Nyomonkövetés a valóságban

 ( pepo | 2019. június 29., szombat - 1:13 )

Sziasztok!

Kaptam egy linket, amin egy videó látható. A videó egy "legális" nyomkövetővel "felszerelt" oldal működését mutatja, amikor figyeli az oldalba ágyazott hotjar szkript, mit is művel egy-egy felhasználó.
Az alábbi link csak pár napig tekinthető meg, ha időm engedi, készítek belőle megmaradó emléket.

http://insights.hotjar.com/r?site=1376904&recording=2299611161&token=b88889152b7e132a325308a73fd900d8
(Lent a Skip Pauses érdemes bekapcsolni.)

A videó annak weboldalnak az üzemeltőjétől szivárgott ki, aki beágyazta a totálisan legális nyomkövetőt az oldalába: ez egy user egyszeri nézelődése.

Nem értem, hogy a böngészők ezt alaphangon hogyan is engedhetik meg... Eggyel több ok, hogy a hotjar-hoz hasonló beágyazott szkripteket tiltsa az ember, ami desktopon nem is nehéz, mobilon azért már kell hozzá furmány, ami aztán már tényleg nem menne a szögről leakasztott átlagusernek.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Tobb ilyen eszkoz van, marketingesek szeretik latni mit csinal az user amikor az oldalon jar, de nem vesz semmit.
Nem az eletedet fenykepezi le csak az oldalon vegzett mozgasodat, fogd fel ugy mint egy kamera a ruhaboltban.
Egy honap utan raunnak a marketingesek, mert uncsi nezni a videokat, a tarhely meg betelik. Marad a link alapu kovetes (adwords)

Mi a garancia, hogy az ilyen szkriptek érzékeny adatokat nem szereznek be?
Értem én, hogy jó marketing eszköz, de pontosan ugyan olyan jó fegyver. Ez utóbbi pedig becsület kérdése. Ami meg vicc manapság.

Ezek csak azt rögzítik, amit te egy oldalon csinálsz, nem azt, amit a gépeden. Talán egy biztonsági rést látok:
ha mondjuk egy jelszót vágólapra másolsz, de "rossz oldalra" szúrsz be, akkor ők ezt rögzíteni fogják.

Ezt értette. Azt kérdezte, hogy mi a garancia arra, hogy ezt a határt nem lépik ár? Erre nem sikerült felelni.

Érdemes lenne tisztázni mit értesz határ alatt. Pl. másik tab-ban levő folyamatomat akarná megfigyelni? Vagy mondj példát arra, hogy valamit csinálok az xyz.com-on, de nem tudhat róla az xyz.com tulajdonosa. Titkosított levelezésnél érdekes lehet, de ott már az is kérdéses, hogy ezt böngészőben érdemes-e csinálni.

Amiatt senki nem aggódik, hogy megadjuk a jelszót regisztrációnál, és vagy titkosítva tárolják, vagy nem, vagy megnézik, hogy máshol is használtam-e, vagy nem.

A határ ott van, hogy beleegyeztem avagy sem. Bármit figyelhet, amibe beleegyeztem és semmit sem, amibe nem. Ez tök egyszerű.

Az oldal használatával beleegyezel annak az adatvédelmijébe, ÁSZF-jébe, nemde? Utcán sem vágják az arcodba mindenhol, hogy CCTV kamerák figyelnek (tudom, az más, mert a Zállam teszi, és neki megenge... várj mikor is? Lehet csak én nem emlékszem, hogy születés után aláírtam volna egy nyilatkozatot, hogy elfogadom az ország törvényeit.)

Alapvetően nem így van: míg közterületen jársz, ott tudod, hogy készülhet rólad felvétel, míg egy weboldal meglátogatásakor ez csak akkor lehetséges, ha beleegyezel.

El vagy tévedve. A születéseddel itthon automatikusan magyar állampolgárságod keletkezik, így automatikusan alá vagy rendelve a magyar törvényeknek. Ha elköltöztél külföldre és soha sem akarsz hazajönni, de megtartod a magyar állampolgárságodat, akkor továbbra is érvényes rád a magyar törvény is amellett, amely ott érvényes rád, ahol éppen vagy.

