DuckDuckGo wysyła dane do Microsoftu

DuckDuckGo nie tak prywatne, jak obiecywało – tajemnicza współpraca z Microsoftem

7 minut czytania
Komentarze

DuckDuckGo stawia się w pozycji największego obrońcy prywatności w sieci. Firma ma swoją wyszukiwarkę, oraz przeglądarkę, które w duecie mają gwarantować bezpieczeństwo i anonimowość. Całość wygląda jednak… nieco inaczej, co na początku ubiegłego tygodnia odkrył pewien badacz bezpieczeństwa. I trzeba przyznać, że to wywołało istną burzę wokół usług giganta, co jednak wymaga pewnego wyjaśnienia. 

DuckDuckGo wysyła dane do Microsoftu

DuckDuckGo wysyła dane do Microsoftu

Zacznijmy od tego, że afera ta nie dotyczy wyszukiwarki DuckDuckGo, a przeglądarki internetowej. Jeśli więc korzystacie z Edge, czy Chrome, a DuckDuckGo jest tylko Waszą domyślną wyszukiwarką, to ten problem Was nie dotyczy. Problem mają natomiast użytkownicy przeglądarki DuckDuckGo. Ta wedle zapewnień twórców ma blokować trackery od reklamodawców, którzy sprzedają i handlują danymi użytkowników.

Problem w tym, że wyżej wspomniany badacz bezpieczeństwa Zack Edwards odkrył, że pozwala ona Microsoftowi na śledzenie danych za pośrednictwem domen reklamowych LinkedIn i Bing. Nie jest to jednak działanie potajemne, a po prostu ludzie z DuckDuckGo się z tym nie afiszowali. Otóż w witrynie DuckDuckGo znajduje się strona, na której przyznano, że zawarto umowę pozwalającą firmie Microsoft na umieszczanie reklam obok wyników wyszukiwania. Napisano tam, że Microsoft nie przechowuje danych o zachowaniach użytkowników po kliknięciu w reklamy ani nie wykorzystuje ich do profilowania użytkowników. 

Zobacz też: DuckDuckGo blokuje pirackie strony – ostra cenzura wyszukiwania

To jednak nie oznacza, że cała afera tyczy się tego, że ktoś czegoś nie doczytał. Otóż na tej samej stronie nie wspomniano o trackerach przesyłających dane przez LinkedIn i Bing, które już są tam obecne. I to właśnie to wzbudziło nie tyle obawy, ile wręcz falę niezadowolenia wśród użytkowników przeglądarki. W odpowiedzi na nie Gabriel Weinberg, założyciel i dyrektor generalny DuckDuckGo przyznał, że umowa z Microsoftem wymusza na nim stosowanie takich rozwiązań. Podkreślił także, że jego przeglądarka i tak jest na tym polu lepsza, bo blokuje inne trackery. No cóż, miała blokować wszystkie, więc ludzie mają prawo czuć się oszukani.

Co prawda DuckDuckGo pochwaliło się, że właśnie negocjuje z Microsoftem usunięcie tej klauzuli i zmieni opisy stron sklepu z aplikacjami mobilnymi, aby lepiej informowały użytkowników. Sęk w tym, że dla wielu osób mleko już się rozlało. Jeśli ktoś korzystał z DuckDuckGo ze względów na prywatność i bezpieczeństwo, to może mu być trudno zaufać stronie, która celowo wprowadzała go w błąd. W końcu nie ma gwarancji, że Kaczka nie ma jeszcze jakichś innych zgniłych jaj pod skrzydłem. 

DuckDuckGo wysyła dane do Microsoftu – oficjalne stanowisko firmy

Prezes DuckDuckGo wydał w tej sprawie następujące oświadczenie na serwisie reddit:

Cześć, jestem dyrektorem generalnym i założycielem DuckDuckGo. Żeby było jasne (ponieważ w komentarzach widzę już niejasności), kiedy wczytujesz nasze wyniki wyszukiwania, jesteś anonimowy, łącznie z reklamami. Również na stronach internetowych innych firm blokujemy w naszych przeglądarkach pliki cookie innych firm, a także inne zabezpieczenia, w tym ochronę przed odciskami palców [chodzi o dane pozostawione przez sposób korzystania z przeglądarki, które są określane tym mianem — przyp. autora]. Ten artykuł nie jest poświęcony naszej wyszukiwarce, ale naszym przeglądarkom — mamy przeglądarki (tak naprawdę aplikacje typu „wszystko w jednym” do ochrony prywatności) dla systemów iOS, Android, a teraz także dla komputerów Mac (w wersji beta).

Kiedy większość innych przeglądarek na rynku mówi o ochronie przed śledzeniem, zwykle ma na myśli ochronę przed plikami cookie innych firm i ochronę przed odciskami palców, a nasze przeglądarki nakładają te same ograniczenia na wszystkie skrypty śledzące innych firm, w tym te od Microsoftu. Mamy też wiele innych, wykraczających poza ochronę sieci zabezpieczeń, które dotyczą także skryptów Microsoftu (i wszystkich innych), np. globalną kontrolę prywatności, wygasanie plików cookie innych firm, przycinanie nagłówków odsyłaczy, nową obsługę zgód na pliki cookie (w wersji beta dla komputerów Mac), usuwanie danych z przycisków firefly (jedno kliknięcie) i wiele innych.

