Influerad av Hannes Mannerheim raderade jag ett antal rader kod ur sidmallen här på Copyriot. Nu loggas inte längre besöken på bloggen, varken av Statcounter eller av Mediacreeper. Finns ju inget skäl att ha dem där. En gång provade jag dem av ren nyfikenhet, sedan har de hängt med, fastän jag inte längre har något intresse av att analysera trafiken.
Dock ska jag inte ljuga – dina besök på Copyriot loggas fortfarande, om än inte av mig. Flattr-knapparna som kan synas på bloggen är manifestationen av ett javascript. Rent tekniskt innebär det att information om ditt besök överförs till Flattr AB. Huruvida de väljer att spara informationen eller radera den är omöjligt för mig att veta. (En helt annan sak är att jag personligen har stort förtroende för detta företag, så som det drivs i dagsläget.)
Trots allt är detta en mild form av spårning. Vad som skickas till en extra server är främst ditt IP-nummer, inte någon riktig identifiering. Annat är det med alla de sajter som nu integrerar Facebook. Steelneck skrev nyligen här:
Gå in på valfri piratblogg, som med ytterligt få undantag själva hjälper till att möjliggöra företagens insamlande av folks surfvanor, genom att ha blivit lockade att använda företagens olika script och widgets som samlar in uppgifter från besökarna. Är det inte en rätt grav dubbelmoral att tex. Piratpartiets partiledare möjliggör för google eller facebook att kunna karlägga folks besök på deras hemsidor, utan besökarens medgivande?
Steelneck syftar alltså på Anna Troberg, vars bloggkod rymmer javascript från bland andra Google, Facebook, Twitter och Statcounter. Även partiets förre partiledare Rickard Falkvinge har integrerat Facebook på sin blogg. Såvitt jag kan begripa ges även Google möjligheten att föra logg över alla besök där.
Inte för att predika ett asketiskt ideal av renhet, men vi borde prata lite mer om allt detta.
30 kommentarer ↓
Jag kör AdBlock med regeln “*$third-party”, vilket blockerar allt som inte kommer från samma domän som sidan man tittar på.
Det ställer till med en del besvär, men jag tycker att det är väl värt.
Flattr-knappen hade jag inte tänkt på. Det är den enda externa loggfyren jag har på min blogg.
Ytterligare en nivå av loggar står webservern för, men den har du ju själv kontroll över. Personligen har jag även satt denna till /dev/null, men då tar man i lite i överkant kanske.
Kombinationen av Adblock och NoScript tar bort det mesta om man vill härda sin browser.
Angående Piratpartiet är de inte de enda. Att Wikileaks valde att lägga en fet youtubevideo över sin hemsida (för att samla pengar) gjorde att många besökare genast blev loggade hos google.
Tilläggstips: Jag kör även det lilla insticksprogrammet Ghostery, som automatiskt visar de skript som loggar. Det gäller bara att man ställer in så att det hamnar i rätt hörn av browsern för att inte vara irriterande.
Detta är absolut ett ämne jag skriker om hela tiden. Många möten på Flattr har handlat om beroenden mot tredjepartsverktyg som får information om användare, något vi har bestämt att vi ska undvika i största möjliga mån.
Adblock och Ghostery är mina hjältar. NoScript är så omständligt att använda eftersom man förlorar så mycket av nätet – tyvärr. Ghostery löser många av de problemen.
Ändå tycker jag att använda dessa verktyg är lite att ge upp diskussionen. Vad tillför det att ha massa loggning av användare, för deras egen del? Om man vill dela en länk på twitter/facebook så kan man ju lätt copy/pejsta den. Kanske att det vore bättre om det fanns en valfri plugin till webbläsaren som man kunde trycka på istället för att dessa knappar fanns överallt. Det hade dessutom sparat många procent av webbtrafiken istället för att skicka samma javascript kod om och om och om igen!
Och vill också tillägga, precis det som Rasmus säger: Även om man litar på vissa företag/organisationer/personer, så är det ingen garanti för att de kommer att vara bra i framtiden. Om man litar på Facebook idag så kan ägarstrukturen ändras och helt plötsligt är det andra saker som datan (som redan är nerladdad och sparad hos dem) kommer användas till.
