13/12/2013
Google ogłosił rozpoczęcie proksowania obrazków ze zdalnych serwerów, umieszczanych w e-mailach kierowanych do jego użytkowników. Dodatkowo zmieniła się domyślna polityka co do e-maili ze zdjęciami — od teraz będą one zawsze pokazywane. Jaki ma to wpływ na prywatność?
Koniec ze zbieraniem danych na temat odbiorców
O ile marketerzy dalej będą mogli śledzić czy dany e-mail został otwarty przez odbiorcę (o ile skorzystają z unikatowych obrazków dla każdej wiadomości) to nie będą już w stanie zbierać dodatkowych danych na temat użytkownika. Za każdym otworzeniem wiadomości na serwery marketingowców hostujące obrazki zostanie wygenerowane żądanie ale z serwera Google, a nie z przeglądarki użytkownika, jak było do tej pory.
To położy kres:
- kolekcjonowaniu adresów IP odbiorców (i wiązania ich z e-mailami)
- określania lokalizacji (na podstawie adresów IP) dla danego adresu e-mail.
- określania “statusu” klienta na podstawie User-Agenta (rodzaj sprzętu, przeglądarki, systemu)
- wnioskowania na temat tagów/katalogów w webmailu (na podstawie Referera, o ile ich nazwy nie znajdują się po #)
- ustawianiu ciasteczek przez marketerów subskrybentom newsletterów
- określania ile razy użytkownik oglądał e-maila (serwery Google ponoć cache’ują obrazek przez jakiś czas)
- określania czasu reakcji na otwarcie e-maila (o ile serwery Google będą automatycznie po odebraniu wiadomości cache’owały obrazek — ale teraz jeszcze tego nie robią, zapewne ze względów wydajnościowych i być może ze względu na zapobieganie lewym kampaniom e-mailowym, które generowałyby ataki “DDoS” na niewinne serwery, wykorzystując ten mechanizm)
Jak widać, są to jak najbardziej zmiany na plus.
Automatyczne ładowanie obrazków domyślnie włączone
Gorzej (ale nie tak strasznie, jak malują to firmy zajmujące się e-mail marketingiem) maluje się druga innowacja w GMailu. Od teraz domyślnie wszystkie e-maile zawierające obrazki serwowane z zewnętrznych serwerów będą się automatycznie ładowały. Oczywiście, zgodnie z tym co napisaliśmy powyżej, nie spowoduje to wycieku adresu IP użytkownika — ale jak najbardziej będzie zdradzać, że konkretna wiadomość w ogóle została przez niego otworzona.
Na szczęście, automatyczne ładowanie obrazków z zewnętrznych serwerów można wyłączyć w ustawieniach (sekcja: general -> images i wybór opcji “ask before showing”). Sugerujemy już teraz upewnić się, że właśnie takie ustawienie posiadacie.
A może da się obejść?
Pytanie, czy webinterface Google (bo zmiany dotyczą tylko jego, a nie połączeń POP/IMAP) rzeczywiście proksuje wszystkie żądania o obrazki/zdalne obiekty? Czy może coś jednak uszło uwadze programistów i dalej będzie się dało zmusić przeglądarkę użytkownika do wygenerowania żądania bezpośredniego?
Przy czym, w pomocy google (jak niemal zawsze) popełniono błąd i całość w ustawieniach etykietowana jest tak:
http://www.image-share.com/upload/2365/216.png
A nie tak jak podaje support :)
W locale en_US jest Images/Always display external images/Ask before displaying external images.
s/Images/External Content/
Tak jest u mnie, a także na zrzucie ekranu w artykule.
Skoro obrazki są cache’owane przez google to skąd nadawca ma wiedzieć, że mail został otwarty?
Bo request wychodzi dopiero po otwarciu maila.
Wychodzi po otwarciu, ale skoro zakończy się na cachu po
stronie proxy googla, to nie trafi do serwerów nadawcy na których
jest obrazek.
Ale skądś Google musi wziąć ten obrazek. I dlatego to nie zmienia aż tak dużo.
Zmienia bardzo dużo, bo jeśli mailing został rozesłany do dajmy na to 100 użytkowników GMaila, to jest szansa że nadawca dowie się jedynie o przeczytaniu pierwszej wiadomości, pozostałe 99 zaciągną obrazek z serwerów googla (będzie już w pamięci podręcznej).
