Seznam Lištička = Lukačovič is watching !?
6. November 2006
V době kdy začali vyhledávače vydávat kdejaký lišty do browserů mi bylo nebylo úplně jasné k čemu je veškerá ta snaha. Reklamy(až na vlastní produkt - vyhledávač) neobsahují, tak nač programovat něco co vám celkem zbytečně zabere dalších pár pixelů z vašeho drahoceného monitoru ? Podle mě jsou tu dvě odpovědi, částečně si nadbytečným políčkem vyhledávání připoutáte některé uživatele. Ta druhá a podle mě důležitější, že můžete sledovat co uživatelé lišty dělají.
Donedávna jsem to považoval spíš za velice pravděpodobnou paranoidní teorii, kterých můj chorý mozek vyprodukoval už nespočetně, ale pořád mi chyběl důkaz. I jal jsem se tedy dekompozitit na drobné částečky lištu Seznamu.
‘Za účelem poskytování této služby tímto Uživatel souhlasí s tím, že při vyhodnocování návštěvnosti internetových stránek v rámci služby “S-rank” včleněné do Softwaru bude Společnosti poskytnuta informace o skutečnosti, že Uživatel se připojil k dané internetové stránce.’ (http://software.seznam.cz/listicka/install.html?antivir=on&browser=geck)
Na liště máte hned po instalaci zapnutý S-Rank. Docela bych se divil, že by ho někdo záměrně vypínal. Lajk pravděpodobně hodnocení s-rankem nikdy nevypne, protože nemá tušení k čemu je to dobré. A jako takový může skvěle sloužit právě ke sledování pohybu, tím že při každé změně stránky odešle právě požadavek na zjištění sranku což bylo řečeno v citátu výše. A kdo vlastně potřebuje vědět srank ? Kromě pár vyvolených co tvoří a spravují weby je ta informace naprosto zbytečná.
Odeslání požadavku na srank funguje na stejném principu jako AJAX resp. js RPC, tzn že odešlete POST s xmlkem, které serveru dodá potřebné údaje a odpovědí bude další xmlko s požadovanýma hodnotama.
<?xml version="1.0" encoding="ISO-8859-1"?>
<methodCall>
<methodName>getRank</methodName>
<params>
<param>
<value>
<string>
32c42069846497cebbaffec1baec64df
</string>
</value>
</param>
<param>
<value>
<string>
http://www.adresa.cz
</string>
</value>
</param>
<param>
<value>
<i4>
-1282308875
</i4>
</value>
</param>
</params>
</methodCall>
Teď vás možná napadne co je i4 a co je ten teplej string tam nahoře. Mě to taky napadlo. Popojedem…
Ta zásadní část kódu vypadá asi takhle
zkráceně…
var instanceId = foxcubPreferences.getString("instance.id");
var url = window._content.document.location.toString();
var hash = foxcubSecurity.getHash(instanceId + url, "SHA1");
var crc = foxcubSecurity.getCrc32(hash);
url = url.replace(/\&/g, "&");
var rankResult = this.mCache[url];
if (rankResult == null)
{
rankResult = foxcubXmlRpc.getSRank(instanceId, url, crc);
this.mCache[url] = rankResult;
}
if (this.mListener != null)
{
this.mListener.srankChanged(rankResult.rank);
}fce getSRank vypadá zkráceně asi takhle
const FORMATSRANK = "<?xml version=\"1.0\" encoding=\"ISO-8859-1\"?><methodCall><methodName>getRank</methodName><params><param><value><string>{0}</string></value></param><param><value><string>{1}</string></value></param><param><value><i4>{2}</i4></value></param></params></methodCall>";
...
getSRank: function(aClientId, aUrl, aCrc)
...
var requestXml = foxcubUtilities.formatString(FORMATSRANK, aClientId, aUrl, aCrc);
...
foxcubUtilities.log(requestXml);
var responseXml = foxcubDownload.requestPost(foxcubNavigation.urlRpcSRank, requestXml, 0, "text/xml", "xml");
return new SRankResult(responseXml);
...
}Takže si to shrňme. Prvním parametrem fce getSRank je ‘instance.id’, proměná která je získána po instalaci, jakým způsobem jsem nepátral, ale zůstává po instalaci lištičky stejná(!!!). To také znamená že ten záhadný string na začátku je přímo Vaší jedinečnou identifikací ! 1:0 pro bratra Lukačoviče. Nic hrozného se neděje, jste ‘anonymní’, zatím.
Drůhým parametrem jak už jistě i ti pomalejší poznali je adresa samotné posuzované stránky. Třetí je kontrolní součet hashe instance.id a url v sha1. Fci pro kontrolní součet najdete vevnitř scriptů. Je tam imho jenom z toho důvodu aby zajistila nějak legitimitu údajů proti šťouralům, kteří by pak kazily statistiky lištičky vygenerováním pokaždé jiného id a vyhledávali by tu samou stránku, to by teoreticky (!) mohlo vést k tomu, že by seznam mohl usoudit, že je stránka oblíbená a přidal by jí při vyhledávání body navrch.
Bohužel tim sranda nekončí. Řekněme že si k tomu ještě pořídítě schránku taktéž od seznamu a nastavíte si jí do lištičky. Určitě šikovná věc pro uživatele, má pořád přehled nad svojí poštou. Ale vemte si to z druhé stránky.