Nu spammar jag nästan, jag är väldigt upptagen av det här ämnet.
Flattr bestämde sig redan från början att göra en statisk knapp just för att inte tvinga människor att tvinga sina användare lämna information till en tredjepart. Det är en vanlig hyperlänk och en bild man själv kan välja att spara på sin egen maskin. Det är mest av lathet (och av insamlingsiver) som de flesta bolag undviker en sådan lösning. Kräv den av tjänsterna ni vill använda!
Kanske kan man se Google som en auktoriserad Pirate Bay, och som får dra kommersiell nytta av allt upplagt, i utbyte mot att leverera politiska profiler till USA. Det är kanske heller ingen slump att samtliga sociala medier ägs av företag baserade i USA. Så länge friheten inte hotar USA´s intressen får den levereras.
Samtidigt tror jag att den enorma mängd information som gjorts tillgänglig för så många kommer att förändra världen i snabb takt.
Även om det finns en politisk vilja att kontrollera det som sker i Cybern kommer det att bli en övermäktig uppgift, och kanske är de sociala medierna den sista stora produkt som kapitalismen frambringat och som samtidigt blir dess fall. Lite som Marx metafor om Kapitalisten och repet.
Även om Twitter och Facebook underlättar och uppmuntrar flyktighet så är båda forumen vad vi gör de till, även om det är motbjudande att vi genererar kommersiella och politiska profiler när vi använder produkterna.
Mera hets! Jag, liksom Peter, har ett flammande intresse av loggpolitik.
Kanske borde vi införa en loggfri dag, liknande No Music-day, för att få folk att problematisera kring denna frågan?
Peter: En liknande dag arrangerades av Telecomix 2009, fast då endast inriktad på Google.
Tack Rasmus.
Detta är onekligen ett ämne som behöver luftas mera, eller snarare medvetandegöras. Ett sätt kan vara att jämföra med hur det skulle se ut offline. Om jag förde dagbok och skrev in dagens händelser varje dag med en penna på dagbokens papper, vilka som kom på besök osv.. då skulle ingen finna det anmärkningsvärt även om de visste om det. Men om jag rapportrade vilka som besökte mig, tidpunkt, vilka kläder de hade, var de hade varit innan de kom till mig, osv. och skickade dessa uppgifter till något företag som gör statistik om det.. tja, mina vänner skulle nog inte tycka att det var kul, snarare obehagligt. Jag skulle nog inte vara någon vidare vän.
Anders Andersson skrev en kommentar hos Josh som var mycket tänkvärd (som vanligt), där han gör ett hyggligt starkt case om att det faktiskt är en form av försök till dataintrång, när man försöker få någons dator att lämna ut information utan datorägarens tillåtelse. Han tog två exempel, som jag inte upprepar här. Det första om ett hack där ett säkerhetshål utnyttjades, men att det givetvis var enklare att fixa buggen än att stämma folk för dataintrång. Det andra som ligger lite närmare det som diskuteras här, hur somliga försöker få e-postklienter att skvallra hurvida mottagaren av e-posten har läst brevet eller ej. Samma där.
Eller se på “cookies”, där har vi tom. ett stycke lagtext, som faktiskt säger att besökare skall ge sitt samtycke. PTS har sammanfattat det bra:
När blev ni sist tillfrågade? Typ aldrig skulle jag tro.
Man skulle också kunna fundera lite kring detta kartläggande gällande diplomater och tunga stats-personer. Tänk bara på alla “pinsamheter” som kom i dagen genom wikileaks och diplomatposten, de telegrammen visar med all önskvärd tydlighet på intresset som finns. Misstänker att diverse säkerhetstjänster och statsmakter är lite ambivalenta, beronde hur det för tillfället passar deras intressen. Det är den insamlade datan som lockar allsköns intressen, oavsett vem som samlat in den och somliga anar ett stort ekonomiskt värde i det.
