Daily Archives: June 30, 2015

Sådan fortæller din browser alt om dig på 100 millisekunder

June 30, 2015 by admin · Leave a comment

Det kan du selv gøre

Hvis du ikke ønsker at afgive dine oplysninger, er der er række tiltag du kan anvende:

- Add-blockers
- Flere browsere
- Drop cookies
- Log ud fra Google og Facebook (og slet cookies)
- Brug VPN eller Tor



Der kan være tusindevis af trackere – der samler informationer om dig – på en enkelt webside.

Når du har tastet en adresse ind i din browser og klikker go, så går der på mange websider en lynhurtig auktion i gang bag kulisserne på din skærm.

Tidsrammen er på 100 millisekunder, og i det korte tidsinterval udvælges der en reklame, der passer lige præcis på din person.

I tidsrummet fra at du klikker, og til siden vises, skal din person gennem en annonceauktion, der skal finde den helt rigtige reklame til websiden.

Selv om dit navn er ukendt, så er du identificeret af reklamefolkene – i første omgang på basis af eksempelvis cookie-oplysninger.

“Data bliver solgt på kryds og tværs af siderne, og der kan være flere tusinde trackere forbundet med en enkelt webside, der hver især opsamler brugeroplysninger, som gemmes i et hav af databaser,” fortæller Carsten Jørgensen, der er sikkerhedsspecialist.

“På den måde kan man opbygge meget præcise profiler af brugere ned til eksempelvis seksualitet, eller om personen er ekstrovert eller introvert,” fortæller han.

Hvordan kan man se, om en person har en åben eller en lukket personlighed?

“Sender du for eksempel mange Twitter-beskeder afsted, er du givetvis en åben person. Følger du bare de andre, så er det nok modsat,” lyder det fra Carsten Jørgensen.

Reklameauktionen finder så sted blandt hundredevis af tilbudsgivere, der kan tilføje flere oplysninger om din personlighed fra de mange tredjepartsdatabaser, der indsamler brugerinformationer.

På 100 millisekunder er du identificeret, der er afholdt en auktion over de reklamer, der passer på din profil, og den vindende reklame er sendt til den web-destination, du besøger.

En gravid bruger er meget værd
Hvor meget er en bruger værd i kroner og øre, når der auktioneres?

“Det er ret forskelligt, men op til 10 cent for en almindelig bruger. Hvis du eksempelvis er gravid, er prisen langt højere eksempelvis halvanden dollar.”

Hvor mange websider anvende disse reklameauktioner med tilhørende personidentifikation?

“De fleste efterhånden. Hvis websiden har lavet en aftale med en specifik reklameudbyder (ad-network) laver netværket selvfølgelig en intern ‘mini-auktion’ ud fra deres egne kunder for at finde den højeste pris.”

“Men fordi websiderne alt andet lige får højere priser, når der er flere netværk, der byder på reklamerne, bruger de fleste efterhånden ad exchanges.”

Tidslinje for en auktion
Når en reklamebørs modtager en forespørgsel på en reklame til din browser, åbner browseren et vindue på 100 millisekunder, der skal afgøre hvilken reklame, som skal ramme netop dig.



Tidslinje for reklame-auktion. Kilde: radar.oreilly.com.



Brugerprofilen, der fortæller hvem du er, starter med en cookie.

Annonce:


I løbet af et øjeblik har du været gennem denne proces:

1) Brugeridentifikation (10 millisekunder).

Her tildeles brugeren en identitet ud fra cookies eller anden identifikationsdata. Der anvendes eksempelvis teknikker via HTML 5 eller Flash

Du kan læse mere om, hvordan man hvordan man identificerer brugere her: Technical analysis of client identification mechanisms

Browseren sender i samme moment oplysninger om den webside, der besøges og karakteristika for ønskede annoncer. Det omfatter, om det er banner, pop-up, video eller hvor på skærmen, reklamen skal vises.

2) Der tilknyttes yderligere brugerinformationer fra tredjeparts data (10 millisekunder).

