Web ¡tracking ¡technologies ¡& ¡ ¡ price ¡discrimina5on ¡in ¡e-‑commerce ¡ Nataliia ¡Bielova ¡ INDES ¡team ¡ ¡ 11 ¡February ¡2016 ¡ ¡
Back ¡in ¡1993… ¡ 2 ¡
Today… ¡ 3 ¡
Today… ¡ Web ¡Tracking ¡ google-‑ analyHcs.com ¡ Bigger ¡browsing ¡profiles ¡ ¡ ¡ ¡ ¡ = ¡increased ¡value ¡for ¡trackers ¡ = ¡reduced ¡privacy ¡for ¡users ¡ doubleclick.com ¡ ¡ quantserve.com ¡ (HypotheHcal ¡tracking ¡relaHonships ¡only.) ¡ Courtesy ¡of ¡Franziska ¡Roesner ¡ 4 ¡
AdverHsement ¡ AdverHsers ¡ Ad ¡network ¡ doubleclick.com ¡ Ad ¡space ¡of ¡ doubleclick ¡ Real-‑Hme-‑bidding ¡(RTB) ¡ 5 ¡
Price ¡discriminaHon ¡ 6 ¡
More ¡evidence ¡ 7 ¡
In ¡this ¡talk… ¡ § Web ¡Tracking ¡ • How ¡does ¡it ¡work? ¡ ¡ • How ¡can ¡you ¡protect ¡yourself ¡from ¡being ¡tracked? ¡ • Is ¡it ¡legal? ¡ § Price ¡discriminaHon ¡ • Airline ¡Hckets ¡study ¡ • How ¡to ¡get ¡a ¡beVer ¡price? ¡ • Is ¡it ¡legal? ¡ 8 ¡
How ¡does ¡Web ¡Tracking ¡work? ¡ 9 ¡
HTTP ¡protocol ¡is ¡stateless ¡ URL ¡path: ¡bbc.co.uk/news ¡ Parameters ¡ Web ¡browser ¡ Web ¡server ¡ Method: ¡GET ¡ … ¡ HTTP ¡request ¡ HTTP ¡response ¡ Status: ¡200 ¡OK ¡ Content: ¡HTML ¡page ¡ Set-‑cookies: ¡session-‑id= 2082787201l ¡& ¡… ¡ ¡ … ¡ -‑ ¡Mapping ¡requests ¡to ¡apps ¡ -‑ ¡Rendering ¡pages ¡ -‑ ¡ContacHng ¡DBs ¡ -‑ ¡ExecuHng ¡scripts/plugins ¡ -‑ ¡ConstrucHng ¡responses ¡ (JavaScript) ¡ ¡ -‑ ¡Launching ¡new ¡HTTP ¡requests ¡ 10 ¡
HTTP ¡protocol ¡is ¡stateless ¡ URL ¡path: ¡bbc.co.uk/news ¡ Parameters ¡ Web ¡browser ¡ Web ¡server ¡ Method: ¡GET ¡ … ¡ HTTP ¡request ¡ HTTP ¡response ¡ Status: ¡200 ¡OK ¡ Content: ¡HTML ¡page ¡ Cookie ¡Database ¡ Set-‑cookies: ¡session-‑id= 2082787201l ¡& ¡… ¡ bbc.co.uk/news: ¡ session-id=2082787201l … ¡ 11 ¡
HTTP ¡protocol ¡is ¡stateless ¡ URL ¡path: ¡bbc.co.uk/news... ¡ Method: ¡GET ¡ ¡ Web ¡browser ¡ Web ¡server ¡ Cookies: ¡session-‑id= 2082787201l ¡& ¡… ¡ … ¡ HTTP ¡request ¡ Cookie ¡Database ¡ bbc.co.uk/news: session-id=2082787201l 12 ¡
Mechanisms ¡Required ¡By ¡Trackers ¡ • Ability ¡to ¡store/create ¡user ¡idenHty ¡in ¡the ¡browser ¡ § HTTP ¡cookies ¡ § HTTP ¡headers ¡ Stateful ¡tracking ¡ § browser ¡storages ¡ § device ¡fingerprinHng: ¡ ¡ • browser ¡properHes ¡ ¡ Stateless ¡tracking ¡ • OS ¡properHes ¡ ¡ • IP ¡address… ¡ • Ability ¡to ¡communicate ¡user ¡idenHty ¡back ¡to ¡tracker ¡ § HTTP ¡request ¡headers ¡ § JavaScript ¡ ¡ ¡J. ¡Mayer, ¡J. ¡Mitchell ¡“Third-‑party ¡web ¡tracking: ¡Policy ¡and ¡Technology” ¡IEEE ¡SSP’12 ¡ Nataliia ¡Bielova ¡ 13 ¡
