Evercookies bruker flere datainnsamlingsmetoder for å gjøre det svært vanskelig for en vanlig nettbruker å kvitte seg med tredjeparts informasjonskapsler. Her illustreres sletting av en HTTP cookie som fører til gjenopprettelse fra en såkalt Flash-cookie. (Bilde: Gunes Acar)

ZOMBIE-COOKIES

Disse informasjonskapslene får du ikke fjernet. Selv om du sletter dem

Kalles «Zombie-cookies».

Har du lagt merke til at Facebook og Google greier å snike fram annonser som vil selge deg mobiltelefonen du studerte i en nettbutikk for 5 minutter siden? Fremgangsmåten er svært utbredt og er kjent som informasjonskapsler, eller cookies.

Innholdet i tekstfilene kan ikke skade datamaskinen, men de kan brukes på måter som likevel avslører mye om deg for annonsører.

Gjennom Forbes og Wired ble det nylig kjent at de amerikanske mobilgigantene AT&T og Verizon har brukt en type informasjonskapsler på mobiltelefoner som vanskelig lar seg slette. Det vil si: De lar seg slette, men gjenoppstår igjen raskt etter. Derav navnet «zombie cookies».

Gjennom Propublica, har det også blitt kjent at Twitter har brukt denne typen informasjonskapsler aktivt.

Les også: Snart skjer det noe drastisk med mobilsamtalene dine

Ikke bare småkaker

Cookies er små tekstfiler som lagrer seg lokalt på datamaskinen i samarbeid med nettleseren og det nettstedet man befinner seg på. Disse små filene gjør livet på internett enklere. De lar deg enkelt forbli innlogget på et nettsted, uten at du trenger å logge seg inn på nytt for hver ting du foretar deg.

Det er også disse filene som gjør at handlekurven i en nettbutikk ikke forsvinner så fort du kikker på et nytt produkt. Uten cookies vil nettsurfing være langt mer frustrerende og informasjonen brukes normalt ikke til noe utover å gjøre det tilknyttede nettstedet mer brukervennlig.

Men en cookie er ikke en bare en cookie. Det finnes flere typer, noen kan brukes på måter som mange vil mene skrider over grenser innen privatliv.

Tredjeparts informasjonskapsler (third-party cookies) er en yndet type informasjonskapsel blant mange annonsører. Dette er informasjonskapsler som kommer fra et annet nettsted enn det du besøker. De samler inn informasjon om hvor du har vært og hva du har gjort på andre sider, og de gir annonsører grunnlag for svært kvalifiserte gjetninger på brukerne.

Les også: Tjener rått på bombrikker - nå blir de belønnet med teknologipris

Zombier i storkapitalens tjeneste

Selskapet bak zombie-kapslene som nå har kommet i søkelyset heter Turn. Det et stort selskap som tilbyr tjenester innen digitale annonser. Ifølge Propublica blir deres tjenester benyttet av alle fra Google til Facebook. Twitter har nylig blitt avslørt som en aktiv bruker av denne udødelige sporingskoden.

Kapslene tar utgangspunkt i en unik ID-kode som Verizon har implementert på enhetene de selger.

«Dataene kan bli brukt av enhver side – selv de som ikke har et forhold til telekomselskapene – for å bygge opp en mappe om personens oppførsel på mobile enheter, inkludert hvilke apper de bruker, hvilke sider de besøker og hvor lenge», skriver Propublica, som også lar deg sjekke om mobilleverandøren din bruker denne koden.

Les også: Sjekk ut Microsofts gærne fremtids-prosjekt

– Fjerning ikke pålitelig

Propublica hevder at i tillegg til at informasjonskapselen ikke kan slettes på vanlig måte, er den også er svært komplisert å reservere seg fra. Turn er naturligvis uenig og mener at det er viktig at brukere gir tydelig beskjed om at de ikke ønsker å bli sporet.

