Приложение конфиденциальности неэффективно пробует к данным отслеживания блока за нашу веб-аналитику. Мы должны обнаружить неудачную попытку и не отследить их пользователей? [закрытый]
Моя компания имеет пакет веб-аналитики, который мы используем для нашего собственного и клиентского отслеживания маркетинговой кампании. Это использует комбинацию журналов сервера, JS и веб-ошибок изображения, cookie, уникальных кэшируемых файлов и заголовков Завершающего тега, чтобы собрать и сопоставить пользовательское действие.
Недавно мы нашли, что определенное приложение защиты конфиденциальности (без имени), которое включает браузер пользователя, портит определенные коды отслеживания с очевидным намерением препятствования тому, чтобы действие пользователя было прослежено. Мы купили копию приложения и протестировали локально, и оно делает то же для многих другая веб-ошибка и аналитические приложения включая Google Analytics.
Для большинства из них путь, которым изменены данные, препятствовал бы тому, чтобы программное обеспечение отслеживания работало правильно. Однако они используют последовательный шаблон для изменений, и из-за способа, которым работает наше сопоставление, их изменения не имеют никакого эффекта на операцию нашего отслеживания и пакета аналитики. (Ну, существует один побочный эффект, который уменьшает точность некоторых вычислений синхронизации от millis до секунд.)
Короче говоря ситуация:
Наши результаты аналитики незатронуты попыткой приложения ниспровергать данные
Пользователь ясно намеревается предотвратить анализ их действия онлайн
Для нас возможно изменить наше приложение для обнаружения предпринятого блокирования
Мы должны были бы провести время и денежное исправление и тестирование нашего приложения для создания предпринятой конфиденциальности, блокирующейся на самом деле успешный
Таким образом, существует этическое затруднительное положение, относительно того, сколько усилий мы должны приложить, чтобы обнаружить и соблюдать пожелания пользователя. Некоторые включенные проблемы:
Разве это не обязанность приложения конфиденциальности работать как ожидалось? Существуют способы, которыми они могли изменить данные, которые будут препятствовать тому, чтобы наша аналитика отследила их пользователей.
Это наша ответственность перед улучшить наше приложение для обнаружения намерения пользователя? Это подверглось бы обоим затраты на разработку, а также устранило бы ценные данные (примерно 2% нашего трафика используют это приложение).
Что Вы думаете, что наша этическая ответственность должна быть?
Мы должны проигнорировать его и иметь нашу работу приложения как есть
Мы должны взять расход, потерять данные и соблюдать подразумеваемое требование пользователей
Мы должны связаться с разработчиками приложения и сказать им лучший способ мешать нашей системе работать
Мы должны предать гласности то их программное обеспечение, не работает как ожидалось
Другое...?
Для разъяснения инструмент конфиденциальности просто не работает. Наше приложение, без изменения, все еще отслеживает пользователей, которые используют его. Мы должны были бы изменить наше приложение для не отслеживания этих пользователей.
У нас действительно есть основанное на cookie уклонение, которое пользователь может выбрать из домашней страницы средства отслеживания.
Мы отправили сообщение к компании, которая разработала приложение конфиденциальности, и они сказали, что изучат его.
8 ответов
] Я бы предоставил способ отключить ваше отслеживание, и связался бы с авторами инструмента и попросил бы их использовать его явно. Не ввязывайтесь в гонку за руками, пытаясь отменить свою работу; (она будет только продолжаться); предоставьте тривиально "выключенный" переключатель, и все будут довольны.[
].] Какие этические обязательства вы должны нести, чтобы помочь мне с [] чем-либо [], в чем вы подозреваете, что я пытаюсь, а что нет?[
].] Я не вижу в вас даже отдаленной социальной ответственности, чтобы сказать заказчику "эй, вы не уклоняетесь от нашей системы должным образом", поэтому я бы склонялся к "продолжайте в том же духе"[
] []. Если вас это искренне беспокоит, тогда, возможно, свяжитесь с разработчиками, как вы упоминали, но нет причин для того, чтобы вы что-то на это тратили.[
].Думаю, правильное решение - позволить пользователю решить, хочет ли он, чтобы его отследили. Как я вижу, есть два способа достичь этой цели:
- Отфильтровать пользователей в вашем приложении.
- Расскажите разработчику другого приложения о его слабых местах.
Я бы выбрал подход, который менее трудоемкий для вас . Напишите им по электронной почте. Если они не улучшат свое приложение, я с удовольствием продолжу его отслеживать. (В то же время вы могли бы рассмотреть возможность отказа от API, как это предлагали другие.)
Я даже могу представить, что вы могли бы извлечь выгоду, если бы у вас был кто-то в этой другой компании, кто знает вас/ вашу компанию в положительном смысле этого слова.
