V předchozím článku o dalších vyhlídkách cílení reklamy díky technice tzv. stopování jsme se věnovali vzniku a neúspěchu iniciativy Do Not Track. Stručně si zrekapitulujme fakta. V prosinci 2010 americká Federal Trade Commission (Federální komise pro obchod) vydala zprávu, v níž apelovala na vznik globálního systému, který uživatelům umožnil vymezit se proti stopování. Šlo o reakci nevládních organizací a občanských sdružení již z roku 2007.
V roce 2011 vznikla iniciativa Do Not Track a stejnojmenná technologie, kterou ještě v témže roce začaly podporovat prohlížeče Mozilla Firefox, Internet Explorer a Safari. V roce 2012 se přidaly prohlížeče Google Chrome a Opera. Jejich uživatelé mohli volitelně začít přes HTTP hlavičku jednotlivým webům sdělovat, že si nepřejí, aby jejich pohyb napříč weby byl stopován (sledován).
Technologie Do Not Track v browseru Mozilla Firefox a všech dalších významných prohlížečích umožňuje uživatelům předávat webovým stránkám své přání, že si nepřejí být sledováni. V současnosti však de facto zůstává jen u toho přání.
V únoru 2012 na půdě Bílého domu přední zástupci internetového reklamního průmyslu (včetně společnosti Google), slíbili, že do konce roku 2012 začnou požadavky uživatelů respektovat. Technologie Do Not Track je totiž postavena na dobrovolnosti. Slib zůstal nenaplněn. Mezi cca dvaceti subjekty, které respektují Do Not Track, není žádný významný hráč na poli online reklamy.
V polovině letošního září z vlekoucího se vyjednávání o standardizaci technologie Do Not Track odstoupila oborová organizace Digital Advertising Alliance (DAA), která spolu s Interactive Advertising Bureau (IAD) zastupuje přední hráče reklamním průmyslu. Snaha o samoregulaci tak vysoce pravděpodobně definitivně ztroskotala.
Mozilla stupňuje hon na cookies
Jelikož se nenašla ani dostatečná politická podpora iniciativy Do Not Track, někteří tvůrci prohlížečů chystají nové restrikce, které by tzv. stopování měly technicky výrazně omezit. V první řadě se chtějí zaměřit na cookies třetích stran, které se dnes pro stopování (sledování) uživatelů pohybu uživatelů napříč různými weby využívají nejčastěji.
Mozilla již letos v létě chtěla ve svém prohlížeči Firefox (verze 22) přinést úpravu politiky podpory cookies. Iniciátorem úprav byl Jonathan Mayer, tedy výzkumný pracovník stanfordské university, který se angažoval již v iniciativě Do Not Track. Nakonec nasazení nové politiky bylo odloženo na neurčito, protože během testování se prý ukázalo, že by způsobila více škody než užitku.
Tématu jsme se na Lupě již dříve podrobněji věnovali. Mozilla využívání cookies pro tzv. stopování vnímá stále jako problém. Brendan Eich, tvůrce jazyka JavaScript a jeden ze zakladatelů Mozilly, však tvrdí, že se během několikaměsíčního testování nové politiky podpory cookies ukázalo, že jednoduché řešení na straně prohlížeče bez nežádoucích dopadů není realizovatelné.
Prohlížeč prý na základě několika pravidel nedokáže zajistit jak efektivní ochranu proti stopování, tak bezproblémové využívání cookies v případech, kdy nejde o nežádoucí stopování. Zajímavé je, že na tento objev Mozilla potřebovala několik měsíců testování, přestože se na problematičnost nové politiky poukazovalo hned po jejím představení.
Ke slovu se dostává Cookie Clearinghouse
Brendan Eich se domnívá, že optimální cestou jsou online černé a bílé listiny, které budou prohlížečům napovídat (určovat výjimky), kdy cookies třetích stran blokovat jako nežádoucí a kdy naopak nikoliv jako neškodné. Mozilla se proto připojila k projektu Cookie Clearinghouse, který chce vytvořit potřebnou černou listinu (block-list) a bílou listinu (allow-list).
Projekt spadá pod Center for Internet and Society na stanfordské univerzitě. Zapojeni do něj jsou také výzkumní pracovníci z princetonské univerzity. Projekt vede Aleecia M. McDonald, která se ochranou soukromí na webu dlouhodobě zabývá z výzkumného i praktického hlediska. V letech 2011 až 2012 pracovala i pro Mozillu jako Senior Privacy Researcher.