– Fjerning av informasjonskapsler er ikke en pålitelig metode for en bruker til å uttrykke sitt ønske om å ikke motta skreddersydd reklame. Turn respekterer absolutt en forbrukers utmeldingspreferanse når det uttrykkes på eneste måte den online annonseindustrien er sikker på å anerkjenne, skriver Max Ochoa som er sjef for personvern i Turn i en pressemelding som tilsvar til mediedekningen.

To dager etter utspillet ble informasjonskapselen suspendert av Turn. Men kun midlertidig for «re-evaluering».

Hadde Verizon, AT&T og Turn vært norske aktører, hadde de risikert straffereaksjoner.

– Nkom er kjent med såkalte «zombie-cookies» som ikke enkelt lar seg slette i brukers nettleser. Cookies som medfører uautorisert tilgang og lagring på brukers terminalutstyr vil være brudd på den norske cookies-bestemmelsen i ekomloven, sier seniorrådgiver i Nasjonal kommunikasjonsmyndighet Elise Lindeberg.

Les også: Med denne hjelmen kan du navigere, se bak deg, høre på musikk og snakke i telefonen

Cookie-lov

I Norge er informasjonskapsler lovregulert gjennom paragraf § 2-7 b i ekomloven (Lov om elektronisk kommunikasjon) siden 2013. Paragrafen blir på folkemunne også kalt «cookie-paragrafen».

Her gjør lovverket det klart at lagring av opplysninger ikke er tillatt uten at «brukeren er informert om hvilke opplysninger som behandles, formålet med behandlingen, hvem som behandler opplysningene, og har samtykket til dette.»

Overtredelse av ekomloven kan straffes med bøter.

– Norske aktører og nettsider er omfattet av cookie-bestemmelsene uavhengig av hvilken adresse de opererer under på internett, sier Lindeberg.

Reglene gjelder altså selv om adressen ender på for eksempel .com eller .net.

Men når det kommer til innsamling av cookies fra utlandet, blir det vanskeligere å håndheve cookie-paragrafen.

– Utenlandske nettsider som ikke er rettet spesifikt mot norske brukere, og der aktøren bak siden ikke har en norsk juridisk identitet i form av en registrering i Brønnøysundregistrene vil ikke omfattes av den norske cookie-bestemmelsen, slår Lindeberg fast.

– Cookie-bestemmelsen er innført i Norge og EU ved et EU-direktiv. Europeiske nettsider vil således også være underlagt cookie-bestemmelser i det landet de opererer fra, sier Lindeberg.

Les også: Nytt dataprogram skal være «uslåelig» i poker

Evercookie

Selv om det ikke er kjent at zombie-kapslene fra Turn brukes av norske mobilleverandører, betyr ikke dette nødvendigvis enden på visa om informasjonskapslene som gjenoppstår fra papirkurven.

Det fins flere typer uslettbare cookies. Såkalte «evercookies» er javascript-baserte informasjonskapsler i åpen kildekode. De er ikke er helt umulig å slette, men så vanskelig at selv teknisk godt bevandrede mennesker vil måtte gå gjennom en strevsom prosess for å slette dem helt.

Evercookie-kapslene lagrer seg lokalt ved hjelp av 13 ulike metoder, for eksempel ved hjelp av vanlige HTTP-cookies, PNG-cookies og LSO-data (Flash-cookies). Greier du ikke slette dem alle sammen, vil informasjonskapselen gjenopprettes fra dem du ikke fant.

Som utvikleren selv påpeker på evercookies´ Github-side: «Evercookie er en javascript-API som produserer ekstremt standhaftige informasjonskapsler i en nettleser».

Flere store nettsteder har blitt tatt i å benytte seg av slike «udødelige» cookies, skriver Digi.no.

Les også:

Norskutviklet antenne kan gi billigere bredbånd på bygda

Disse 20 oppstartsbedriftene bør du følge med på i 2015

8 morsomme ting du kan bruke Kartverkets data til