Analiza prywatności... wyszukiwania tekstu na stronie?

Nie spodziewałem się, że kiedyś do tego dojdzie. Ale to jest analiza prywatności „ctrl-f”. Czyli funkcji znajdowania treści na stronie internetowej: gdy użytkownik chce znaleźć wystąpienie jakiegoś słowa, przykładowo  “czajnik”, skrót klawiszowy Control-f albo ręczny wybór z menu (“znajdź…”) otwiera monit o znalezienie strony.  Brzmi ekscytująco? Może  niezupełnie.

Ten krótki opis jest jednak motywowany propozycją Google, by ustandaryzować dla stron internetowych funkcję która będzie informować stronę internetową właśnie wtedy gdy użytkownik korzysta z funkcji „znajdź/wyszukaj na stronie...” (już wkrótce w przeglądarce Chrome). Propozycja ta polega na wprowadzeniu na nowego zdarzenia (eventu) przeglądarki -  “beforematch”, pod który oczywiście można podłączyć się  JavaScript. W ten sposób strony www mogłyby wykrywać przybliżoną lokalizację wyszukiwanej treści. Dokładne dane (treść wyszukiwanych słów) nie mają być udostępniane. Można to jednak dosyć sprytnie obejść by w przybliżeniu wykryć to czego użytkownik szukał.

Ryzyko polega też na tym, że ingeruje się tu w znany użytkownikom interfejs przeglądarki internetowej (to wrażliwe terytorium!). I to moim zdaniem jest podstawowy problem.

Dziś strony internetowe nie mają standardowo wiedzy na temat tego, czego się szuka za pomocą funkcji “znajdź na stronie”. Wpisane słowa nie są  stronom sygnalizowane. Chociaż istnieją pewne niestandardowe techniki (np. ta) które umożliwiają wykrycie takiej treści, której szukał użytkownik, lub też wykrycie użycia kombinacji klawiszy „ctrl-f” - przeglądarki internetowe nie traktują takich działań jak nadużycia. Niektórzy deweloperzy wręcz takiej funkcjonalności chcą. Niektóre strony internetowe wprowadzają też niestandardowe własne monity funkcji wyszukiwania (na przykład GitHub, gdzie to ma sens!). Zdarza się to jednak rzadko.

Wprowadzenie  standardowego mechanizmu przeglądarki ułatwiłoby takie praktyki. Czy oznaczałoby to również, że manipulowanie interfejsem użytkownika w podobny sposób już jest akceptowalne?

Bo ze względów bezpieczeństwa i prywatności przeglądarki internetowe bardzo chronią interfejs użytkownika. To delikatna kwestia. Przeglądarki internetowe utrudniają (uniemożliwiają) modyfikowanie standardowego interfejsu użytkownika przeglądarki internetowej. Bo jest jasne, że użytkownik musi temu ufać. W końcu w  interfejs ten użytkownicy wpisują swoje wrażliwe dane. Z tego też powodu dziś strony internetowe nie mogą modyfikować monitów z prośbą o “pozwolenie” (owe znane “ta strona chce poznać twoje dane o lokalizacji ... czy się zgadzasz?”).

Mówiąc bardziej ogólnie, jakie mogą być zagrożenia dla prywatności związane ze stronami szpiegującymi treści znajdujące się na stronie?

Profilowanie - to ryzyko, gdy witryny mogłyby wykrywać to, czym zainteresowany jest użytkownik - zwłaszcza jeśli chodziłoby o możliwość wykrywania ręcznie wpisywanych wyszukiwanych słów.

Funkcja udostępniana przez “beforematch” umożliwiłoby też poznanie dokładnego czasu i wzorców wyszukiwania użytkownika (nawet jeśli nie dokładnie jego zawartości), w oparciu o znacznie mniej wnioskowania.

Wycieki danych to też ryzyko - przy założeniu, że użytkownik wpisywał wrażliwe słowa kluczowe (np. dane osobowe?), a strona internetowa byłaby w stanie je wykrywać, choćby  na podstawie dedukcji.


Podsumowanie

Sprawa jest skomplikowana. Bo kwestia ta dotyczy rzeczywistego interfejsu użytkownika przeglądarki internetowej. Co dziś jest ważne, ponieważ jesteśmy obecnie w trakcie potencjalnej modyfikacji architektury sieci www (platformy). W którą stronę pójdziemy - to się okaże.

W poprzednich latach wiele nauczyliśmy się o projektowaniu funkcji z zachowaniem prywatności - i jak trudne to jest. Temat nie przestaje być dla mnie fascynujący.

Komentarze? Prośby? Oferty? me@lukaszolejnik.com