Zřejmě proto je někdy mylně Cookie Clearinghouse prezentován jako projekt, za kterým stojí Mozilla. Tvůrci Firefoxu jsou do projektu pouze zapojeni, stejně jako třeba tvůrci konkurenčního prohlížeče Opera. Cílem projektu je vytvořit nezávislou černou a bílou listinu sestavenou podle dopředu známých kritérií. Seznamy pak mají být k dispozici zdarma pro všechny tvůrce prohlížečů.
Dále se na projektu podílí třeba thinktank Future of Privacy Forum a zapojili se do něj i někteří lidé, kteří se již účastnili iniciativy Do Not Track. Cookie Clearinghouse též vyjádřila podporu Electronic Frontier Foundation, nezisková organizace hájící práva občanů v oblasti moderních technologií. Ta se ale zatím aktivně do projektu nezapojila.
Cookie Clearinghouse je běh na dlouhou trať
Cookie Clearinghouse rozhodně v nejbližších měsících nepomůže webovým prohlížečům s rozhodováním, kdy by měly cookies blokovat a kdy naopak ne. Nyní se nachází v první ze dvou inicializačních fází, kdy je třeba stanovit elementární parametry projektu jako jsou jasná kritéria pro zařazování na černou nebo naopak na bílou listinu, eventuálně formát, v němž budou tyto listiny pro prohlížeče dostupné.
Teprve pak mohou vzniknout obě listiny (tj. block-list a allow-list). Šéfka projektu Aleecia M. McDonald nyní odhaduje, že to by se mohlo povést během několika měsíců, tedy snad někdy během prvního kvartálu roku 2014. Zásadní informací však je, že autoři projektu od od sebe oddělují samotný vznik listin a jejich naplnění.
Aleecia M. McDonald přiznává, že naplnění listin může reálný přínos projektu posunout do vzdálenější budoucnosti. Ještě záludnější pak může být cíl reflektovat evropskou direktivu upravující používání cookies. Jednotlivé členské státy EU ji totiž do své legislativy implementovaly různě, takže ne všude potřebují weby explicitní souhlas k používání cookies, což je zatím i případ České republiky.
Po vytvoření a alespoň základním naplnění listin přicházejí teprve na řadu experimentální rozšíření a plug-iny pro jednotlivé prohlížeče (teoreticky i pro ty, jejichž tvůrci se projektu neúčastní). Samotné prohlížeče se mají zapojit až na samotném konec inicializačního procesu projektu. Tvůrci prohlížečů samozřejmě budou potřebovat čas na otestování, což může být otázka dalších měsíců.
Plody práce z projektu Cookie Clearinghouse by měly využívat přinejmenším webové prohlížeče Firefox a Opera, jejichž tvůrci se na projektu podílí. Další z tržně významnějších prohlížečů jsou zatím s otazníkem. Google dlouhodobě stojí spíše na druhé straně barikády kvůli svým klíčovým službám AdWords, AdSense a Analytics. Co Apple a Microsoft?
Apple a Microsoft mají svá vlastní řešení
Apple a Microsoft sice do svých prohlížečů zavedly podporu Do Not Track mezi prvními, ale od projektu Cookie Clearinghouse si zatím drží odstup. Tvůrci prohlížečů Safari a Internet Explorer totiž tvrdí, že již mají svá vlastní účinná restriktivní řešení. Krach projektu Do Not Track je prý utvrzuje v tom, že jejich tvrdší přístup byl a je na místě.
Apple generálně blokuje cookies třetích stran
Společnost Apple již před lety ve svém prohlížeči Safari začala ve výchozím nastavení blokovat cookies třetích stran. Blokování cookies třetích stran, tedy zatím nejčastější nástroj pro stopování (sledování) pohybu uživatelů mezi jednotlivými weby, umožňují všechny tržně významnější prohlížeče, ale pouze volitelně. Safari naopak volitelně nabízí jejich odblokování.
Společnost Apple i při krátkém působení jejího prohlížeče Safari na konkurenční platformě Windows trvala na blokované podpoře cookies třetích stran ve výchozím nastavení.
Krok Applu se před lety bral jako jeden z mnoha jeho výstřelků. Nečelil ani tak ostré kritice od zástupců reklamního průmyslu jako třeba letos Mozilla za mnohem benevoletnější opatření. Svou roli bez pochyby sehrál tržní podíl prohlížeče Safari a jeho mateřské platformy OS X (dříve Mac OS X).
Jinak již tomu bylo v případě mobilního Safari na populárních zařízeních iPhone, iPad a iPod Touch. Také v iOS Apple zapnul blokování cookies třetích stran už ve výchozím nastavení. Spíše než jako snaha ochránit soukromí uživatelů to již od počátku bylo vnímáno jako útok na reklamní systémy třetích stran, aby si Apple uhájit svou vlastní mobilní reklamu, která se obejde bez cookies.
