Vad är web beacon och hur hotar det vår personliga integritet?

Tobias Dokken
Skriven av Tobias Dokken, januari 16, 2017

Jag har tidigare skrivit om kaklagen och varför jag tycker att den är dålig.

Det här är en oberoende fortsättning där jag beskriver en metod som används för att ersätta kakor och vad som är viktigt att tänka på.

Metoden heter Web Beacon, men går under många andra namn såsom pixel tracker, web bug, pixel tag, 1×1 gif och tracker bug.

Bild på en Beacon

Vad sjutton är Web Beacon???

Kanske du undrar..

En web beacon är ett litet objekt som läggs till på en webbsida eller e-post och tillåter skaparen att kontrollera om användaren har sett innehållet. Oftast är en web beacon formaterad som en bild och då oftast som en genomskinlig gif i storlek 1 x 1 pixlar, men det fungerar även att formatera som skript. Alla typer av objekt som går att ladda från webbläsaren / e-postklienten och skickar tillbaka svar till servern går teoretiskt att använda som web beacon. Anledningen till att gif är vanligast att använda för web beacons är för att det formatet har stöd hos alla webbläsare och man använder liten bildstorlek helt enkelt eftersom det resulterar i mindre filstorlek.

Beacon kommer från engelskan och är en typ av fyr som användes antingen som just fyr för navigering eller för att signalera att fiendetrupper närmade sig.

Beacon från 1700-talet i Devon, England

Det är väl ungefär så som man tänker att en Web beacon fungerar på Internet. Web beacon gör besökarna mer synliga och signalerar till huvudbasen när besök inträffar.

Vanligaste användningsområdena för en Web beacon är webbanalys i form av taggar, se om mottagaren öppnat sin e-post och för att lagra data om besökare på webbplatser.

Web beacon i e-post

Web beacon används väldigt mycket inom marknadsföring via e-post i syfte att ta reda på vilka mottagare som öppnat mejlet och ibland även vilka länkar som klickats på. Det ger marknadsförarna tillräckligt med information för att t.ex. avgöra vilka de behöver återkoppla med och hur pass väl deras kampanjer fungerat. Särskilt viktigt kan det vara när det krävs att mottagaren behöver göra något, till exempel betala faktura eller komplettera med dokument. Man vill inte riskera att kunden missar ett viktigt mejl på grund av att det felaktigt blivit identifierat som spam och därför hamnat i skräpkorgen.

Jag har själv erfarenhet av kunder där hela beställningsprocessen stannat till på grund av att de aldrig sett eller fått mejlet. De hade redan betalat, men beställningsprocessen krävde aktiv respons från kunden för många steg i kretsloppet. Det resulterar i försenad slutleverans som i sin tur resulterar i missnöjda kunder.

Man kan eliminera de flesta web beacon genom att stänga av visning av html för e-post eller stänga av visning av bilder.

Eftersom det går att eliminera web beacon från att aktiveras så kan man med andra ord inte att korrekt se hur framgångsrik till exempel en e-postkampanj varit, men ger ändå en bra fingervisning så länge man har felkällan i åtanke.

En baksidan med att eliminera web beacon från att aktiveras är att risken ökar att man får fler mejl från ettriga säljare som tjatar ännu mer att man måste öppna deras mejl eftersom det är för bra för att missa. Ja, jag har själv drabbats av det alldeles för många gånger vilket ofta slutat i ett definitivt avslut av relationen.

Web Beacon på webbsidor

Web beacon är viktigt i samband med annonser på webbsidor; både för de som visar annonsen och de som annonserar. Annonsören, oftast ett nätverk med massor av företag som annonserar via deras plattform, behöver kunna visa upp för sina kunder att deras annonser genererar trafik och även konverterar. Oftast brukar man räkna på 30 dagar efter att en besökare klickade på en annons till att hen gått hela vägen till köp.

De som visar annonser på sin sida vill i sin tur på samma sätt kunna se hur många som klickar på annonser och hur många som verkligen går hela vägen till köp. Vanliga kakor är inte alltid den bästa lösningen och de vill ju givetvis få betalt även för de besökare som valt att stänga av kakor i sin webbläsare men ändå klickar på annonserna. De vill gärna kunna få betalt även om besökaren rensar kakor.

Annonsnätverken använder även web beacons för att bygga upp en profil av dig för att kunna avgöra vilken reklam som är bäst lämpad att visa för just dig i syfte att få dig att öppna plånboken. De får in extra pengar genom att sälja informationen vidare till företag, bland annat Facebook, som i sin tur använder information till att bygga en ännu starkare profil åt dig. Som du redan känner till så vet Facebook väldigt mycket om oss. Förmodligen vet de mer om oss än vad vi själva gör.