Szóval, ha hollandiában laksz és kiposztolod a facebookra vicces süti faló képedet, azt itthon a hatóság számon kérheti rajtad. És ha sosem jössz haza, akkor is előfordulhat, hogy körözést ad ki ellened. S kiadatásodat kérheti a másik országól. Persze a másik ország meg mérlegelhet és mivel náluk nem bűncselekmény, főleg ha náluk folytattad azt a tevékenységet, ezért nem ad ki.

Lásd
https://index.hu/kulfold/2016/06/02/nemetorszag_nem_adja_a_magyar_madamot_magyarorszagnak/

Idézet:
A születéseddel itthon automatikusan magyar állampolgárságod keletkezik

Ez egyébként nem igaz.

Ha a szüleid magyarok - és ez az esetek 97%-ára igaz - akkor a kolléga állítása igaz. Attól nem válik igaztalanná, hogy vannak - kemény 3%-nyi! - kivételes esetek.

Volt tojas :)

:-D

A magyar állampolgárság a szülők állampolgárságától függ, a születés helyszíne nem számít a döntésnél.

"Attól nem válik igaztalanná, hogy vannak - kemény 3%-nyi! - kivételes esetek."

De. Ez az ún. cáfolat ellenpélda segítségével.

vagy, ha hontalanok de itt laknak, akkor is magyar lesz :D meg van még egy csomó eset
https://hu.wikipedia.org/wiki/Magyar_%C3%A1llampolg%C3%A1rs%C3%A1g

A lényeg, hogy a "nem emlékszem, hogy születés után aláírtam volna egy nyilatkozatot, hogy elfogadom az ország törvényeit" szöveg éppen olyan kaliberű észrevétel, mint a "nem kérték tőlem engedélyt a megszületésemhez" :D

Viszont vicces paraméter, hogy elvileg a kivándorolt, de állampolgárságot le nem mondó magyarok kint született gyerekei is lehet, hogy jogilag magyarok csak elmulasztották a magyar rendszerben regisztrálni őket. Aztán lehet meglepetés később :D Persze nem mentem utána minden wikis állításnak, hogy mi az aktuális hivatalos szabály.

Ez csak addig igaz, míg le nem mondasz a magyar állampolgárságodról.

Na, ezt nem teheted meg.

Már hogyne tehetném?
Lemondhatok róla, de ha meggondolom magam visszakérhetem.

Nem. Alapvetően nem tudok beleegyezni a használat megkezdése nélkül. Ergo a használat megkezdésével beleegyezel=nem kérik a beleegyezésedet. Pici logikai bukfenc a gondolatmenetedben. Nem nagy, csak alapvető.

"Bármit figyelhet, amibe beleegyeztem és semmit sem, amibe nem."

Bármit figyelhet, amibe beleegyeztem és azt is, amibe nem. Az androidos kütyük mi a faszért csinálnak hálózati adatforgalmat, akkor is, amikor én nem teszek vele olyat, aminek kéne forgalmat generálnia?

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.

De azt te nem látod, hogy egy másik tabon, másik képernyőn, másik böngészőben mit csinálsz. Ez nem egy screen recorder,
ez az adott oldalon (és nem a képernyőn!) történő műveleteket rögzíti. Az általam említett példán kívül milyen más
példát ismersz?

ld. feljebb. Semmit ne figyeljen az én aktivitásomból sehol. Senki. Amíg nem jelezte, hogy ezt tenné és én pozitív visszajelzést nem adtam. Mi ezen olyan nehéz?

Az aktivitásod figyelve van, már szerver oldalon is. Az ászf-ben le kell legyen írva.

Mondjuk pl. a hup.hu-nak nincs is ÁSZF-je. Én nem találtam és miért is lenne? A szerveroldali adatkezelésről az adatkezelési nyilatkozatban írnak és ha elolvasod, nincs is benne olyasmi, ami nem kapná meg egy felhasználó jóváhagyását, mert lényegében a működéshez szükséges adatokat tárolják/kezelik. Nekem nem derült ki az adatkezelési ...vagy talán adatvédelmi? nyilatkozatból, hogy követik minden mozdulatomat és azt analizálják is. Viszont kikapcsolható. Egyrészt mert működik nélküle az oldal, másrészt, mert tudok róla! Amiről nem tudom, hogy be van kapcsolva, hogy egyáltalán létezik, azt kikapcsolni sem tudom. De ez nem ÁSZF kérdése amúgy sem. A kérdés nélküli figyelés szerintem kémkedés.