Safari je na mobilní platformě iOS nejrozšířenějším prohlížečem. StatCounter za letošní srpen uvádí, že tržní podíl iOS činil 23,44 %, přičemž podíl Safari mezi mobilními prohlížeči celkově představoval 23,27 %. Na populárních zařízeních iPhone, iPad či iPod Touch tak z tohoto úhlu pohledu blokování cookies třetích stran již ve výchozím nastavení není vůbec žádnou výjimkou, nýbrž pravidlem.
Například Google byl nachytán na švestkách, že přednastavení prohlížeče obcházel poměrně jednoduchým a dobře známým trikem pomocí formulářového prvku a dlouho existující bezpečnostní chyby. Nebyl sám. Facebook dokonce zcela otevřeně daný postup doporučoval pro případy, kdy je třeba, aby jeho uživatel zůstal přihlášen i na webu třetí strany v mobilní verzi prohlížeče Safari.
Byl to však jen Google, kdo za svůj postup zaplatil americké Federal Trade Commission pokutu 22,5 milionu dolarů. Porušil totiž dohodu, která měla zažehlit skandál se zásahem do soukromí uživatelů po spuštění Google Buzz, jednoho z neúspěšných pokusů vybudovat vlastní fungující sociální síť.
Apple jak při vyšetřování tomto incidentu, tak o pár měsíců později při průtazích standardizace technologie Do Not Track ze strany W3C konstatoval, že jde o jednoznačné argumenty pro tvrdý restriktivní postup v zájmu ochrany uživatelů. Že však Apple při blokování cookies třetích stran prvořadě myslí na soukromí uživatelů, nikoliv na své vlastní obchodní zájmy, asi věří málokdo.
Postup firmy kritizují i weboví vývojáři. Sám Brendan Eich, tvůrce jazyka JavaScript, říká, že cookies jsou jen nástrojem, který sám o sobě není ani zlý, ani dobrý. O jeho povaze v konkrétních případech prý rozhoduje využití. Generálně blokovat cookies třetích stran či snad cookies obecně podle něj není adekvátní reakcí na problematiku stopování. Proto Mozilla, kterou Brendan Eich spoluzakládal a dodnes v ní má velké slovo, chce cookies regulovat spíše prostřednictvím projektu Cookies Clearinghouse.
Microsoft sází na Tracking Protection
Podobnou cestou se již před lety vydal Microsoft ve svém prohlížeči Internet Explorer, který je podle různých statistik stále jedničkou nebo nanejvýš silnou dvojkou mezi prohlížeči. Microsoft se hlásí k nakládání s cookies podle politiky Platform for Privacy Preferences (P3P), která vznikala i na půdě W3C. Reálný přínos však tvrdé kritice ve své vědecké práci podrobili výzkumníci Pedro Giovanni Leon, Lorrie Faith Cranor, Robert McGuire a Aleecia M. McDonald, která teď vede projekt Cookie Clearinghouse.
Internet Explorer prý v naprosté většině případů proti cookies, které slouží ke stopování (sledování) uživatele), nezasahuje. Dává nicméně uživatelům mnohem účinnější ochranný nástroj. Jeho funkce Tracking Protection umožňuje zkušenějším uživatelům blokovat jednotlivé skripty zejména analytických a reklamním systémů. Méně technicky zdatní uživatelé si pak mohou přímo z prohlížeče stáhnout černé listiny třetích stran.
Microsoft zatím necítí potřebu se k projektu Cookie Clearinghouse přidávat. Pro jeho Internet Explorer již několik let existují černé listiny pro ochranu před tzv. stopováním.
Microsoft funkci Tracking Protection oznámil pouhý týden poté, co v prosinci 2010 americká Federal Trade Commission ve své zprávě horovala za zřízení globálního opt-out systému, jenž by řešil citlivou problematiku stopování (sledování). Internet Explorer obsahuje Tracking Protection již od své devítkové verze vydané v ostré verzi v březnu 2011 ještě pro Windows Vista a vyšší.
Tracking Protection je tedy ochranný prvek o něco starší než technologie Do Not Track, z čehož je patrné, že ochrana uživatelů proti tzv. stopování není opravdu žádné nové téma. Zajímalo nás, kolik uživatelů Internet Exploreru této funkce využívá, ale Microsoft konkrétní číslo odmítl sdělit, protože prý podobné údaje k bezpečnostním funkcím svého prohlížeče neposkytuje.