Я занимаюсь вопросами компьютерной конфиденциальности более 20 лет и впервые столкнулся с вопросом, подобным вашему. Это очень интересно.
Вы не обязаны пытаться модифицировать ваше приложение, чтобы обнаружить усилия пользователя, и есть несколько причин, по которым я бы рекомендовал вам не следовать этому курсу действий:
- Могут существовать другие приложения, которые вы также делаете неэффективными. Не стоит отдавать предпочтение одному приложению перед другим.
- Если вы предпримете это действие, вам нужно будет внимательно следить за обновлениями как вашего приложения, так и приложения конфиденциальности.
- Если вы просто молча измените свое приложение, сообщество конфиденциальности потеряет ценный "поучительный момент".
К сожалению, часть P3P, касающаяся "переговоров о конфиденциальности", так и не была реализована. Здесь была бы идеальная ситуация.
Если вы сильно переживаете по этому поводу, вы можете связаться с разработчиком и рассказать ему, что он делает не так. В качестве альтернативы, если у вас есть академические наклонности, вы могли бы написать статью для конференции по конфиденциальности; это был бы интересный материал об "извлеченных уроках". Вы также можете написать сообщение в блоге, но я подозреваю, что вы не хотите огласки.
Если вы хотите отправить мне личное сообщение, я с удовольствием передам его разработчику.
Лично вам следует просто игнорировать их усилия.
Вы уже невнимательны к другим, пытающимся защитить свою конфиденциальность, почему этот человек, использующий это программное обеспечение, должен быть другим?
Подумайте, какова основная причина, по которой файлы cookie не работают для отслеживания? Это потому, что люди отключают их в своих браузерах. Я имею в виду, я уверен, что где-то есть браузер, который не поддерживает файлы cookie, возможно, что-то около 1993 года.
Но сегодня? Шутки в сторону? Единственная причина, по которой файлы cookie не работают, - это то, что пользователь решил отключить файлы cookie.
Конечно, может быть какая-то небольшая часть рынка, которой «не разрешено» использовать файлы cookie, может быть, школьный браузер или браузер, заблокированный в бизнесе. Но на самом деле, какая доля от общего числа блокировок файлов cookie это может быть на самом деле? (Я не знаю, какое у вас приложение и какой у вас трафик.)
Поскольку файлы cookie не работают, вы прибегли к уловкам JS, опять же, что большинство людей отключает из-за желания Защитить себя. Очевидно, что с точки зрения поддержки JS не так широко распространен, как файлы cookie (особенно в мобильных браузерах). Но аргумент тот же, с точки зрения общих данных, «потерянных» этими браузерами крайнего случая.
Итак, я не знаю, почему вдруг эта новая система так вас беспокоит. Я бы просто продолжил, как вы уже делаете.
Я бы просто оставил все как есть и не связывался с разработчиком. Если вы попадете на их радар, они могут обновить приложение, чтобы полностью нарушить вашу аналитику.
Я думаю, что весь «отслеживающий» страх пользователей очень интересен.
Когда отслеживание используется этично, это действительно приносит пользу пользователям, потому что компания может сказать, что работает с точки зрения маркетинга. Это означает, что на маркетинг тратится меньше денег, которые можно использовать в других областях, таких как разработка продукта или даже продажа продуктов по более низкой цене.
ИМО, создатели некоторых из этих приложений для «конфиденциальности» виновны в преувеличении «опасностей» этического отслеживания для повышения спроса на свои продукты.
Сначала я бы сообщил разработчикам о недостатке их продукта, предоставив им как можно больше информации, чтобы им было легче его исправить. Затем я бы добавил что-то для обнаружения инструмента в ваш собственный код и автоматически уведомил все сайты, которые думают, что они защищены, но это не так, с объяснением того, что вы сделали. Я бы не стал изменять ваш краулер таким образом, чтобы уважать намерения плохо реализованного защитника конфиденциальности - это, как мне кажется, требует слишком многого и направляет вас на опасный путь, где вы оказываетесь (по крайней мере, воспринимаетесь как) ответственным за чужое программное обеспечение. Наши программные системы и так слишком сложны - написание специальных случаев для сломанных программ, я думаю, только увеличит сложность вашей системы, не принося никакой пользы ни вам, ни вашим клиентам, ни веб-пользователям в целом.
Если вы уведомите разработчиков и за разумное время ничего не произойдет, я бы рассмотрел возможность обнародования недостатков продукта. Не для того, чтобы пристыдить их, а для защиты пользователей; если ваше программное обеспечение может (пусть даже непреднамеренно) преодолеть их защиту, то вредоносные программы, несомненно, также могут это сделать.
Я не могу привести главу и стих о том, почему такой образ действий является этичным, но это то, что имеет смысл, то, что кажется мне правильным. Это отличный вопрос.