Stateful ¡tracking ¡ ¡ TRACKING ¡VIA ¡COOKIES ¡ 14 ¡
Within-‑Site ¡Tracking ¡ First-‑party ¡cookies ¡ are ¡used ¡to ¡track ¡repeat ¡visits ¡to ¡ a ¡site. ¡ google-‑analyHcs.com ¡ hVp://site1.com ¡ <script processing ¡engine ¡ src=google- analytics.com/ 2:52pm: user 123 visited Cookie ¡Database ¡ script.js> site1.com site1.co com: m: script ¡ go google- ga_id=123 logs ¡ analyt ytics cs.co com/tr track? k? </src> ga_i _id=123& & site=site1.co com m Based ¡on ¡the ¡slide ¡of ¡Franziska ¡Roesner ¡ 15 ¡
Within-‑Site ¡Tracking ¡ First-‑party ¡cookies ¡ are ¡used ¡to ¡track ¡repeat ¡visits ¡to ¡ a ¡site. ¡ google-‑analyHcs.com ¡ hVp://site1.com ¡ <script processing ¡engine ¡ src=google- analytics.com/ 2:52pm: user 123 visited Cookie ¡Database ¡ script.js> site1.com site1.co com: m: script ¡ go google- ga_id=123 logs ¡ analyt ytics cs.co com/tr track? k? </src> ga_i _id=123& & site=site1.co com m Based ¡on ¡the ¡slide ¡of ¡Franziska ¡Roesner ¡ 16 ¡
Cookie ¡stealing ¡ • Access ¡cookies: ¡ document.cookie • Script ¡that ¡sends ¡cookies ¡ script ¡ // google-analytics.com/script.js var url = “http://google-analytics.com/track?ga_id= “ + encodeURI(document.cookie) + “&site= “ + encodeURI(document.location); document.write('<img src=' + url + '/>'); 17 ¡
First-‑party ¡cookie ¡selng ¡ 18 ¡
First-‑party ¡cookies ¡benefits ¡ • Keep ¡the ¡session ¡through ¡ different ¡windows/tabs ¡ • Website ¡owners ¡can ¡evaluate ¡ § website ¡staHsHcs ¡ § popularity ¡of ¡certain ¡pages ¡ § popularity ¡of ¡links ¡ § selected ¡and ¡copied ¡phrases ¡ 19 ¡
Cookies: ¡first-‑ ¡& ¡third-‑party ¡ Origin ¡ Origin ¡ ny5mes.com ¡ b.scorecardresearch.com ¡ nyHmes.com ¡ <script src=facebook.com> JavaScript ¡1 ¡ Third-‑party ¡ First-‑party ¡ </src> can ¡read/write ¡ ¡ can ¡read/write ¡ ¡ cookies ¡of ¡ ¡ <iframe cookies ¡of ¡ ¡ b.scorecardresearch src=b.scorecardresearch.com> ny5mes.com ¡ .com ¡ Html ¡page ¡+ ¡ ¡ JavaScript ¡2 ¡ </iframe> Nataliia ¡Bielova ¡ 20 ¡