Inna sprawa, że można sobie bardzo łatwo z tym poradzić.
>O ile marketerzy dalej będą mogli śledzić czy dany e-mail został otwarty przez odbiorcę
Czy aby na pewno ? Jeśli serwer googla będzie dla każdego obrazka generował bezpieczną kopię zaraz po otrzymaniu mail, a ja skasuje mail nie czytając go.
Nie czytasz dokładnie. Ostatni wypunkt. “o ile serwery Google będą automatycznie po odebraniu wiadomości cache’owały obrazek — ale teraz jeszcze tego ***nie*** robią”
Ale jeśli obrazki beda te same dla całej kampanii reklamowej, to czas otwarcia beda mieli tylko dla pierwszej osoby która odczyta wiadomość, reszta dostanie obrazek z cache-u googla. Jeśli ‘szpiegujące’ obrazki będą miały innego linka dla każdego usera, natomiast za linkiem będzie stała ta sama grafika, to sprytne mechanizmy powinny też serwować obrazek z cache googla (np. deduplikacja krzyczy ze linki http://example.com/img_dp%5B\d]{10} zawieraja to samo, wiec wg schematu, można odsiać reszte, taki anty-image-spam)
Stosuję to jakiś czas już na banerach, stopki na forach, komentarze aby liczyć odsłony, na stronach pozwalających wstawiać obrazki itd. Naprawdę dużo rzeczy tak wycieka;) Są strony które linkiem wszystko puszczają. więc nie tylko w mailach trzeba na obrazki uważać;)
@latolek Wystarczy dodać do obrazków unikalne “znaki wodne”
w dziedzinie częstotliwości tak żeby nie były widoczne. Nie trzeba
by nawet trzymać na serwerze milionów kopii różniących się tylko
tym znakiem bo ów oznaczony obrazek można by tworzyć z obrazka
bazowego przy otrzymaniu żądania, albo jakby zapytań było bardzo
dużo, to mieć zawsze jakąś ilość już gotowych tak żeby
wydajnościowo dawało radę. Google żeby temu zapobiec musiałby
porównywać każdy przychodzący obrazek z już zcacheowanym używając
lokalnych histogramów w dziedzinie przestrzennej z jakimś
progowaniem, ale to byłoby kosztowne i niezbyt dokładne.
Linkowanie obrazków w mailach to zła praktyka i google powinno raczej promować (domyślnie ustawiać) brak ich wyświetlania.
jak widać to używanie przeglądarki do czytania emaila to zła praktyka.
Ciekawe, jak bardzo inteligentny jest ów proksiacz. W końcu URL typu “……./image.png?userid=123” jest jak najbardziej prawidłowy i nie wymaga generowania osobnych plików.
Wystarczy, że wyłapywane będzie wszystko co znajduje się w “img src”. Nie ma znaczenia czy ładujesz prawdziwy obrazek czy generujesz treść w locie przez PHP.
>> “……./image.png?userid=123″ jest jak najbardziej
>> prawidłowy i nie wymaga generowania osobnych plików.
Hmm… a nie lepiej umieścić userid w nazwie pliku? :D Wtedy trudniej wyciąć. :p
No i to bez problemu możesz tam id dać, nawet darmowe serwery mają teraz mod_rewrite
“Google ogłosił rozpoczęcie proksowania obrazków ze zdalnych serwerów, umieszczanych w e-mailach kierowanych do jego użytkowników.”
Jak się umieszcza zdalne serwery w e-mailach kierowanych do ich użytkowników? :)
Czytaj ze zrozumieniem. Dobrze jest napisane.
W obrazkach ;-)
To ciekawe, bo pomimo takich ustawień, jak zalecane (nie wyświetlaj) gmail w tej chwili automatycznie wyświetla mi obrazki we wszystkich wiadomościach, czego nie robił do tej pory. WTF?
Może i to lamerskie pytanie ale…
Jak działa mechanizm przez który po wejściu na stronę jakiejś firmy po chwili dostaję od nich ofertę reklamową? Oferta przychodzi na ogólny adres firmy, ale chyba IP (pokazuje tylko TPSA @ WAW) to za mało do ustalenia go.
Oczywiście te wszystkie dane teraz trafią nie do marketingowców, a do Google, który o dziwo też jest marketingowcem (sic!). No i jeszcze skoro te dane ma Google, to ma je również NSA.
