Что на самом деле делают сторонние скрипты на сайтах с данными пользователей
Пройдёмся по следующим вопросам:
- Что такое cookie и пользовательские данные
- Почему воровство пользовательских данных технически невозможно
- Какую информацию о пользователе могут видеть сторонние скрипты, которые стоят на сайте, и как они могут использовать эту информацию
- Как может навредить вебмастеру то, что на его сайте стоят сторонние скрипты
- Как может навредить пользователю то, что его cookies собирают и хранят
- Что конкретно делает UpToLike с информацией о посетителях сайта и как это можно легко проверить
Что такое пользовательские данные
Если говорить в трёх словах – это всё, что угодно: начиная, например, от специальных объектов в папке Documents пользователя, продолжая логинами и паролями, продолжая историей переписки, продолжая журналом посещённых страниц… заканчивая паспортными данными и PIN кредитной карты, которые где-то фигурировали в почте.
Если бы все эти вещи действительно массово воровались всевозможными официальными скриптами, за которыми стоят разработчики серьёзных компаний, наверное, у нас бы царил полный хаос и беспредел. Однако своровать что-либо из перечисленного не так просто, и это скорее уже «зона ответственности» теневых структур, хакеров и пр. А всё, что могут делать скрипты – видеть и сохранять поведение обезличенного пользователя на сайте, накапливая таким образом поведенческие портреты, интересы. Ровно то же самое делает и UpToLike.
Что такое cookie
Будем отталкиваться от определения Яндекса. Cookie (куки) — это небольшие текстовые файлы, в которые браузер записывает данные с посещенных вами сайтов. Cookie позволяют «запомнить» посетителя сайта и настройки его аккаунта, чтобы не переспрашивать логин и пароль у пользователя, который недавно заходил на этот сайт.
Почему воровство пользовательских данных технически невозможно
При загрузке любой страницы данные для этой страницы грузятся с разных доменов. Ресурсы, загруженные с того же домена, что и сама страница, получают доступ ко всем кукам, установленным страницей.
Ресурсы, загруженные с других доменов, получают доступ только к тем кукам, которые установили они сами. То есть, при установке, к примеру, кода UpToLike у него нет доступа к кукам сервера, с которого загружена страница. И плагин никак не может их собирать, хранить и использовать.
Технически воровать данные возможно только из браузера, используя его уязвимости. Но разработчики браузеров, конечно же, постоянно работают над устранением таких уязвимостей, фиксируют и устраняют ошибки, так что каким-то образом забирать оттуда данные действительно не просто.
Как может навредить вебмастеру то, что на его сайте стоят сторонние скрипты
Ставя на свой сайт чужой код, вебмастер, по сути, добровольно отдаёт свой трафик стороннему скрипту, будь то кнопки Яндекса, ВК, FB, счётчик статистики и пр. Какой же у владельца сайта есть выбор в таком сценарии? Есть несколько вариантов.
Можно, например, отказаться от абсолютно всех сторонних скриптов и использовать только самописные.
Можно попробовать монетизировать свой трафик, который он так или иначе всё равно кому-то передаётся, за счёт сторонних скриптов. Например, в этом году на базе UpToLike будет работать рекламная сеть, которая откроет доступ к более 400 000 рекламодателей SeoPult. Участие будет добровольным, но для многих вебмастеров это очень интересная перспектива монетизации.
Или же можно просто оставить всё как есть и не паниковать по этому поводу, потому как передача данных – повсеместный, обыденный процесс в интернете.
Как может навредить пользователю то, что его cookies собирают и хранят
Итак, мы выяснили, что сторонние скрипты записывают и хранят поведенческие модели пользователей. И далее людям с теми или иными моделями поведения показывается реклама. Причём, реклама будет показываться им в любом случае: будут ли на сайте стоять кнопки от Яндекса, от ВКонтакте, от Фейсбука, будет ли там стоять счётчик статистики, Бар или что угодно ещё вплоть до информеров погоды и курсов валют. Реклама может «догнать» пользователя где угодно и в каком угодно формате. Это мало кому нравится, но в рекламных технологиях работает всё эффективнее.
Как этому сопротивляться? Можно ставить AdBlock, хотя он справляется только с баннерами, а это далеко не вся реклама в Рунете (контекстные объявления, реклама в лентах социальных сетей и пр. остаются). Можно пользоваться вот такими плагинами для безопасности в веб-браузере, защиты от XSS-атак и ClickJacking (Firefox - Раз и два).
Что конкретно делает UpToLike с информацией о посетителях сайта и как это можно легко проверить
Каждому пользователю мы ставим куку, на основе которой повторно его отлавливаем и храним его историю посещений сайтов. Благодаря функционалу, автоматически определяющему тематику каждого посещенного сайта, на основе всей собранной истории о пользователе строится портрет его интересов.
Для получения значения счетчика на кнопке UpToLike (точно так же, как и кнопки Яндекса и любые другие кнопки) делает запрос из браузера пользователя в социальную сеть. Таким образом, при загрузке страницы в браузере пользователя мы отдаём трафик социальной сети и ставим свою куку. Эта схема работы любого сервиса шейринга, который отображает количество шейров на счётчике. Социальные сети, которые отдают значения шар на странице – это ОК, ВК, ФБ, Твиттер, Мой мир.
Таким образом, логика работы UpToLike совпадает с логикой работы Яндекса и любого другого скрипта социальных кнопок и социальной активности. Отличие только в вариантах отображения кнопок, где UpToLike где-то на пару лет впереди, а также в полной кастомизации и подробной статистике, доступной вебмастеру (это и посещаемость, и количественные показатели социальных действий, и количество привлечённых пользователей за счёт шейров в соцсетях и пр.)
Если кто-то волнуется, что же всё-таки за информацию отправляет UpToLike себе на сервер, это можно элементарно проверить. Зайти на страницу, где стоит скрипт, нажать F12, потом нажать F5 – и увидеть все передаваемые данные.
Личные данные пользователя скрипт не видит. Теоретически, это было бы возможно только в том случае, если бы код был установлен, скажем, на FaceBook, Вконтакте, Одноклассниках и пр. социальных сетях, где можно распарсить ID пользователя и получить всю публичную информацию о нём. Но это нереальный сценарий. Описанные схемы работы с данными налажены и практикуются уже давно и очень многими системами. Иногда нам пишут в комментариях: «Лучше я буду передавать свои данные Яндексу, он их будет хотя бы для улучшения качества поиска использовать, а вы – в рекламных целях». Это прекрасный выбор, мы ни в коем случае его не осуждаем, но полезно знать, что и Яндекс, и прочие игроки рынка такого же уровня – это основные поставщики трафика, они его продают через свои рекламные системы, в рекламных системах тонкие настройки таргетинга – и, конечно же, для всего этого используются данные о пользователях ваших сайтов. Но опять же – называть это «воровством» в корне неверно.