lo decodifica como hexadecimal, sino que usa la secuencia de texto tal como está. Entonces, cualquier clave dada seguía siendo única después de sus alteraciones. – ryandenki

3

Simplemente dejaría todo tal como está y no me pondré en contacto con el desarrollador. Si aparece en su radar, es posible que actualicen la aplicación para romper completamente sus análisis.

Creo que todo el "seguimiento" del miedo a los usuarios es muy interesante.

Cuando el seguimiento se utiliza de forma ética, en realidad beneficia a los usuarios porque la empresa puede determinar qué funciona desde una perspectiva de marketing. Esto significa menos dinero desperdiciado en marketing que puede usarse en otras áreas, como el desarrollo de un producto o incluso la venta de productos a un costo menor.

IMO, los fabricantes de algunas de estas aplicaciones de "privacidad" son culpables de exagerar los "peligros" del seguimiento ético para aumentar la demanda de sus productos.

Fuente

2010-03-01 16:29:37

1

Primero les informaría a los desarrolladores sobre la deficiencia de su producto, con toda la información que pueda proporcionarles para que les sea más fácil solucionarlos. Luego agregaría algo para detectar la herramienta en su propio código y notificaría automáticamente a cualquier sitio que crea que está protegido, pero no lo está, con una explicación de lo que ha hecho. No alteraría tu rastreador de tal manera que respetara la intención del protector de privacidad mal implementado, que a mí me parece que es demasiado pedir, y te envía por un camino peligroso donde terminas (al menos se percibe como) responsable del software de otras personas. Nuestros sistemas de software son, en general, demasiado complejos: escribir, en casos especiales, para software defectuoso, creo que solo aumentaría la complejidad de su sistema, sin gran valor para usted, sus clientes o los usuarios de la web en general.

Si notifica a los desarrolladores y no ha pasado nada en un tiempo razonable, consideraría hacer públicas las deficiencias del producto. No para avergonzarlos, sino para proteger a los usuarios; si su software puede (sin querer) superar sus defensas, el software malicioso también podría hacerlo.

No puedo citar capítulo y verso de por qué este curso de acción es ético, pero es lo que tiene sentido, lo que parece correcto para mí. Esta es una gran pregunta.

Fuente

2010-03-01 19:43:25

+1

Esto es en realidad lo que hicimos: escribimos una descripción razonablemente técnica de lo que estaba mal con el enfoque que estaban tomando, y recomendamos una acción diferente para nuestros códigos de seguimiento y cookies. Recibimos un correo de "gracias, lo investigaremos", así que veremos si sucede algo aquí. – ryandenki

0

Personalmente, simplemente debe ignorar sus esfuerzos.

Ya eres desconsiderado con los demás que intentan proteger su privacidad, ¿por qué esta persona que usa este software debería ser diferente?

Considere esto, ¿cuál es el motivo principal por el que las "cookies" no funcionan para el seguimiento? Es porque las personas los desactivan en sus navegadores. Quiero decir, estoy seguro de que hay un navegador en alguna parte que no admite cookies, tal vez algo ca.1993.

¿Pero hoy? ¿Seriamente? La única razón por la que una cookie no funcionaría es porque el usuario optó por desactivar las cookies.

Claro, puede haber una pequeña porción del mercado que no está "autorizada" a utilizar cookies, tal vez un navegador escolar o uno bloqueado en un negocio. Pero, realmente, ¿qué fracción del total de bloqueos de cookies puede ser eso realmente? (No sé cuál es tu aplicación o qué tipo de tráfico estás recibiendo)

Como las cookies no funcionan, has recurrido a los trucos de JS, algo que la mayoría de la gente desactivó por falta de información. para protegerse Obviamente, JS no está tan extendido como las cookies (especialmente los navegadores móviles) en términos de soporte. Pero el argumento es el mismo, en términos de datos generales "perdidos" para esos buscadores de casos extremos.

Por lo tanto, no sé por qué de repente este nuevo sistema le preocupa tanto. Simplemente continuaría como si ya lo hicieras.

Fuente

2010-03-01 21:33:59

+0

Es posible que haya leído mal la pregunta: el problema es hasta dónde debemos llegar para ser considerados cuando el software de "privacidad" de alguien es ineficaz. Quisiéramos dejar que las personas se excluyan, y queremos respetar sus intenciones. Los "trucos de JS" no funcionan si las personas desactivan las cookies, y proporcionamos una característica de exclusión voluntaria directamente desde la página de inicio del servidor de seguimiento. El problema en este caso es que el software de protección de privacidad que están utilizando no hace algo sensato como deshabilitar las cookies, sino que hace un intento patético de destruir los datos, esperando que esto funcione para bloquear el seguimiento, pero no lo hace t. – ryandenki

+0

La razón por la cual "este nuevo sistema nos concierne" es porque está claro que estos usuarios no desean que se les realice un seguimiento y nos gustaría darles cabida. Pero como cumplir con su deseo requiere que implementemos un conjunto específico de soluciones para detectar la herramienta de privacidad que están utilizando y excluir su tráfico, en efecto, tenemos que trabajar más para que el software defectuoso de otra empresa tenga el efecto deseado. – ryandenki

Cuestiones relacionadas

 Cuestiones relacionadas