Oftast tänker vi inte på det, vi surfar aningslöst vidare. Jag behöver bara se till mig själv. Jag har givetvis förstått det här sedan länge, jag vet hur det fungerar, men har inte direkt tänkt på vidden av det. Borstat bort det med att staten snokande är värre eftersom den har våldsmonopolet och därmed är den som som skall stå under granskning, inte medborgarna som skall betraktas som oskyldiga. Hade jag och alla andra i världen som insåg fräst ifrån på ett tidigt stadie, redan på 90-talet när man började att plocka in diverse “kul” saker på sina hemsidor, då hade det kanske hejdats i sin linda. Idag är det betydligt svårare, tyvärr, men det är å andra sidan ingen ursäkt, snarare skulle det vara en resignation att inte påpeka det vid tillfälle, när man väl börjar ana hur långt det redan gått.
Det börjar också bli allt svårare att blockera eländet, för det är så allomfattande. Men jag vill verkligen inte medverka med mina uppgifter till dessa databaser av folks surfvanor, som olika intressen allt mer flockas kring, det är min huvudanledning till blockerandet. Jag tycker det är ett oskick, lindigt talat.
kan rekommendera en dag med google alarm för att göra det påtagligt
http://fffff.at/google-alarm/
Peter,
Browserstyrning av saker som dela, välja, prenumerera, spara mfl är på gång. Web intents är en kommande w3c-standard, men stöds än så länge bara av Chrome.
Tanken är att
…oops, verkade som jag slant på tangentbordet där…
Tanken är att du talar om för din webbläsare hur och var du exempelvis vill dela saker och webbplatser slipper visa 20 alternativ. Givetvis gör det även att loggning via dela-knappar och liknande försvinner.
…här är mkt “tekniskt” jag inte förstår, men en reflexion ang.
Troberg o Falkvinge´s “bloggkoder:
De har väl lämnat indiemiljön för länge sedan och är nu mer beroende av “macromiljön”, både ekonomiskt och “populärmässigt”. Så min fråga blir: Går det att vara subversiv i “macromiljön”? dvs “luktar pengar”?
Är det möjligt att se detta som en skillnad mellan doxa och praxis? Det vill säga, att man har vissa försanthållanden, trosföreställningar och förgivettaganden men kanske inte alltid agerar i enlighet med dessa?
Ett annat exempel skulle kunna vara akademiker som lovar och svär på att personlig integritet är viktigt, men sedan startar sajter där konferensdeltagare (flera av dem ytterst namnkunniga) ombeds regga sig men som anropar Facebook, Twitter och reklamnätverket Quantcast, och låter ens uppladdade data förbli offentliga.
Jag skulle vara jättenyfiken på fler exempel på detta!
Mhm, det här är definitivt ett ämne vi borde prata mer om, och diskussionen på min blogg (i mångt och mycket initierad av Steelneck) var en väckarklocka. Även om det är nödvändigt för mig att kunna skicka folk till Facebook, så går det utmärkt att göra UTAN att skvallra varje besök för deras servrar.
I stort skulle jag vilja gruppera externa resurser (som ger sådan spårbarhet) i fyra grupper – sådana där spårning är en primär effekt, där cookies etc är inblandade (och där är Facebook, G+ och Twitter typfallen), sådana där trafikräkning är huvudsyftet men cookies inte är inblandade (bloggportalen, Google Analytics, etc), sådana där resurser hämtas från tredje part som en teknisk optimering (till exempel att jQuery.js hämtas från Google i stället för från bloggens domän), och sådana externa resurser som är nödvändiga för den tekniska funktionen (till exempel Google Webfonts och Gravatar).
Många av dessa kommer förinstallerade i bloggtemat eller i bloggmotorn. Efter ordväxlingen började jag skriva om stora delar av min temamotor för att reducera exponeringsytan utan att reducera funktionalitet – det kommer inte att bli klart under oktober, men kanske mid-november. Jag hade tänkt vara tyst om det tills det var klart, men om det nu ändå diskuteras, så desto bättre att vara del av den diskussionen innan ny kod committas till drift.
Jag vill iofs påpeka att det inte “bara är en IP-adress” som mediacreeper och liknande får. De får också en HTTP-header, som i de flesta fall räcker för att identifiera en unik browserinstallation bara i sig.