V tuto chvíli ví seznam, právě podle vaší jednoznačné identifikace lištičky, že lezete pravidelně na ty a ty béčkové pornostránky, ví že si chatujete s 14ti-letýma buchtama o čuňačinkách (chat lide.cz), ví jaké máte školy (spoluzaci.cz), nebo má ideálně celý váš profil na lide.cz… a z pošty se nechá taky lecos vyčíst. Neříkám že seznam takové informace shromažďuje a nějak využívá, ale rozhodně má tu moc a to se počítá.
Líbí se vám to ?
8 November, 2006 [7:06 am]
Dobrá analýza. Informace o volání jsou popsány správně. I teorie toho, že by se to dalo používat, jsou asi platné.
Praxe je trochu dost jiná. Přidávání bodů za návštěvnost do vyhledávání není zas tak dobrý nápad, ze dvou důvodů. Jednak je tu obrovské riziko pozitivní zpětné vazby. Budeš vyhledáván -> budeš nahoře -> budeš vyhledáván. A naopak. To není dobré. Dalo by se to snad použít, kdyby neměl Seznam dvě třetiny trhu.
Za druhé těch lištiček po světě běhá dost málo, než aby se z toho dalo sestavit něco statisticky významného.
Jinak ale ve světě myslím pár konceptů hodnocení stránek na základě toolbarů existují, samozřejmě v první řadě Alexa, takže na posílání údajů není nic divného.
Co se týká provázání lištičky s emailovým účtem, tak to se nedělá. Nevím ani, jestli by to šlo, protože URL, které lišta odesílá, myslím neobsahuje údaje o registrovaném uživateli Seznamu. Kromě toho mi není jasné, k čemu by to bylo (cílení reklamy? ale prosímvás). Není jasné, co z toho počítat a i kdyby bylo, těch dat je hodně na to, aby si s tím někdo hrál, ale statisticky málo na to, aby se to vyplatilo. Sledovat někoho na internetu? Na to existují jiné, šikovnější nástroje než nějaká lišta.
Ještě jedna úvaha ne zcela sedí — lidé si lištičku stahují často právě kvůli koukání na rank. Ukazovat na liště rank je způsob, jak získat zkušené uživatele. Tito zkušení uživatelé pak hodně ovlivňují jiné, nezkušené uživatele, aby si soft stáhli. Takhle třeba Google rozšířil svůj Google Toolbar — kdo by mu bez PageRanku věnoval pozornost? Všechny vyhledávače tuhle strategii znají, a proto rank ukazují.
8 November, 2006 [2:15 pm]
Jistě přiznávám, je to trošku konspirační teorie :) Na samotném odesílání nevidím vůbec nic divného, bohužel přidá-li se k tomu jednoznačná identifikace instalace a veškeré služby které seznam poskytuje… Jistěže existují lepší nástroje na sledování, ale v tomhle případě uživatel dobrovolně souhlasí a pokud člověk nezačne přemýšlet na téma ‘co kdyby’ tak mu ani nedojde jak velkou část soukromí _může_ být někomu odhalena.
Co se týče ovlivňování vyhledávání, není přece nutné požívat každou stránku na kterou uživatel příjde, co třeba vzít první tři nejnavštěvovanější každého uživatele měsíčně a budete mít jistotu že od určitého čísla to není způsobeno vyhledáváním (které by se mimojiné nechalo stejnak částečně odfiltrovat podle předchozí historie), ale uživatelovým zájmem.
Provázat to s emailem by určitě šlo a sám to víte ;) Teď na to koukám a nevěřím že by proměná ticketid, která se zjeví právě při přihlašování by k tomu nešla zneužít :)
Neznám čísla, Vy o nich máte určitě lepší přehled, ale přesto než jsem se v tom začal šťourat tak mi přišlo od dvou ‘netechnických’ uživatelů doporučení právě na slovník a pravopis, a ti rozhodně nemají tušení co to rank je. Navíc mi uniká jak rozpoznáte uživatele který si stáhl lištu pro pr nebo pro něco jiného…
Nakonec doména .cz je moc malý píseček na to aby se na něm nechaly dělat statistické origie, které třeba google(nejen s lištou) jistě provádí :)
8 April, 2007 [2:53 pm]
Jesi mas neco proti tokio hotel tak jim to napis a nerikej ze to sou teplosi si teplous sam…..
9 January, 2009 [4:04 am]
* je -1 * počet sekund od 1.1.1970 (proč minus, to nevím). Jinými slovy, kdy uživatel s lištičkou zjišťoval S-Rank
* Google btw. shromažďuje všechny vyhledávací dotazy, která třídí podle IP uživatelů a nemaže je. Relativně známý je soudní případ maníka, co na pláži zastřelil svoji manželku kvůli pojistnému a pak hrál, že to udělal někdo jinej. U soudu byly policií vyžádány a předloženy záznamy toho, co mj. vyhledával (byly mezi tím výrazy jako “střela do hrudníku” a některé další), které samy o sobě stačily k tomu, aby ho porota poslala na hodně dlouho do chládku.
9 January, 2009 [4:08 am]
edit: tag i4 v dotazovacím xml je -1 * počet sekund od 1.1.1970 (sežralo mi to < a >)