Quantcast http://pixel.quantserve.com/pixel demande 302 redirections vers Facebook et d'autres réseaux publicitaires

28

Je viens de passer quelques heures à enquêter sur ce que je pensais être une extension Chrome malveillante (en utilisant un outil de développement pour les auditer, fortement recommandé!), Un problème d'injection ISP / DNS ou une infection par un malware, mais le mieux que je puisse dire, c'est que une réponse légitime des serveurs de pixels de Quancast . J'ai maintenant été en mesure de reproduire le problème sur plusieurs ordinateurs, navigateurs et FAI, et je suis assez confiant que les réponses proviennent de leurs serveurs; Je ne sais juste pas pourquoi. Après avoir vérifié leur FAQ et leur politique de confidentialité Je ne vois aucun détail sur ce type d'activité, et je suis très inquiet de savoir pourquoi ces redirections vers des trackers tiers sont parfois injectées dans notre site Web et quelles informations sont collectées sur nos utilisateurs.

Lors de la visite de area51.stackexchange.com, un de nos employés a remarqué une étrange demande à ad.360yield.com, qui semble être une société d'analyse appelée Improved Digital . Lors de l'enquête, j'ai constaté que les demandes de http://pixel.quantserve.com/pixel recevaient parfois 302 réponses de redirection vers divers réseaux publicitaires et sociétés d'analyse. Le moyen le plus simple de tester cela était de visiter un site mesuré directement Quantcast comme SO / SF / SE et d'utiliser l'onglet réseau des outils de développement F12 (avec "Désactiver le cache" coché) pour vérifier les domaines suspects (en-tête de clic droit pour ajouter cette colonne) ou 302 réponses inattendues de la demande de pixels. Jusqu'à présent, j'ai pu voir les 302 réponses suivantes se produire:

ad.360yield.com/match?publisher_dsp_id = ... (celui-ci capturé dans IE) ad.360yield.com/match

et un autre 360yield lors de la visite de la page d'accueil de Stack Overflow: ad.360yield.com de SO

www.facebook.com/tr?id = .... & cd [prospection] = T -.... (POURQUOI EST-CE SUR AREA51?) www.facebook.com/tr prospection

stags.bluekai.com / ...? id = ... (société d'analyse acquise par Oracle ) stags.bluekai.com

bh.contextweb.com/bh/rtset?do=add ... (celui-ci capturé à l'aide du proxy fiddler) bh.contextweb.com

tap.rubiconproject.com/oz/feeds/quantcast-pmp/tokens?afu = ... tap.rubiconproject.com

J'ai également vu des redirections vers: analytics.twitter.com , ads.yahoo.com , e.nexac.com/e/quantcast_sync.xgi, ce.lijit.com, x.bidswitch.net, delivery.swid.switchads.com, rtb-csync.smartadserver.com et soma.smaato.net

Il semble que cela se produise au moins depuis décembre 2014 , mais je n'ai pas pu trouver d'informations sur la raison pour laquelle Quantcast redirige vers des trackers tiers autres que cette courte description de Ghostery (en prime, ce lien a également un opt-out et un contact de confidentialité). détails):

Nous pensons que cette entreprise facilite ou s'engage dans un ciblage par centres d'intérêt tiers.

Ma question est donc la suivante: en optant pour les services "Measurement & Insight" de Quantcast, qui ne devraient pas nécessiter la liaison avec plusieurs trackers tiers, à quoi d'autre avons-nous exposé nos utilisateurs?


16 décembre 2015 Mise à jour rapide: Nous venons d'avoir une excellente réunion avec Quantcast sur le fonctionnement de leur balise. Ils ont donné une explication de haut niveau du processus et prévoient de fournir plus de détails techniques comme réponse ici une fois qu'ils auront le temps de rédiger une réponse. Si des webmasters ont d'autres questions, je vous recommande de contacter votre représentant de compte ou d'utiliser leur formulaire de contact .