Artykuł ten dotyczy przede wszystkim innej, wykraczającej poza te ramy ochrony, której większość przeglądarek nawet nie próbuje stosować do ochrony stron internetowych, a mianowicie uniemożliwienia skryptom śledzącym innych firm ładowania się na stronach internetowych innych firm, ponieważ może to łatwo spowodować uszkodzenie stron internetowych. My jednak podjęliśmy się tego wyzwania, ponieważ zapewnia to lepszą ochronę prywatności i szybsze pobieranie plików. (…) Dzięki temu, że stosujemy ochronę wykraczającą poza to, co jest możliwe, a także oferujemy wiele innych unikalnych zabezpieczeń (np. ochronę Google AMP/FLEDGE/Topics, automatyczne uaktualnianie HTTPS, ochronę przed śledzeniem *innych* aplikacji w systemie Android, ochronę poczty e-mail blokującą trackery w wiadomościach wysyłanych do zwykłej skrzynki odbiorczej itd. Naszym celem zawsze było zapewnienie użytkownikom jak największej ochrony prywatności w jednym pliku do pobrania.

Problem polega na tym, że choć większość naszych zabezpieczeń, takich jak blokowanie plików cookie innych firm, ma zastosowanie do skryptów Microsoftu w witrynach innych firm (ponownie, dotyczy to DuckDuckGo.com, tzn. nie jest związane z wyszukiwaniem), to obecnie Microsoft na mocy umowy nie pozwala nam całkowicie uniemożliwić ładowania tych skryptów w witrynach innych firm (jest to zabezpieczenie wykraczające poza to, co opisano w ostatnim akapicie). Mimo to nadal je ograniczamy (np. nie zezwalamy na pliki cookie innych firm). Pierwotnym przykładem było załadowanie przez Workplace.com skryptu z LinkedIn.com. Niemniej jednak, w chwili obecnej pracujemy z firmą Microsoft nad zmniejszeniem lub usunięciem tego ograniczenia.

Rozumiem, że to wszystko jest dość zagmatwane, ponieważ to umowa dotycząca syndykacji wyszukiwania uniemożliwia nam robienie rzeczy niezwiązanych z wyszukiwaniem. Dzieje się tak dlatego, że nasz produkt jest pakietem wielu zabezpieczeń prywatności, a to jest wymóg dystrybucyjny nałożony na nas jako część umowy syndykacji wyszukiwania, która pomaga nam prywatnie wykorzystywać niektóre wyniki Bing, aby zapewnić użytkownikom lepsze wyniki wyszukiwania prywatnego. Wiele z tego, co widać na stronie z wynikami, zawiera treści z innych źródeł, w tym z naszych własnych indeksów (np. Wikipedia, listy lokalne, sport itp.), ale większość tradycyjnych linków i obrazów pozyskujemy prywatnie z Bing (choć ze względu na inne technologie wyszukiwania nasze wyniki linków i obrazów mogą nadal wyglądać inaczej). Tak naprawdę tylko dwie firmy (Google i Microsoft) posiadają wysokiej jakości globalny indeks linków internetowych (ponieważ uważam, że jego stworzenie kosztuje ponad miliard dolarów rocznie), a zatem dosłownie każda inna globalna wyszukiwarka musi korzystać z jednej lub obu z nich, aby zapewnić produkt wyszukiwania głównego nurtu. Podobnie jest z mapami — tylko największe firmy mogą sobie pozwolić na umieszczenie satelitów i wysłanie samochodów naziemnych, które zrobią zdjęcia streetview każdej okolicy.

Tak czy inaczej, mam nadzieję, że przybliżyło mi to pewien kontekst. Robiąc krok wstecz, wiem, że nasz produkt nie jest doskonały i nigdy taki nie będzie. Nic nie jest w stanie zapewnić 100% ochrony. Mamy też wiele ograniczeń: ograniczenia związane z platformami (nie możemy zaoferować wszystkich zabezpieczeń na każdej platformie z powodu ograniczonych interfejsów API lub innych ograniczeń), ograniczenia związane z umowami (jak w tym przypadku), ograniczenia związane z uszkodzeniami (blokowanie niektórych rzeczy całkowicie psuje wrażenia w sieci) i oczywiście rozwijający się wyścig zbrojeń w zakresie śledzenia, w którym nieustannie staramy się wyprzedzać. Dlatego też zawsze byliśmy bardzo ostrożni, aby nigdy nie obiecywać anonimowości podczas przeglądania stron poza naszą wyszukiwarką, ponieważ szczerze mówiąc, nie jest to możliwe. Pracujemy również nad aktualizacją opisów w sklepie z aplikacjami, aby było to bardziej zrozumiałe. Uważam jednak, że to, co oferujemy, jest najlepszym rozwiązaniem dla zwykłych użytkowników, którzy chcą prostej ochrony prywatności bez łamania zasad, i taka jest nasza wizja produktu.

Źródło: TechSpot, reddit

Motyw