A garancia az, hogy nem tudják átlépni.
Igazából ez nem képernyőt rögzít, hanem csak a renderelt oldal képe fölé odavetíti az egér képét, mint ha felvette volna.

Technikailag csak annyit tud, hogy az egér pillanatnyi pozícióját rögzíti, meg a kattintásokat. Ezen felül az oldalon leütött gombokat is rögzíti, és azt, hogy éppen min áll a fókusz, és mennyire van elgörgetve az oldal. Utána pedig ezekből az információkból és az oldal statikus képéből renderel egy videót, ami úgy néz ki, mint ha rögzítette volna a képernyődet.

Így kevés adatot kell tárolniuk (pár kb. az egérmozgás koordinátái), és csak akkor keletkezik 50-100 megás videó, ha valamelyiket lerendereled. Plusz sávszélesség igénye sincs különösebben a megfigyelésnek.

Amit én láttam, ott nem egyesével nézik a videókat, hogy vajon mit csinált Gipsz Jakab az oldalunkon hajnal 2:45-kor, hanem az összes user összes mozgását egymásra másolják, és azt nézik egy hőtérképpel, hogy az oldal melyik pontjain egerésztek sokat, hová klikkeltek sokat, stb.

Ennek bőven megvan a helye, amikor pl. felhasználói szokásokat/user interface használatot akarunk monitorozni, hogy jobb, hatékonyabb
felületet adjunk a felhasználónak.

Feltéve, hogy tud róla a user. Amitől ez problémás, hogy nem tud róla. Most elképzelem, ahogy felháborodsz, amikor kiderül, hogy a lepedőgyártók mini kamerát raknak a lepedőbe, amivel rögzítik a szekszuális aktusaidat, persze szigorúan a felhasználói élmény fokozása érdekében. Azt kielemzik, tárolgatják, stb. Persze közben véletlenül sem akad egy sem az elemzők között, aki a kicsi pöcsödön elröhögi magát vagy véletlenül sem szivárog ki egy képkocka sem. Szóval ez simán kémkedés. Ha úgy történne, hogy rákérdez, akarom-e, hagyom-e, az más. De nem ez történik.

Üdv a megfelelően monitorozott rendszerek világában. Szerintem is ijesztő, de nagyban segít optimalizálni, megtalálni a lyukakat, és fraud esetén pontosan visszanézni hogy a francba csinálta. Ha nem csak elrakod utóelemzésre, hanem ez alapján realtime hangolod az oldalt, az a jelenlegi csúcs. Lásd amazon. Hol lassítasz az egérrel, minél lassul a görgetés, már meg is van mit szeretnél jobban megnézni. A profilod alapján rájön hogy azért görgettél tovább, mert a fogadhoz vered a garast, és lőn, a következő görgetésnél már akciós a cucc.

Tud róla a user, bele van írva az adatvédelmibe, ASZF-be. Vagy ha nincs, akkor tessék feljelenteni. Vagy ha nincs kedved olvasni, hát akkor ez van.

Szerinted életszerű azzal kezdeni minden weboldal meglátogatását, hogy az ÁSZF-et elolvasom, miközben már rögzíti is minőségbiztosítási célból a tétova - hol is van az ÁSZF-menü keresgélős - egérmozdulatomat?

Tudtommal amíg a kukikövetős felszólítós szart nem okézod le / ikszeled ki, addig nem tárolhatna rólad semmit egy oldal sem. Pont ezért a trükkösebb gecik egészoldalas kikerülhetetlen szarral zaklatnak. Így addig nem tudod folytatni az oldalon brózolást, amíg nem baszol a felhívással valamit. Kérdés hogy az ilyen ÁSZF-szarokat implicit elfogadod-e azzal hogy az oldalt csak megnyitottad, azaz "használod a szolgáltatásukat". Gondolom igen, mert ez egy ilyen szar világ. A jogászok is a pokolban fognak égni remélem, részben ők asszisztáltak hozzá.
--

Annyira szar a sok kukis felugró, hogy át sem olvasom. Sőt emiatt véletlenül felirakoztam több oldalra (agrarinfo és társai, közben csak kis kértem van, nem traktorom) mert az hittem az a kuki commit.