Ils ont également indiqué que la balise peut être désactivée via la section des paramètres de notre profil Quantcast et que sa désactivation n'affectera pas notre utilisation du service Quantcast Measure. Nous sommes convaincus qu'il n'y a rien de néfaste, car ils ont des mesures de protection en place pour protéger la confidentialité des utilisateurs et n'utilisent pas explicitement le trafic utilisateur SO / SE (ou tout site spécifique) directement dans les algorithmes de ciblage. Mais nous apprécions la possibilité de désactiver la balise et de la désactiver.

Greg Bray
la source
3
Et c'est encore une autre raison pour laquelle les analyses et la publicité tierces devraient mourir et brûler en enfer. Vous voulez des analyses? Faites-le sur le serveur et ne violez pas la vie privée de votre utilisateur.
André Borie
Pourriez-vous confirmer que cela a été (ou n'a pas été) désactivé? Je remarque également que Quantcast n'a jamais trouvé le temps de poster une réponse ici ...

Réponses:

10

Conditions d'utilisation de Quantcast Measure ( https://www.quantcast.com/terms/measure-terms-service/ ) Section 6:

Les serveurs Quantcast peuvent choisir de répondre occasionnellement au Tag de n'importe quel éditeur en redirigeant le navigateur vers une balise anonyme tierce pour prendre en charge la fourniture de services Quantcast sur le marché. La décision de baliser n'est pas liée à vous l'éditeur, à votre trafic ou à votre base d'utilisateurs.

mbc
la source
Merci! On dirait que nous avons manqué cette section. Selon web.archive.org/web/20111018183116/http://www.quantcast.com/… il semble que la section ait été dans leurs TOS au moins aussi loin qu'en octobre 2011 et elle comprenait également un lien qui décrivait ce que une balise anonyme était. Je transmettrai cela aux pouvoirs en place afin qu'ils puissent décider si les conditions sont acceptables ou si nous devons envisager une autre méthode de mesure du trafic.
Greg Bray
1
Je ne sais pas comment ils peuvent prétendre que c'est anonyme quand il semble inclure directement les informations utilisateur (par exemple, un non-zéro external_user_id) dans ses redirections - ceci est utilisé par la mise en correspondance des cookies d'Améliorer Digital: webcache.googleusercontent.com/… - voir page 10 où il est dit explicitement "Si vous ne voulez pas que les cookies correspondent à l'utilisateur, vous pouvez renvoyer un external_user_id de 0"
Michael Hart
5

Je soupçonne fortement qu'il s'agit d'une correspondance de cookies avec divers fournisseurs de données d'audience / d'analyse et de sociétés publicitaires.

Cela semble être couvert dans leur politique de confidentialité , quoique assez vaguement:

Nous pouvons partager avec des tiers non-PII, y compris certaines données de journal, dans le cadre de la fourniture et de l'amélioration de nos produits de mesure et de publicité. Par exemple, nous pouvons divulguer ces données aux entreprises impliquées dans la diffusion ou la visibilité des annonces.

Quant à savoir si cela compte vraiment comme «non-PII» (informations personnellement identifiables) - je pense que cela est hautement sujet à débat. S'ils correspondent effectivement à des identifiants uniques, alors oui, ils ne partagent aucune information "supplémentaire", mais ils permettent toujours à des tiers de suivre le même utilisateur et de les mettre en correspondance avec toutes les données qu'ils ont dans leur système, ce qui est clairement identifiable personnellement.

Michael Hart
la source
2
Ce serait beaucoup plus acceptable si nous utilisions réellement l'un de leurs produits "Quantcast Advertising", mais à ma connaissance, nous ne le sommes pas. Nous utilisons uniquement leurs services "Quantcast Measure" pour évaluer le trafic et les données démographiques générales, de sorte qu'ils relient nos utilisateurs via Facebook / Twitter et d'autres sites semble très suspect et devrait être explicitement mentionné dans leurs TOS / FAQ
Greg Bray
Une autre rédaction de User Cookie Matching d'Adzerk peut être trouvée sur help.adzerk.com/hc/en-us/articles/205492375-User-Matching
Greg Bray