I min värld bryter frågeställningen inte ner till svartvitt att allt ska förses från bloggens domän – för det är precis samma diskussion (och återvändsgränd) som telekombolagen har befunnit sig i de senaste två årtiondena; det är en Walled Garden och det är inte min filosofi, generellt talat. Men att köra net-centric får andra effekter som vi behöver diskutera igenom och då främst med avseende på exponering. I min värld handlar det mycket om att snarast rensa bort spårande aktörer som har betett sig inte-ok (Facebook), att ifrågasätta aktörer som kan spåra men som inte verkar göra det (Twitter, G+, Flattr), och att reducera exponeringsyta generellt, även om man tänker net-centric.
Tankar?
Rick
Jag har just “roat” mig med att läsa lite på PTS om det här med kakor och det slog mig att lagen troligen inte är utformad så just så specifikt och troligen omfattar mycket mer än så. Iväg då till notisum.se och titta på vad lagen om elektronisk kommunikation (2003:389) egentligen säger. Paragraf 18 under femte kapitlet ser ut att vara mest relevant för denna diskussion, den säger:
Det är alltså tydligt att det här i lika hög grad gäller allt som som diskuteras här. PTS har en FAQ om “kakor” för webbplatsinnehavare, som också tar upp tredjepartskakor och flash-kakor.
Det skulle också vara intressant att läsa lite i de utredningar, förslag och förarbeten som legat till grund för lagstycket, misstänker att en hel del tankegångar kan utläsas från dem, som kan vara mycket nyttiga att ventileras lite till. Men jag vet inte riktigt hur man hittar det där.
The net is vast and infinite. Borde vi överge webben nu och fixa nytt hypertextsystem?
Jag har försökt förstå vad som menas med den här lagen, och tittat i förarbeten och liknande texter, men jag tycker att det är mycket oklart så som det är skrivet.
När en server ger en kaka till min webbläsare, så är det ju min webbläsare som väljer att spara den, och som väljer att ge den tillbaka vid nästa besök på någon server i rätt domän. Min utrustning är alltså en aktiv part, vilket inte riktigt passar in i lagens formulering om att kakan “lagras i” och “hämtas från” användarens utrustning. Servern lagrar inte kakan, det är min webbläsare som aktivt gör det, på samma sätt som den lagrar andra headers som “Expires” och “Date” m.fl. Servern frågar inte efter kakan, det är min webbläsare som ger den på helt eget bevåg vare sig servern vill ha den eller ej.
Vidare, sista meningen om “en tjänst som användaren eller abonnenten uttryckligen har begärt,” vad menas med det? Om jag går in på en webbsajt, då har jag väl alltid begärt detta uttryckligen, genom att min webbläsare gör en HTTP-request, eller?
Jag undrar till och med om en webbläsare ens är att betrakta som en “terminalutrustning.” Hela lagen känns skriven för en pre-internetsk datormiljö.
“Hela lagen känns skriven för en pre-internetsk datormiljö.”
Nja, snarare som något som skall ge intryck av aktivitet och handlingskraft hos dem “där uppe”.
Det tycks bli allt fler sådana lagar, som helt failar i det påstådda syftet, fungerar för att signalera handlingskraft men kostar/krånglar till det mer än de löser totalt sett, därför att de som skall lyda dem måste gå ännu längre än lagen för att kunna tillämpa dem på ett rimligt ekonomiskt sätt.
Bra lagar för den som söker bli omvald är inte bra lagar för alla andra. Tragedy of the commons igen.
Doxa – praxis. Det är just resultatet av den omöjliga praktiska implementeringen av lättförstådda önskelagar som längst ner i kedjan tvingar fram ett val, mellan överge doxa för praxis, eller hålla kvar vid doxa och tvingas avstå helt. Play ball eller bli marginaliserad.
Den process som Rasmus beskrivit tidigare med bloggens död till förmån för “ägda” sociala media upplever jag som en marginaliseringsprocess, för den vars doxa säger att ägd av Apple eller ägd av Google eller ägd av Facebook är uteslutna val och därför är utan.
De flesta väljer förstås då praxis och att vara ägda. La vida es un fandango – él que baila es un tonto.