Egyébként sok cég egy WordPress pluginnal oldja meg a kuki csíkot, semmi köze az adwords és egyéb adatoknak ahhoz hogy ok vagy mégsem gombot nyomtal. Vicc.

Jogász helyett nyugodtan mondd, hogy jogalkotók, mert speciel az én jogászom nagyon rühellte, és eszetlen rossz ötletnek tartotta, hogy minden cég írjon kis GDPR kompatibilis doksikat, miközben kb. senki nem köti be ténylegesen a gombot (lásd még OK gomb lenyomása ELŐTT már fut az analytics az oldalon, marketinges mondja, hogy hát de a tesco vagy melyik is így csinálja, igen, csak ők tudnak büntit fizetni, peti a zöldséges nem :) ).

Nagyon nem életszerű. Ezt a dolgot régen úgy hívták: tisztesség, jóindulat. Elveszett.

Régen nem illett belesni senki szoknyája alá, ha lehajolt, akkor illett elfordulni. Most pedig jogi pert nyer az aki a cipője orrán kamerát visel és a villamoson ezzel fényképét. Hiszen a sapkája ott az ÁSZF: "Én egy alulfotózó vagyok". A tisztesség már fel sem merül, mert az emberi megvetés már senkit nem tántorít el. Mindent szabad amit nem tilos. (Én is csak 40+ értettem meg amit apám mondott nekem anno...)

Ez a sapkás ügy létezik? A cipős-kamerás nyomorultakról hallottam (a célközönségük sem kevésbé eszement), de tényleg volt ilyen "megoldás"?

Egyébként ahogy lentebb is írtam, nem azzal van a gond, hogy van ez az ÁSZF, és elolvashatatlan szöveg, hanem azzal, hogy van egy rakás törvény, amit elfogadunk, megengedőek, de közben azt hisszük, hogy hát de csak biztonságban vagyunk BY DEFAULT. Oszt nem.

Vagy társalogj normálisan vagy ne társalogj. Te hány oldal ászf-jét olvastad el azok közül, amelyeket meglátogattál az életed során?

Te hány törvényt olvastál el abból, ami jelen pillanatban rád is vonatkozik? Erre próbáltam rámutatni, hogy szidhatod a hotjar használatát, de közben nézd már meg, hogy az egész jogállami struktúra ilyen megoldásokból áll. Clever defaults.

Már a bölcsiben is megkezdődik a gyermek viselkedési kialakítása, a jogállamiságban történő viselkedésre oktatása, ami később is folytatódik. Valami ilyesmi oknál fogva a törvény feltételezi, hogy tisztában vagy 18 éves korodra teljesen azzal, mi a bűncselekmény.
Éppen ezért lehet filozofálhatni, hogy egy olyan területen, ahol táj(ésatöbbi)idegen vagy, mennyire elvárható, a helyi jellegzetességek ismerete, főleg, hogy akkor és ott kell azt azonnal megtudnod és elsajátítanod. Ebbe nem érdemes belemerülni, ez a jogtudósok területe, nekünk csak az a dolgunk, hogy az elvárható mértékben legyenek jogaink.

Ez egy új művészeti ág kialakulásának a kezdete lehet: "Rajzolj pöcsöt a plakátnak! weblapnak!"

Ha tudod, hogy megfigyelnek, szennyezd be az adatokat!
Pl. ne használj egeret a görgetéshez vagy firkáld össze a lapot.

De ahogy a többiek is említették, ez hasznos dolog is tud lenni, ha felhívják rá előre a figyelmet!

Adatbányászatnál első dolog a zajt kiszűrni. Valószínűleg világít a starisztikákon mi az amit a user csak hülyítésből/megzavarásból cselekszik. Kicsit előrébb jár már ez az ipar (is) sajnos, mint azt egy 0km-es laikus fel bírná fogni.
--

Efelől nincs kétségem!

De ha szerencsés vagy, tudsz egy vigyort csalni a fejlesztő arcára.

Gépek (algoritmus) szűri ki a zajt, nem emberek, az meg nem vigyorog.
--

Használtam már a hotjar-t, sokat segített a felület módosításában/fejlesztésében. Szerintem nem ördögtől való, mert a weboldal üzemeltetője rakja be a kódot aki mást is meg tud tenni.