Auktionshuse og reklamefirmaer knytter data til din person, som kendes fra en cookie, fra tredjepartsudbydere.

3) Budrunden starter (50 millisekunder).

Nu sendes brugeren ud i en auktionsrunde, der skal finde den rigtige reklame. Det sker blandt andet på børser som AppNexus. Børserne indsamler data fra reklameudbyderne, og der håndteres op til 150 forskellige bud på en enkelt bruger.

Annoncekampagner fra reklamebureauer kan godt løbe i en forholdsvis lang periode og være rettet mod en bestemt brugerprofil, demografisk eller geografisk placering. Det gør udvælgelsen hurtigere.

4) Reklamerne rangeres efter pris.

5) Der tilføjes forretningslogik til den valgte reklame.

Reklamebørsen skal sikre sig, at den vindende reklame er passende for websiden og opfylder sidens politikker.

6) Den vindende reklame sendes videre til browseren.

Reklamen er klar på din skærm, og den skal nu lokke dig til at klikke og købe.

Der findes forskellige metoder og variationer over auktionerne eksempelvis på Facebook, der kører forløbet internt i firmaet og ikke (nødvendigvis) anvender eksterne partnere til auktionen.

Læs også:

Dansk CIO: Den klassiske ordremodtagende it-afdeling er stendød

Sådan undgår du at klokke i spam-reglerne

Kryptering er et kæmpe-problem for danskerne: Så alvorlig er situationen

Posted in computer.

Krypterings-brølere er en bombe under software-sikkerheden

June 30, 2015 by admin · Leave a comment

Kryptering kan være et uhyre effektivt våben i kampen mod de it-kriminelle, men alt for ofte fejler softwareudviklere med at implementere krypteringen i deres løsninger.

Faktisk er krypterings-sårbarheder den næstmest almindelige type sårbarhed i applikationer på tværs af alle industrier, hævder virksomheden Veracode, der arbejder med applikationssikkerhed.

Det skriver det amerikanske Network World.

Veracode har undersøgt over 200.000 applikationer, både kommercielle og egenudviklede, der anvendes i virksomhedsmiljøer.

Sårbarheder med udgangspunkt i manglende eller ringe kryptering er hyppigere end eksempelvis sårbarheder som cross-site scripting, SQL injection og directory traversal.

Ifølge Network World var størstedelen af de sårbare applikationer webbaserede, mens også mobil-apps udgjorde en betydelig del.

“Udviklerne tilfører en masse kryptering til deres kode, særligt i sundhedssektoren og den finansielle sektor, men de er ringe til det,” udtaler teknisk chef hos Veracode, Chris Wysopal.

En klassisk fejl er, at udviklerne slår TLS-validering fra i testmiljøet, fordi de ikke har et certifikat på testserverne – og så glemmer at slå det til, når løsningen går live.

Læs også: Kryptering er et kæmpe-problem for danskerne: Så alvorlig er situationen

Der er i øjeblikket en voksende opmærksomhed på konsekvenserne af manglende eller ringe kryptering.

Både Firefox og Chrome har konkrete planer om at markere ganske tydeligt, hvis en webside er usikker – i modsætning til i dag, hvor browseren primært giver besked, når en webside er sikker.

Google-søgemaskinen rangerer i dag også sikre websider højere end de usikre i søgeresultaterne.

Samtidig er både Apple og Google i gang med at forsøge at fjerne de usikre apps i deres respektive app-butikker.

Den australske sikkerhedsekspert Troy Hunt, der har et stort kendskab til app-udvikling, har tidligere udtalt, at vi stadig i 2015 fejler massivt på krypterings-området – og at der er en “vanvittig” mangel på privacy og sikkerhed i nogle apps.

Computerworld har i flere artikler haft fokus på manglende sikkerhed i apps, hvilket du kan læse mere om her.

Læs også:

Kryptering er et kæmpe-problem for danskerne: Så alvorlig er situationen

Ekspert advarer om vanvittig mangel på sikkerhed og privacy i apps

Sådan vil Apple sætte en stopper for usikre apps til iPhone og iPad

Posted in computer.