Och nie! Znaczy się że od teraz jak będę wchodził na konto mailowe GMail w przeglądarce to Google będzie znał moje IP? I będzie mógł sprawdzić jakiej przeglądarki używam? I będzie wiedział jakie mam katalogi/tagi w skrzynce pocztowej? I jeszcze będzie wiedział kiedy otwieram maile?! Tego już za wiele!
Google już miał te dane ;-)
Teraz trafiać będą tylko do Google. To oczywiście chroni użytkowników przed dodatkowymi atakami (np mającymi na celu odgadnięcie czyjegoś IP), ale jednocześnie google w ten sposób “kosi” cała swoją konkurencje przy pniach. Nie zdziwiła bym się jak w niedalekiej przyszłości zacznie sprzedawać usługi typu “FreshMail”.
Dokładnie, też o tym pomyślałem. Teraz Google będzie analizowało jaki typ/gatunek/schemat/etc. najczęściej użytkownicy klikają. To mądre posunięcie, może AdWords będzie bogatszy ;)
niestety, ciężko wierzyć w troskę google o prywatność użytkowników…
Sherlocki, niektórzy używają klienta IMAPa i Google nie ma tylu danych o nas co przez webmaila. Teraz pod pretekstem bezpieczeństwa będzie jeszcze bardziej nas analizował i zbierał większy hajs za personalizowane reklamy.
Jednak lepiej, że te dane zatrzymają się w Google i zewnętrzni marketerzy dostana mniej.
Bardziej interesujące jest to, że w nowych mapach googla, przynajmniej na androida, apka może automatycznie włączyć Wi-Fi w zależności od lokalizacji, w której jest użytkownik. Czy to oznacza, że może automatycznie połączyć się z siecią w wybranych miejscach, np.na lotnisku, mimo tego, że my tego nie chcemy? Czy może mieć to związek ze zbieraniem danych przez samochody i urządzenia do usługi streetview?
Zapewne chodzi o dane lokalizacyjne. Google to gigantyczny marketingowiec. Wprawdzie jego reklamy nie są tak uciążliwe, jak duże banery, ale za sprawa Androida Google ma nieocenione narzędzie zbierania danych o użytkownikach mobilnych, nie wspominając o zbieraniu danych z przeglądarki (także własnej, czyli Chrome).
Badzmy realistami – kazdy kto uzywa GMaila ma zerowe pojecie o prywatnosci niejako z definicji.
Niekoniecznie. Dla wielu to po prostu najwygodniejsza poczta ze względu na integrację z Androidem, a dla niektórych pewnie pierwszy e-mail w życiu. Jednak jak widać nieco mniej danych ujawniamy odbierając maile programem pocztowym, zamiast korzystać z webmaila.
@Paweł Nyczaj Twoje slowa potwierdzaja dokladnie to, co napisalem.
Niewidoczne arkusze css raczej nie będą cechowane. Włala.
Niby minus dla marketingu, bo będą znać tylko unikalne wyświetlania, jednak dzięki temu więcej maili będziemiało wyświetlenia obrazków i unikalne otwarcia będą bardziej rzetelne.
To teraz wszyscy ładnie jednym głosem powiedzmy panom Elkinsowi i Blosserowi: “Dzię ku je my” – oczywiście za program mutt :)
Zaraz, powoli. Jeśli obrazek jest ładowany z unikalnego
adresu, to proxy czy nie proxy, nadawca będzie wiedział kto
otworzył maila. Co prawda nie dowie sie z jakiego IP, ale np.
spamerzy zweryfikuja sobie gdzie spamowac dalej.
Jaka zmiana skoro będą proksować przez serwery
google?
Marketingowcy juz znalezli sposob na obejscie cacheowania obrazkow i moga zbierac kazde wyswietlenie obrazka – ustawiaja odpowiedni naglowek – content-length: 0
Z drugiej strony, to też plusy dla wysyłających mailing. W
mailu i tak mogą być linki po których będzie wiadomo kto wszedł na
stronę, a zaoszczędzimy masę transferu. Będzie można linkować
większe i ładniejsze obrazki, a google i tak wszystko ładnie
zproxuje :)
Czemu nie blokować ruchu innego niz smtp/imap/pop3 dla
klienta pocztowego. Całe to g… jednym ruchem się wycina. Jak ktoś
mi chce wysłać obrazek – to niech go załączy. Proste i
skuteczne.