เมื่อวันศุกร์ที่ผ่านมา Wall Street Journal ได้เผยผลงานวิจัยจากนักวิจัยของมหาวิทยาลัยสแตนฟอร์ด ซึ่งเขาได้พบช่องโหว่บนเบราว์เซอร์ Safari ที่ทำให้ผู้ให้บริการโฆษณารวมถึงกูเกิลสามารถติดตามพฤติกรรมการเข้าเว็บไซต์ต่างๆ ผ่านทางไฟล์คุกกี้ได้
โดยปกติแล้ว Safari จะยอมรับไฟล์คุกกี้จากเว็บไซต์ที่ผู้ใช้เข้าถึงเท่านั้น และจะบล็อคไฟล์ดังกล่าวหากมาในรูปแบบอื่นซึ่งผู้ให้บริการโฆษณามักจะแอบฝังมา แต่นักวิจัยดังกล่าวกลับพบว่าผู้ให้บริการโฆษณาก็ยังสามารถหลอกล่อผู้ใช้ให้สามารถรับไฟล์คุกกี้ได้อย่างไม่ตั้งใจอยู่ดี
ในกรณีของกูเกิลนั้น บริษัทได้ฝังปุ่ม "+1" ที่ถูกสร้างขึ้นจากเทคโนโลยี DoubleClick ไว้ตามโฆษณาต่างๆ ที่อยู่ในรูปของ "iframe" (container ที่มองไม่เห็นที่ยอมให้คอนเทนต์จากเว็บไซต์นึ่งสามารถถูกฝังอยู่ในอีกเว็บไซต์หนึ่งได้) จากจุดนี้กูเกิลสามารถระบุได้ว่าผู้ใช้เข้าเว็บผ่าน Safari และสามารถใส่ข้อมูลในรูป form ที่มองไม่เห็นลงไปใน iframe นั้นได้ ซึ่ง form ดังกล่าวจะ submit ข้อมูลโดยอัตโนมัติ และเนื่องจากเหตุการณ์นี้ดูเหมือนผู้ใช้ได้ submit เอง ทำให้ Safari ยอมรับไฟล์คุกกี้จากกูเกิลมาเก็บในเครื่องได้
เหตุการณ์นี้จะเกิดขึ้นก็ต่อเมื่อผู้ใช้ล็อกอินเข้าบริการ Google+ และตกลงยอมรับที่จะเห็นโฆษณาที่มีปุ่ม +1 เท่านั้น ถึงแม้ว่าไฟล์คุกกี้จะมีอายุเพียง 24 ชั่วโมงเท่านั้นแต่ไฟล์คุกกี้หนึ่งก็อาจเปิดช่องให้ Safari รับไฟล์คุกกี้อื่นได้อีกเนื่องจากเบราว์เซอร์ดังกล่าวจะยอมรับไฟล์คุกกี้จากเว็บไซต์นั้นอีกหากเคยยอมให้ไฟล์คุกกี้จากเว็บไซต์เหล่านั้นมาเก็บอยู่ในเครื่องแล้ว
กูเกิลก็ได้เริ่มลบไฟล์คุกกี้เพื่อการโฆษณา (advertising cookie) จาก Safari ทันทีเมื่อ Wall Street Journal แจ้งให้ทราบ พร้อมกับออกมาขอโทษว่าระบบปุ่ม +1 จะทำให้กูเกิลสามารถติดตามพฤติกรรมการเข้าเว็บไซต์จากไฟล์คุกกี้ได้ แต่กูเกิลก็ยังยืนยันว่าไฟล์คุกกี้นี้ไม่ได้มีข้อมูลส่วนบุคคลของผู้ใช้แต่อย่างไร ส่วนทางแอปเปิลก็แจ้งว่าบริษัทกำลังหาวิธีหยุดยั้งการละเมิดนโยบายความเป็นส่วนตัวบน Safari อยู่
เรื่องนี้คงจะไม่จบลงโดยง่ายแล้ว เพราะล่าสุดผู้แทนจากมลรัฐแคลิฟอร์เนีย Mary Bono Mack ได้เรียกกูเกิลเข้ามาชี้แจงในเรื่องนี้แล้ว โดย Bono Mack กล่าวว่าถึงแม้กูเกิลจะไม่ตั้งใจแต่บริษัทก็ควรเปิดเผยต่อสาธารณชนว่าได้เก็บข้อมูลอะไรจากผู้ใช้บ้างและจะใช้ข้อมูลดังกล่าวอย่างไร แต่ก็น่าจะเป็นการดีที่กูเกิลควรจะเข้ามาหารือวิธีการที่จะปกป้องความเป็นส่วนตัวของผู้ใช้ในอนาคต
ที่มา: Wall Street Journal, USA Today
Comments
คุ๊กกี้ -> คุกกี้
บริษัทก็ควรเปิดต่อมาธารณชนเผยว่า -> บริษัทก็ควรเปิดเผยต่อสาธารณชนว่า
เห็นด้วยครับ
คุก เป็นเสียงวรรณยุกต์ตรีอยู่แล้ว ไม่จำเป็นต้องเติมวรรณยุกต์ตรีครับ
แก้แล้วครับ
ว.2 ครับ
งานเข้าเลยทีเดียว ว่าแต่แบบนี้เค้าเรียกว่าไม่ตั้งใจได้อีกหรอครับ = ="
จากข้อความ "เหตุการณ์นี้จะเกิดขึ้นก็ต่อเมื่อผู้ใช้ล็อกอินเข้าบริการ Google+ และตกลงยอมรับที่จะเห็นโฆษณาที่มีปุ่ม +1 เท่านั้น"
ปล. ดังนั้นก็ไม่เห็นว่า google จะทำผิดอะไรนี่ครับ.. มันเป็นข้อบกพร่องของ safari เองต่างหาก (เอ๊ะ หรือว่าผมจะเอียง)
เอ๊ะ แล้วเบาว์เซอร์อื่นไม่เป็นเหรอ
Google ผิดเหรอ นึกว่า Browser จะผิดซะอีก
กรณีแบบนี้ถือว่าเป็นการแฮ็คเล็กๆ ครับ เพราะว่าวิธีนี้เป็นการใช้ผลประโยชน์ของช่องโหว่เพื่อทำประโยชน์ให้กับตัวเอง
กรณีที่ผู้ใช้งานทราบช่องโหว่ ก็ควรแจ้งให้ทางผู้พัฒนารีบทำการอุดช่องโหว่นั้นครับ เพราะลำพังผู้พัฒนาเองไม่สามารถหาช่องโหว่เจอได้ทั้งหมด ก็ต้องอาศัยความร่วมมือของผู้ใช้ช่วยรายงานเข้าไปให้ทราบครับ
แอปเปิลผิดมั้ย ... แล้วแต่วิจารณญาณครับ แต่มองในฐานะผู้พัฒนา เสียชื่อครับ แต่ไม่ผิด
แล้วปุ่ม facebook like ล่ะ รอดไหม
เอ แล้ว iAd มันเก็บข้อมูลยังไงน้อ...
The Cake is a Lie
Google ยังทำแบบเดียวกันนี้กับ IE ด้วยนะครับ
MSDB : Google Bypassing User Privacy Settings