@bananders: Lagen är skriven för att omfatta all sorts elektronisk kommunikation, allt från gammal fast telefoni, radio, mobiltelefoni till internet. Med terminalanslutning menas allt från din dator, telefon, mobiltelefon, till en walkie talkie som jägare brukar ha i skogen. Lagen säger givetvis inte ett skvatt om kakor, än mindre cookies.
För mig är det ganska uppenbart vad lagstiftaren ville. Dels att ingen skall vara tillåten att lagra information på din “gizmo” utan ditt godkännande annars skulle ju någon kunna lagra “välj ditt gift” i din “gizmo” och dels att ingen skall vara tillåten att hämta ut information från den utan ditt godkännande. För mig är detta tämligen okontroversiellt. Det är trots allt din dator, det är du som skall bestämma vad som lagras i den och vilka uppgifter den tillåts lämna ut. Poängen är att det är du som skall bestämma, _på_förhand_, om du vill ta emot eller sända ut. I efterhand är det ju försent, då är liksom anden ur flaskan.
Någonstans insåg väl lagstiftaren att vanligt folk inte längre har kunskapen och att dem de kommunicerar med kan lura deras maskiner att både lagra och lämna ut information utan datoranvändarens samtycke, ja en form av dataintrång. Därför skrev de ett stycke lagtext som kräver att den andre parten skall be om lov på förhand. Nånting sånt skulle jag tro att de tänkte.
Att sedan PTS snöat in på cookies är mycket olyckligt, bannar mig själv för att jag tog upp det, för problemet är så långt mycket bredare och cookies är tämligen tamt jämfört med skript. Lyckligtvis har inte lagstiftaren snöat in så snävt, som sig bör. Alltför detaljspecifik lagstiftning skulle annars kunna kringås bara genom att sas kalla en spade för en gaffel, typ döpa om kakor till pruttilutt. Dock så behövs varken cookies eller skript för att kunna kartlägga surfvanorna för en viss IP adress, det räcker med tex. en bild som hostas på en annan server än den man besöker, så kan denne tredje part se i sina loggar att du fått en kopia (Ja du har fått en kopia av exakt allt du kan se eller höra med din dator, även om du inte kan eller vill spara kopian så har du ändock fått en kopia).
Uttryckligen begärt. Om jag besöker falkvinge.net så begär jag att få ta del av informationen som finns där, jag begär _inte_ att tex. google eller facebook skall få reda på det. Ser du skillnaden? Man skulle kunna hårddra det lite för tydliggöra. Låt säga att du söker på nätet, besöker en sajt som verkar kunna innehålla det du söker efter, men sajten innehåller en massa elaka skript som placerar virus i din dator, givetvis utan din vetskap. Är det då du som “uttryckligen begärt” att få virus i din dator? Nej, givetvis inte. Vad som hänt är att någon har lagrat information i din dator utan ditt samtycke.
Visst, det bästa är givetvis att fixa buggen i din dators program, täppa igen säkerhetshålet. Men det innebär inte att fulingarna bakom den där virus-sidan plötsligt har rent mjöl i sin påse. Nåja, det här var att glida från ämnet en bit.
Problemet består fortfarande i att tredje part kan snoka i folks surfvanor, och gör det i en sådan omfattning, tack vare enskilda webbplatsägare, att det utan omsvep kan kallas för en form av massövervakning. All denna insamlade data drar givetvis mäktiga intressen till sig, och den har ett mycket stort värde genom den makt det innebär att kontrollera den sortens information i dessa mängder.
@Rasmus: Du sätter fortfarande en sessionscookie på min dator så fort jag laddar copyriot.se. Dessutom sätter flattr minst två stycken till. Nu när jag postar den här kommentaren så kommer du sätta ytterligare tre som min webbläsare instrueras att spare ett år framöver.
@steelneck: Lagen är teoretiskt och praktiskt omöjlig att följa som webben fungerar just nu. Man måste exempelvis använda en cookie innan man frågar för att hålla reda på om man frågat om man får använda cookies.
Om man vill utvidga den till att gälla all information som gör det möjligt att spåra besökare, så får man ta itu med trafikloggar hos internetleverantörer, webbhotell och webbservrar också.