Világos, hogy egyszerű kezelni, de a mozdulatok/írások rögzítésének engedélye nagyban hiányzik, és nem is világos a policy.

Kattintasz egy linkre, és történik valami, szerinted arra is engedély kéne? vagy mi?

Az adat != információ, bár én már iskolában ezt régen tanultam.
Elmagyarázzam?

Szerintem arra próbált utalni a tisztelt fórumtárs, hogy amikor rányomsz egy linkre, az is mentődik a szerver oldalon,
itt annyi a különbség, hogy az is rögzítve van, amikor még nem nyomsz rá a linkre.

Igen, és fentebb más is nyekegett a jogaiért, hogy őt ne monitorozzák, miközben olyan weboldalakon jár, amelyik arról híres, hogy mindenkit monitoroz.

És érdekesnek tartom hogy ezen szenved valaki, miközben az augur.io-nál nem volt ekkora felsírás...

Ezt a nyekergést én másképp fogalmaznám meg, bár értem, mire célzol: nos, én megteszek minden tőlem telhetőt, hogy ne kerüljek monitorozás alá, ha egy weboldalt meglátogatok. Az eredeti írásban is azok miatt aggodalmaskodtam, akik ezt nem tudják elkövetni. (see above)
Az augur.io esetéről nem hallottam, nyilván azért nem "szenvedtem" rajta.

+1, pontosan így van, illetve nem azért böngészek az esetek 99%-ban, hogy vegyek valait, így nagyon zavar, hogy minden egyes optimalizalas azt szolgalja, hogy hatekonyabban el tudjanak adni nekem valamit. Nem erdekel, nem akarok vasarolni, hagyjanak beken.

lol, csavard még

Pontosan.
Banki weblap teljes design váltása előtt, közben és után ment ez (vagy hasonló) tool, hogy feltérképezzék, pontosan hogyan is rángatózik a user a weblapon (mit vesz észre, mit nem, hol tartja átlag user az egeret olvasás közben, stb. stb.)
Értelmes célra felhasználva (UI/UX készítés) nagyon jó módszer.

Ilyen esetben viszont nem probléma, ha elárulják, hogy most éppen mélyelemzés alá vagyok vetve. No de aki nem árulja el, abban nem is tudok bízni azon a téren, hogy mit figyel és azt mire használja. Szóval lehet ezt csinálni, csak utána nem köll ríni a weboldal üzemeltetőinek, amikor esetleg kiderül és a bizalomvesztés érezhetővé válik.

UX oldalról a hotjar és a többi tool nélkül elég nehézkes lenne optimalizálni a folyamatokat (pl. webshop). Analytics segítségével összerakott funel-ből kiesik egy rakat adat és (pl. churn) ezek okának meghatározására a hotjar egy elég hatékony eszköz. Kellően nagyszámú rekordból elég jól meghatározhatók konkrét pain point-ok, rekordokból párat visszanézve elég jól kiütköznek a problémák (vagy a működő megoldások) illetve össze lehet vetni a usability tesztekkel...
Lényegesen macerásabb, lassabb és költségesebb lenne ezek nélkül az optimalizálás.
Az egy más kérdés, hogy mint sok minden mást a hotjar-t is lehet "másként használni" és adatokat gyűjteni vele, ráadásul az Amazon, eBay, Aliexpress és még ide írhatjuk szinte az összes nagyobb céget hasonló tool-okkal monitorozza a felületeket és ez alapján optimalizál.

Ritka eset, hogy ezt nézzük, általában inkább csak heatmap-et figyeljük.
Amúgy üdv az interneten :>

Hogy mit csinál az oldaladon az user? Szerintem nem bonyolult olyan oldalakat csinálni... lehet bele tenni ilyesmiket (a teljesség minden igénye nélkül):

<?php

...
...
$file = fopen($logined_user.$actual_time.".txt","a");
fwrite($file,$user_ip.$_POST[...].$_POST....$_REQUEST[...] ... ...);

...
...

vagy kismillió lehetséges módszer van még erre, csak győzzük tárhellyel...

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.

" According to Vertesi, the average person's marketing data is worth 10 cents; a pregnant woman's data skyrockets to $1.50."

https://mashable.com/2014/04/26/big-data-pregnancy/?europe=true

Szerintem a Hotjar malware. De ezt (is) megoldja a NoScript.

--
http://blog.htmm.hu/