Quantcast http://pixel.quantserve.com/pixel solicita 302 redirecionamentos para o Facebook e outras redes de publicidade

28

Passei algumas horas investigando o que eu pensava ser uma extensão maliciosa do Chrome (usando a ferramenta do desenvolvedor para auditá-las, altamente recomendado!), Um problema de injeção de ISP / DNS ou uma infecção por malware, mas é melhor dizer que isso está ocorrendo como uma resposta legítima dos servidores de pixel da Quancast . Agora consegui reproduzir o problema em vários computadores, navegadores e ISPs e estou bastante confiante de que as respostas vêm de seus servidores; Eu simplesmente não sei o porquê. Após verificar as informações , não vejo nenhum detalhe sobre esse tipo de atividade e estou muito preocupado com o motivo pelo qual esses redirecionamentos para rastreadores de terceiros estão sendo ocasionalmente injetados em nosso site e com quais informações estão sendo coletadas sobre nossos usuários. perguntas frequentes e a Política de Privacidade

Ao visitar area51.stackexchange.com, um de nossos funcionários notou uma solicitação estranha ao ad.360yield.com, que parece ser uma empresa de análise chamada Improved Digital . Ao investigar, descobri que as solicitações para http://pixel.quantserve.com/pixel ocasionalmente recebiam 302 respostas de redirecionamento para várias redes de anúncios e empresas de análise. A maneira mais fácil de testar isso era visitar um site medido diretamente pela Quantcast, como SO / SF / SE, e usar a guia de rede das ferramentas de desenvolvedor do F12 (com "Desativar cache" marcado) para verificar domínios suspeitos (clique com o botão direito do mouse no cabeçalho para adicionar esta coluna) ou 302 respostas inesperadas da solicitação de pixel. Até agora, pude ver as seguintes 302 respostas:

ad.360yield.com/match?publisher_dsp_id = ... (este capturado no IE) ad.360yield.com/match

e outro 360yield ao visitar a página inicial do Stack Overflow: ad.360yield.com de SO

www.facebook.com/tr?id = .... & cd [prospecting] = T -.... (POR QUE ISSO ESTÁ NA ÁREA51?) www.facebook.com/tr prospecção

stags.bluekai.com / ...? id = ... (empresa de análise adquirida pela Oracle ) stags.bluekai.com

bh.contextweb.com/bh/rtset?do=add ... (este capturado usando o proxy do violinista) bh.contextweb.com

tap.rubiconproject.com/oz/feeds/quantcast-pmp/tokens?afu = ... tap.rubiconproject.com

Também vi redirecionamentos para: analytics.twitter.com , ads.yahoo.com , e.nexac.com/e/quantcast_sync.xgi, ce.lijit.com, x.bidswitch.net, delivery.swid.switchads.com, rtb-csync.smartadserver.com e soma.smaato.net

Parece que isso acontece pelo menos desde dezembro de 2014 , mas não consegui encontrar nenhuma informação sobre o motivo pelo qual o Quantcast é redirecionado para rastreadores de terceiros que não sejam este breve resumo da Ghostery (o bônus desse link também possui contato de exclusão e privacidade) detalhes):

Acreditamos que esta empresa facilita ou se envolve na segmentação baseada em interesses de terceiros.

Portanto, minha pergunta é: ao optar pelos serviços "Measurement & Insight" do Quantcast, que não devem exigir vínculo com vários rastreadores de terceiros, a que mais expusemos nossos usuários?


16 de dezembro de 2015 Atualização rápida: tivemos uma ótima reunião com o Quantcast sobre como o farol deles funciona. Eles deram uma explicação de alto nível do processo e planejam fornecer mais detalhes técnicos como resposta aqui, assim que tiverem tempo para escrever uma resposta. Se algum webmasters tiver mais perguntas, recomendo entrar em contato com o representante da sua conta ou usar o formulário de contato .

Eles também indicaram que o farol pode ser desativado na seção de configurações do nosso perfil Quantcast e que desativá-lo não afetará o uso do serviço de Medição Quantcast. Estamos confiantes de que não há nada nefasto, pois eles têm salvaguardas para proteger a privacidade do usuário e não usam explicitamente o tráfego de SO / SE (ou qualquer site específico) diretamente em qualquer algoritmo de segmentação. Mas apreciamos a capacidade de optar por sair do farol e planejamos desativá-lo.

Greg Bray
fonte
3
E essa é mais uma razão pela qual análises e publicidade de terceiros devem morrer e queimar no inferno. Você quer análises? Faça isso no servidor e não viole a privacidade do usuário.
André Borie 23/11
Você pode confirmar que isso foi (ou não foi) desativado? Percebo também que o Quantcast nunca encontrou tempo para postar uma resposta aqui ...

Respostas:

10

Quantcast Medir Termos de Serviço ( https://www.quantcast.com/terms/measure-terms-service/ ) Seção 6:

Os servidores Quantcast podem optar por responder ocasionalmente à etiqueta de qualquer editor, redirecionando o navegador para um farol anônimo de terceiros para oferecer suporte à prestação de serviços Quantcast no mercado. A decisão de sinalizar não está relacionada a você, o editor, seu tráfego ou sua base de usuários.

mbc
fonte
Obrigado! Parece que perdemos essa seção. De acordo com web.archive.org/web/20111018183116/http://www.quantcast.com/… , parece que essa seção está em seus Termos de Serviço pelo menos desde outubro de 2011 e também inclui um link que descreve o que um farol anônimo era. Encaminharei isso para os poderes necessários para que eles possam decidir se os termos são aceitáveis ​​ou se devemos procurar um método alternativo de medir o tráfego.
Greg Bray
1
Não tenho certeza de como eles podem reivindicar o anonimato quando parecem incluir diretamente informações do usuário (por exemplo, um diferente de zero external_user_id) em seus redirecionamentos - isso é usado pela correspondência de cookies do Improve Digital: webcache.googleusercontent.com/… - consulte página 10, onde diz explicitamente "Se você não deseja que o cookie corresponda ao usuário, você pode retornar um external_user_id igual a 0"
Michael Hart
5

Suspeito que isso corresponda a cookies com vários fornecedores de dados / análises de público-alvo e empresas de publicidade.

Parece estar coberto em sua política de privacidade , embora de maneira bastante vaga:

Podemos compartilhar com terceiros que não sejam PII, incluindo determinados Dados de log, como parte do fornecimento e aprimoramento de nossos produtos Medir e anunciar. Por exemplo, podemos divulgar esses dados para empresas envolvidas na entrega ou na visibilidade do anúncio.

Se realmente conta como "não PII" (informações de identificação pessoal) - acho que isso é altamente suscetível de debate. Se eles estão realmente combinando identificadores únicos, sim, eles não estão compartilhando nenhuma informação "extra", mas ainda estão permitindo que terceiros rastreiem o mesmo usuário e os associem a quaisquer dados que tenham no sistema, o que é claramente identificável pessoalmente.

Michael Hart
fonte
2
Isso seria muito mais agradável se estivéssemos usando algum dos produtos "Quantcast Advertise", mas, pelo que sei, não estamos. Nós usamos apenas os serviços "Quantcast Measure" para medir o tráfego e a demografia geral; portanto, eles vinculam nossos usuários via Facebook / Twitter e outros sites parecem muito suspeitos e devem ser explicitamente explicitados em seu TOS / FAQ
Greg Bray
Outro artigo do Correspondência de cookies do usuário da Adzerk pode ser encontrado em help.adzerk.com/hc/en-us/articles/205492375-User-Matching
Greg Bray