Jag tycker det skulle vara enklare att lösa det i webbläsaren. Använd en webbläsare som prioriterar anonymitet, inkognitoläget i en vanlig webbläsare, ett plugin eller helt enkelt inställningarna i webbläsaren.
Som jag ser det är mätbarheten på nätet en stor orsak till den utveckling vi har sett på webben de senaste 15 åren. Sen förstår jag om det finns de som tycker det var bättre förr eller att tradeoffen inte var värt det – men jag tror att det är en ganska liten grupp.
Tänkte bara lägga till att även inlänkade bilder, som du har i flera bloggposter, ger ifrån sig information om din användare. På Konfliktportalen använde vi oss tidigare av en bild som lades in på allas bloggar som på så sätt kunde se hur vissa IP:n rörde sig mellan våra bloggar, vilka artiklar som lästes mest, när och vad folk kommenterade osv. osv.
Jag tänker att asketism är en illa vald strategi här även om den givetvis lockar. Korslänkning och hyperlänkning är delar av webbens (inte Internets) grund. Och dessa tekniker kommer alltid släppa ifrån sig information om användares rörelser på internet.
Helt riktigt Marcus, men det innebär å andra sidan inte att man måste göra det värre än nödvändigt. Med bara ökad medvetenhet så kommer även en bättre praxis att sprida sig, speciellt bland de som inte vill medverka till en allt ökande kartläggning av folk.
Att någon sporadiskt länkar in en bild till ett blogginlägg är ingen katastrof, problemet uppstår när typ. “alla” länkar in något eller avänder något skript från ett och samma företag, det är då som man kollektivt hjälper till med att möjliggöra det där tämligen finmaskiga kartläggandet av folk, data som ytterst blir en maktfaktor.
En stor del av lösningen är givetvis teknisk, decentraliserade lösningar som motverkar centralisering. Man måste inte använda en tredje part för att generera besöksstatistik för den egna bloggen om man kan köra bra program för detta på “sin egen” server, det ger i regel tom. mer möjligheter när man själv råder över det. Se min jämförelse om att skriva in vilka som kommit på besök i en pappersdagbok, jämfört med att rapportera uppgifterna till tredje part, något som närmast kan liknas vid angiveri.
Steelneck: Accesser till tredje part är kanske inte en del av den tjänst man uttryckligen begärt, men vad jag tänker på är dessa kakor som det som sagt kommit att bli olyckligt stor fixering vid.
Min poäng är att kakorna inte är något som servern lagrar hos användaren och hämtar från användaren, utan det är användarens utrustning som aktivt väljer att spara och visa dem, utan anmodan från servern.
När man går in på copyriot.se får man, före webbsidan skickas, följande headers:
Date: Sat, 20 Oct 2012 10:52:00 GMT
Server: Apache/2.2.16 (Debian)
X-Powered-By: PHP/5.3.3-7+squeeze13
Set-Cookie: bb2_screener_=1350730327; path=/
X-Pingback: http://copyriot.se/xmlrpc.php
Vary: Accept-Encoding
Content-Type: text/html; charset=UTF-8
Det är min webbläsare som väljer att spara vissa av de här uppgifterna (typiskt sett Date, Set-Cookie och själva html-filen) och det är min webbläsare som vid nästa besök väljer att säga att den vill ha sidan igen, If-Modified-Since den tidpunkt som stod i Date. Har servern då “lagrat” uppgiften om tidpunkten hos mig, och är det servern som “hämtar” den uppgiften igen? Jag ser ingen principiell skillnad mellan att min webbläsare skickar tillbaka det den fick i Date i form av If-Modified-Since, och att det den fick i Set-Cookie skickas tillbaka i form av Cookie.
[…] Kanske liknande Loggfri blogg? […]
För de som inte har inte använder utvecklarverktyg i webbläsaren finns det för övrigt en bra tjänst för att kolla vilka cookies som sätts på en webbplats. DN som upprör sig över hur folk spåras på nätet sätter exempelvis inte mindre än 29 stycken:
http://www.cookie-checker.com/check-cookies.php?url=dn.se