När du besöker en webbsida så gör din webbläsare anrop till en webbserver för att hämta bilder. Om bilden är en web beacon så kommer servern att lagra information som bland annat datum och IP-adress. Ägaren av servern kan sedan använda informationen för att till exempel se om du besökt sidan tidigare och vilka sidor (inom domänen). Om servern dessutom har lagrat kakor lokalt på din dator så kommer den informationen att kopplas ihop med web beacon.

Vad skiljer sig mellan en webbkaka och web beacon?

Katt bryr sig om web beacon

På ett sätt fungerar web beacon ungefär som de webbkakor som används för att spåra besökare, nämligen själva insamlingen av data för att kunna identifiera besökaren vid nästa besök. Huvudskillnaden är att med web beacon så lagras informationen på webbsidans eller tredjeparts server vilket innebär att rensa historiken i webbläsaren inte sopar bort spåren. Även om du har stängt av webbkakor i webbläsaren så skapas web beacon.

Hur kan jag stoppa web beacons från att spionera på mig?

Att stänga av kakor i webbläsaren stoppar några web beacons från att identifiera specifik aktivitet som de i vanliga fall hämtar från just kakorna.  Stänger man av javascript så förhindrar man de flesta beacons från att skapas. Att stänga av javascript och kakor är dessvärre ingen praktisk lösning eftersom det är navet för att få de flesta sajter att fungera.

Däremot går det att stänga av från vissa av de sajter (nyhetssajter där man endast läser och inte använder funktioner som inloggning och liknande) som man besöker regelbundet och är proppfulla med annonser och beacons så får man en snabbare surfupplevelse. Tredjepartskakor kan man stänga av från webbläsaren för alla sajter utan att användarupplevelsen påverkas. Det finns säkert undantagsfall där det är nödvändigt men för de flesta sajter så är det problemfritt att stänga av.

Bästa tipset för dig som vill skydda dig är att använda tillägget Ghostery som identifierar och ger dig kontroll över kända kakor, beacons och liknande som används för att bygga upp en profil av dig . Det finns versioner för de flesta webbläsare.

Tyvärr så är web beacons konstruerade att vara osynliga och därför kan ett tillägg som Ghostery inte hitta alla.

För e-post är säkraste tipset att inte visa bilder och som alla redan känner till att inte klicka på okända länkar. I Google Mail (GMail) så är det standard att alla bilder visas. Google har redan laddat ner alla bilder och cachat dem på sina servrar för att ge en säkrare och snabbare upplevelse. Det stoppar dock inte avsändaren från att se om du öppnat mejlen, eftersom man kommit på sätt att komma runt detta.

Lösningen är då att gå in till inställningar och ställa in att externa bilder inte ska visas automatiskt som standard.

Alternativt kan man använda sig av tillägget Pixelblock (endast för GMail) som hjälper dig att blockera beacons.

Hur farliga är web beacons egentligen?

Det är möjligt att jag målat upp web beacon som satans verktyg. Riktigt så illa är det inte.

I de flesta fall är web beacons inte så farliga men det kränker vår personliga integritet. Informationen är oftast anonymiserad.

Det har dessvärre blivit en trend där illasinnade personer använder web beacons i e-post för att skapa en profil av dig i syfte att hitta dina svagheter för att sedan hacka dig, så kallad spymail.

Det kan vara bra att ha i åtanke att om man vill göra mer olagliga saker än att följa dina Internetvanor så går det enkelt få tag på den informationen och mycket mer, med metoder som inte lämnar spår efter sig. Web beacons upptäcker man ju åtminstone när man granskar källkoden.

Svenska exempel på användning av web beacons

Jag har tidigare undersökt svenska tidningars utskriftsvänlighet och i samband med det upptäckte jag ett intressant mönster för användning av web beacons. Notera att jag bara kollat snabbt på ytan och endast fokuserat mig på de beacons som är i form av bilder. Det går inte att dra 100%-iga slutsatser att allt är just beacons, även om det mesta tyder på det.  Poängen med exercisen är endast att visa hur det fungerar idag och glöm inte heller bort att det inte är förbjudet med beacons.

Dagens Nyheter

Utvald artikel: Stina Nilsson trea i Tour de Ski

Om man inspekterar koden för webbsidan så ser man i slutet att det skapats en bild som onekligen ser ut som en web beacon.  Sökvägen innehåller termen ”trackingToken” och storleken är 0x0 pixlar med naturlig storlek på 1×1 pixlar.