Cross-‑site ¡Tracking ¡ Third-‑party ¡cookies ¡are ¡used ¡by ¡trackers ¡included ¡in ¡ other ¡sites ¡to ¡create ¡profiles. ¡ ¡ tracker.com ¡ hVp://site1.com ¡ hVp://site2.com ¡ co cookie: i id=789 processing ¡engine ¡ <iframe src=tracker.com/ ad.html> 9:30am: user 789 visited Cookie ¡Database ¡ cookie: i co id=789 site1.com ad ¡ tracker.co com: id=789 9:31am: user 789 visited logs ¡ site2.com </iframe> ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ Roesner ¡ etal ¡“DetecHng ¡and ¡Defending ¡Against ¡Third-‑Party ¡Tracking ¡on ¡the ¡Web” ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡NSDI’2012 ¡ Courtesy ¡of ¡Franziska ¡Roesner ¡ 21 ¡
PracHcal ¡protecHon: ¡ Third-‑party ¡cookies ¡blocking ¡ 22 ¡
PracHcal ¡protecHon: ¡ Third-‑party ¡cookies ¡blocking ¡ • Does ¡not ¡influence ¡your ¡browsing ¡experience ¡ • Does ¡not ¡adjust ¡adverHsements ¡for ¡you ¡ ¡ • So ¡why ¡are ¡third-‑party ¡cookies ¡s5ll ¡there? ¡ § It’s ¡a ¡business ¡of ¡adverHsement ¡companies ¡ 23 ¡
Personal ¡Cross-‑Site ¡Tracking ¡ hVp://facebook.com ¡ facebook.com ¡ processing ¡engine ¡ Cookie ¡Database ¡ First-‑party ¡ site ¡ cookie: co facebook.com: logs ¡ fb_i _id=5 =522 fb_id=522 2:34pm: user 522 visited facebook.com hVp://site.com ¡ 2:35pm: user 522 visited site.com <iframe src=faceboook.com /button.html> </iframe> 24 ¡
Third-‑party ¡cookie ¡blocking ¡problem ¡ • Important ¡detail : ¡ ¡In ¡most ¡browsers, ¡third-‑party ¡cookie ¡blocking ¡ ¡opHon ¡ ¡doesn’t ¡block ¡sending ¡the ¡cookies ¡ • Privacy ¡problems: ¡ § If ¡a ¡tracker ¡can ¡ever ¡set ¡a ¡cookie, ¡third-‑party ¡cookie ¡ blocking ¡is ¡ rendered ¡ineffec5ve . ¡ § The ¡user ¡ can ¡be ¡tracked ¡just ¡because ¡a ¡site ¡she ¡visits ¡ contains ¡a ¡social ¡buTon ¡ 25 ¡
ShareMeNot ¡ hVp://facebook.com ¡ facebook.com ¡ processing ¡engine ¡ Cookie ¡Database ¡ First-‑party ¡ site ¡ facebook.com: logs ¡ fb_id=522 2:34pm: user 522 visited facebook.com hVp://site.com ¡ 2:35pm: user 522 visited site.com <iframe src=faceboook.com /button.html> </iframe> Now ¡is ¡a ¡part ¡of ¡ Privacy ¡Badger ¡ hVps://www.eff.org/privacybadger ¡ 26 ¡ ¡
Cookie ¡respawning ¡ • Cookies ¡ can ¡respawn ¡ even ¡if ¡the ¡ user ¡has ¡deleted ¡them ¡ • KISSmetrics ¡and ¡Hulu.com ¡lawsuits ¡ § HTML5 ¡localStorage ¡(across ¡sessions ¡ only) ¡ § Flash ¡LSOs ¡(across ¡sessions ¡and ¡web ¡ browsers) ¡ ¡ § HTTP ¡headers: ¡Etag, ¡LastModified ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ A. ¡Soltani ¡ hVp://ashkansoltani.org/2011/08/11/respawn-‑redux-‑flash-‑cookies/ ¡August ¡2011 ¡ 27 ¡
Recommend
More recommend