Przejdź do głównej zawartości
Co się dzieje, gdy ktoś w ciemno akceptuje okienka o cookies i polityce prywatności? W przypadku strony polskieradio24.pl informacje są wysyłane do 1386 podmiotów. Każdy podmiot ma swoją własną politykę prywatności.

Na drugim zrzucie ekranu, możecie zobaczyć analizę strony w naszej wtyczce Rentgen (https://addons.mozilla.org/pl/firefox/addon/rentgen/).

Po niewyrażeniu zgody na śledzenie przez wymienionych partnerów strona nie zapisuje cookies, ale przekazuje część historii przeglądania kilku wybranym partnerom.
Zrzut ekranu narzędzi deweloperskich przeglądarki Firefox, wczytana strona polskieradio24.pl, okienko o cookies na stronie, w konsoli wyliczona liczba 1386 podmiotów na liście.
Analiza strony polskieradio24.pl za pomocą wtyczki Rentgen https://addons.mozilla.org/pl/firefox/addon/rentgen/

Rentgen — pobierz to rozszerzenie do 🦊 Firefoksa (pl)

Pobierz dodatek „Rentgen” do Firefoksa. Rentgen to wtyczka, która automatycznie wizualizuje, jakie dane zostały ~~wykradzione~~ wysłane do podmiotów trzecich przez odwiedzane strony.
addons.mozilla.org
Krzysiek
A czy planujecie udostępnienie tej wtyczki na przeglądarki oparte na Chrome?
Zbigniew 'Emill' Pławecki ♿️🎮
heh, GDPR i RODO w praktyce 🙃
cc @hey taguje Cie bo ostatnio pisales o jakis szkodliwych praktykach, w tym zakresie, ktore Cie spotkaly
@Szymon Nowicki
Szymon Nowicki
@emill1984 tbh czepianie się o CDN itp to trochę kulą w płot. Te serwisy mają swoje polityki prywatności i taki cloudflare np. używa tylko zanonimizowanych danych do celów które się mieszczą w uzasadnionym interesie (np wykrywanie anomalii i bad actors w swoich sieciach)
@Zbigniew 'Emill' Pławecki ♿️🎮
Agnieszka Rapcewicz
@hey moim zdaniem jednak czepianie się CDNów jest zasadne. Takim podmiotom mogą być przekazywane dane osobowe, więc pytanie, czy podmiot korzystający z CDNów wybiera te podmioty odpowiednio (czy je weryfikuje), czy dane są przekazywane do podmiotów z państw na terenie EOG albo takich, co do których zostały wydane decyzje KE o adekwatnym poziomie ochrony danych i czy zostały zawarte umowy powierzenia z tymi podmiotami, czy nie.
@Szymon Nowicki
Agnieszka Rapcewicz
@hey poza tym wśród takich podmiotów znajdą się takie, którym raczej nie można ufać i które mogą wykorzystywać otrzymane dane we własnych celach (czyli jako administrator) beż ważnej podstawy prawnej.
@Szymon Nowicki
Szymon Nowicki
@agnieszka pisanie że „przekazuje cześć historii przeglądania” jest jednak tendencyjne. Przekazuje IP, host i pare innych rzeczy które (znowu) w przypadku CDN są wiadome do czego są używane bo wszystkie poważne firmy które to oferują maja dobre polityki prywatności.
@Agnieszka Rapcewicz
Kuba Orlik
@hey @agnieszka to nie jest tendencyjne, to jest po prostu prawda. "CDN" dostaje informacje o tym, że użytkownik o danym adresie IP odwiedził daną witrynę. Można korzystać z CDN-ów bez ujawniania nagłówka Referer.

Dodatkowo, część z tych "poważnych" firm na liście dostała już olbrzymie kary za bezprawne przetwarzanie zebranych danych...
@Szymon Nowicki @Agnieszka Rapcewicz
Kuba Orlik
@hey @agnieszka no i pamiętajmy, że firmy mają techniczną możliwość wykorzystywania zebranych danych w sposoby niezgodne z ich polityką prywatności, i trudno będzie to wykryć. Dlatego dobrze jest ograniczać ilość podmiotów, które mają nasze dane, do absolutnego minimum.