O něco sdílnější již byli někteří autoři dostupných černých listin. Podle jimi poskytnutých údajů by na jednu černou listinu nadnárodního zásahu měly připadat řádově desítky milionů uživatelů. Teoreticky tedy může nadnárodní listiny používat až několik stovek milionů uživatelů prohlížeče Internet Explorer, ovšem jelikož lze listiny kombinovat, je nutné počítat s překryvem. Na druhou stranu neznáme počet uživatelů, kteří si vytváří vlastní černé listiny, takže těžko říci, jak je tato funkce doopravdy využívána.
Microsoft zatím nepřitvrzuje. Tracking Protection bude pouze volitelná i v blížícím se Internet Exploreru 11.
Microsoft nepočítá s tím, že by v blížícím se Internet Exploreru 11 přitvrdil. Ve výchozím nastavení sice navzdory specifikaci zůstane aktivní Do Not Track, ale využívání Tracking Protection bude jen volitelné, jak tomu je v dnešním Internet Exploreru 10. Jonathan Mayer, který se podílí na iniciativě Do Not Track, již před uvedením desítkového Internet Exploreru obvinil Microsoft, že zneužil technologii pro své marketingové účely, kdy uživatelům dává falešný pocit bezpečí.
Samozřejmě se rojí nejrůznější spekulace, proč Microsoft nepřitvrdí. Zvlášť při dosud neúspěšném boji se společností Google v oblasti internetových služeb. Nezávislí analytici a komentátoři ovšem upozorňují, že Microsoft má na webu stejně jako Google také své zájmy. Navíc je akcionářem Facebooku, kterého by se blokování cookies třetích stran negativně dotklo.
Microsoft a Facebook navíc v řadě oblastí úzce spolupracují. Microsoft po letech pochopil, že už se nemůže proti Googlu postavit na Internetu sám. Hledá spojence v řadách jeho dalších konkurentů. Nejde jen o Facebook, ale namátkou také třeba o Twitter, Vimeo, Flickr, Yahoo a další. Microsoft tak nemá až takový zájem bojovat proti cookies třetích stran, jak si mnozí myslí.
Další bouře ve sklenici vody?
Snahy o omezení stopování se nelíbí producentům obsahu ani zadavatelům reklamy. Organizace Digital Advertising Alliance (DAA) a Interactive Advertising Bureau (IAB) velmi hlasitě protestovaly, když Internet Explorer začal jako první prohlížeč ve výchozím nastavení používat technologii Do Not Track k automatickému předávání požadavku „nesledovat“. A podobná byla odezva na restriktivní omezení podpory cookies třetích stran, které Mozilla chtěla letos zavést do svého prohlížeče.
Šéf IAB Mike Zaneis, označil předmětné úpravy za jaderný útok na reklamní průmysl. Otázkou ovšem je, jestli silná slova a divoká přirovnání nejsou opět naprosto zbytečná. Proč? Protože cookies třetích stran nejsou zdaleka jediným efektivně použitelným nástrojem pro stopování. Proto byla iniciativa Do Not Track od počátku technologicky neutrální.
Čerstvě se na veřejnost dostala informace o tom, že Google pracuje na projektu AdID, který má být anonymním identifikátorem uživatelů pro potřeby reklamních systémů, analytických nástrojů a sociálních platforem, jenž ale nemá vůbec používat cookies třetích stran. Google oficiálně naznačil, že skutečně na něčem takovém pracuje, ale sdílnější být nechtěl, protože vše je prý v rané fázi.
Nicméně podle prý důvěryhodných zdrojů amerických médií jde o reakci jak na současný vývoj v oblasti prohlížečů, tak na zmiňovanou evropskou direktivu, která se zaměřuje výhradně na cookies. Podstatnější, byť zatím neoficiální informací je, že Google prý hodlá svou technologii poskytnout i dalším hráčům na trhu, kteří přistoupí na její pravidla ochrany soukromí, resp. zajištění anonymity uživatelů.
To lze hodnotit jako pokus dostat internetovou reklamu a její negativně vnímané postupy (zejména stopování) z hledáčku orgánů jako je Evropská komise či americká Federální komise pro obchod (Federal Trade Commission). Nelze ani vyloučit, že jde o řízený únik informací, protože se objevily jen krátce poté, co Digital Advertising Alliance vycouvala ze standardizačního procesu Do Not Track na půdě W3C.
Jak bude AdID fungovat, zatím není známo. Nicméně vzniklo již několik start-upů, které také vyvíjejí technologie, jež nepotřebují ke stopování cookies třetích stran. Hodně se také mluví o jedinečném otisku prohlížeče tvořeném informacemi, které běžně poskytuje bez vědomí uživatele, popřípadě o propojování prohlížeče s online identitou uživatele, což již v praxi dělá Google Chrome. Pokud by tedy cookies jednou opravdu zahynuly, „karavana pojede dál“.