Web Beacon På dagens Nyheter

<img src="/ajax/track/render?trackingToken=80c471ee-af83-447f-b45d-1e6eea47f00b&amp;url=http%3a%2f%2fwww.dn.se%2fsport%2fstina-nilsson-jagas-av-heidi-weng-i-tourdrama%2f&amp;time=66357" width="0" height="0" class="hidden">

Om jag ska försöka mig på att gissa vad bilden gör så skickar den information om mitt unika id på sidan(trackingToken), aktuell sida samt tid.

Även när man stängt av kakor i webbläsaren så skapas ”bilden”. Stänger man av javascript så skapas den inte.

Aftonbladet

Utvald artikel: Resebolagen om regnet: Vi bokar inte om

Om webbläsaren är inställd på att tillåta alla kakor så ser man ingen tydlig beacon.

Om man däremot stänger av kakor från tredje part så blir det lite intressantare.

5 st Beacon från aftonbladet

Fem web beacons har skapats med följande struktur:

<img width="1" height="1" src="//ib.adnxs.com/getuid?https://eu.npario-inc.net/DMP/C610/0.gif?adnxs_uid=$UID">

Vad händer om vi stänger av alla kakor?

7 web beacons från aftonbladet

Det har lagts till ytterligare 2 web beacons, med följande struktur:

<img src="https://secure.adnxs.com/getuid?https://cis.schibsted.com/api/v1/sync?ANID=$UID" id="pulse2anpixel" style="visibility: hidden;">

Stänger man av javascript så dyker de inte upp.

Expressen

Utvald artikel: Köldrekord – här var det kallast under natten

När webbläsaren tillåter alla kakor så hittar jag inga tydliga beacons.

Stänger man av tredjepartskakor så dyker det upp 1 beacon.

Web beacon från expressen

<img src="http://jtp.expressen.se/notify/page-view.gif?path=/vadernytt/koldrekord--har-var-det-kallast-under-natten/&amp;channel=desktop&amp;autorefresh=false" data-test-jtp="">

Samma resultat får vi även om man stänger av kakor helt.

Notera <noscript> i bilden. <noscript> används för att tala om vilket innehåll som ska visas om javascript är avstängt. Vi ser att om man stängt av javascript så kommer det att skapas ett par speciella beacons, bland annat en för Facebooks annonsplattform.

Svenska Dagbladet

Utvald artikel: Bara du kan på riktigt bekämpa falska nyheter

Tillåter man kakor så kommer samma typ av beacons som för Aftonbladet att skapas.

Web beacon från Svenska Dagbladet

Stänger man av kakor så skapas de inte.

Slutsats

Kaklagen har skapat en falsk trygghet att om man stänger av kakor så är man skyddad från att bli spionerad på. Tyvärr hjälper det inte särskilt mycket att stänga av kakor för vi ser redan nu att web beacons används flitigt för att fånga upp de fall där kakor är avstängda. Det finns dessutom flera andra metoder som man kan använda istället.

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *

Related posts

LÄS ÄVEN

Vad är Amazon Go?

2017-02-09

Vad är Amazon Go och hur kommer det revolutionera sättet vi handlar på?

0

Optimera så att din webbsida ser bra ut med stor skärmupplösning

2017-02-07

Varför optimerar man inte webbsidor för större skärmar?

0

Skapar webbsidor lika långsamt som en sköldpadda

2017-01-23

Därför tog det 5 år att skapa min sajt – Sanningen bakom att skapa en webbsida

0

2017-01-16

Hur gör svenska tidningar med utskrifter på webben

0

Skriva ut webbsidor med print style sheet

2017-01-06

Guide till utskrifter av webbsidor med print stylesheet

0

Kinesiska mobilappen WeChat

2016-12-27

Analys av WeChat och Kinas framfart på Internet

0

Därför borde kaklagen smulas sönder

2016-12-20

Därför borde kaklagen smulas sönder

0

Är kaklagen död?

2016-12-19

Är kaklagen död? Granskning av hur myndigheterna implementerat lagen

0

Säkerhetsbristen med Target blank

2016-12-12

Target _blank – Säkerhetsbristen som Facebook valt att inte åtgärda

0

Gå till bloggen
DelaDela Dela på Twitter Dela på LinkedIn Dela på Facebook Dela på Google plus
Kontakta
Nyhetsbrev