Poza tym, CDN-y do fontów/skryptów to przestarzała technika optymalizacji, i często *pogarsza* wydajność w dzisiejszych czasach.
@Szymon Nowicki @Agnieszka Rapcewicz
Kuba Orlik
@hey @agnieszka
Podsumowując: takie praktyki stanowią zagrożenie dla danych dotyczących użytkowników oraz pogarszają działanie strony.
@Szymon Nowicki @Agnieszka Rapcewicz
Szymon Nowicki
@kuba @agnieszka jaka jest nowoczesna metoda na serwowanie stron globalnie? Round robin i po serwerze w piwnicy w kilku krajach na świecie?

Wybacz prowokacyjny post ale idąc takim tokiem rozumowania to absolutnie każde DC może sobie iść na rympał i wejść na instancje klientów odszyfrowując ruch i zbierając dane niezgodnie ze swoimi procedurami.
@Kuba Orlik @Agnieszka Rapcewicz
Kuba Orlik
@hey @agnieszka wskazane przez nas podmioty trzecie nie są odpowiedzią na problem serwowania contentu globalnie. "CDN" ma niestety dwa znaczenia:

1) usługa do serwowania treści strony wydajnie na skalę globalną. Ten rodzaj usługi można po prostu... podpiąć pod swoją domenę. Nie musimy korzystać z domeny third-party.
@Szymon Nowicki @Agnieszka Rapcewicz
Szymon Nowicki
@kuba @agnieszka to że będzie swoją domena nic nie zmienia jeśli za nią jest CNAME do third party.
@Kuba Orlik @Agnieszka Rapcewicz
Kuba Orlik
@hey @agnieszka
2) usługa do umieszczania cudzych skryptów na własnej stronie. Google Fonts mieści się w tej kategorii, na przykład. Jeżeli jesteś globalną stroną, to i tak musisz korzystać z 1), korzystanie z 2) pogarsza wydajność strony. Jeżeli nie jesteś globalną stroną, serwowanie fontów i skryptów z własnej domeny będzie i tak szybsze i łatwiejsze.
@Szymon Nowicki @Agnieszka Rapcewicz
Kuba Orlik
@hey @agnieszka
Usługa typu 2) po prostu nie ma sensu. Nie znam innego niż lenistwo powodu, aby z niej korzystać.
@Szymon Nowicki @Agnieszka Rapcewicz
Szymon Nowicki
@kuba @agnieszka tu się zgadzam i faktycznie strona z przykładu daje dużo do życzenia w kwestii prywatności. Dyskusja zaszła za daleko bo się zgadzamy co do meritum.
@Kuba Orlik @Agnieszka Rapcewicz
MiKlo:~/citizen4.eu$💙💛
@Szymon Nowicki @Zbigniew 'Emill' Pławecki ♿️🎮 @Internet. Czas działać! 🇺🇦 ja bym nie wybierał do obrony CDN'ów przykładu cloudflare. Bo jedne strony go uźywają "tylko" jako CDN ale inne jako proxy do przepuszczania CAŁEGO , ODSZYFROWANEGO ruchu do swoich klientów. Mają więc: absolutnie wszystkie dane - również osobowe i również wrażliwe, które wymieniamy z dziesiątkami milionów stron. I mogą sobie te dane łączyć z tym co co nas pozwala identyfikować kiedy korzystamy w innych miejscach "tylko" z ich CDN'a.
No i poza tym - co z tego, że ktoś ma jakąś politykę prywatności skoro ja nie mam możliwości jej przeczytać (i zaakceptować/odrzucić) bo ten na czyją stronę wchodzę nie tylko tej polityki 3-ciej strony mi nie przedstawia ale w ogóle pomija informację że jej usługi są częścią dostępu do strony.
@Internet. Czas działać! 🌎 @Zbigniew 'Emill' Pławecki ♿️🎮 @Szymon Nowicki