Quantcast http://pixel.quantserve.com/pixel request 302 redirige a Facebook y otras redes publicitarias

28

Acabo de pasar unas horas investigando lo que pensé que podría ser una extensión maliciosa de Chrome (usando una herramienta de desarrollador para auditarlos, ¡muy recomendable!), Un problema de inyección de ISP / DNS o una infección de malware, pero lo mejor que puedo decir es que esto ocurre Una respuesta legítima de los servidores de píxeles de Quancast . Ahora he podido reproducir el problema en varias computadoras, navegadores e ISP, y estoy bastante seguro de que las respuestas provienen de sus servidores; Simplemente no sé por qué. Después de consultar sus Preguntas frecuentes y Política de privacidad No veo ningún detalle sobre este tipo de actividad, y estoy muy preocupado por qué estas redirecciones a rastreadores de terceros se inyectan ocasionalmente en nuestro sitio web y qué información se recopila sobre nuestros usuarios.

Mientras visitaba area51.stackexchange.com, uno de nuestros empleados notó una extraña solicitud de ad.360yield.com, que parece ser una compañía de análisis llamada Digital mejorada . Mientras investigaba, descubrí que las solicitudes a http://pixel.quantserve.com/pixel ocasionalmente recibían 302 respuestas de redireccionamiento a varias redes publicitarias y compañías de análisis. La forma más fácil de probar esto fue visitar un sitio medido directamente por Quantcast como SO / SF / SE y usar la pestaña de red de las herramientas de desarrollo F12 (con "Deshabilitar caché" marcado) para verificar dominios sospechosos (haga clic con el botón derecho para agregar esta columna) o 302 respuestas inesperadas de la solicitud de píxeles. Hasta ahora he podido ver las siguientes 302 respuestas:

ad.360yield.com/match?publisher_dsp_id = ... (este capturado en IE) ad.360yield.com/match

y otro 360yield al visitar la página de inicio de Stack Overflow: ad.360yield.com de SO

www.facebook.com/tr?id = .... & cd [prospecting] = T -.... (¿POR QUÉ ES ESTO EN EL ÁREA51?) www.facebook.com/tr prospección

stags.bluekai.com / ...? id = ... (empresa de análisis adquirida por Oracle ) stags.bluekai.com

bh.contextweb.com/bh/rtset?do=add ... (este capturado usando el proxy fiddler) bh.contextweb.com

tap.rubiconproject.com/oz/feeds/quantcast-pmp/tokens?afu = ... tap.rubiconproject.com

También vi redirecciones a: analytics.twitter.com , ads.yahoo.com , e.nexac.com/e/quantcast_sync.xgi, ce.lijit.com, x.bidswitch.net, delivery.swid.switchads.com, rtb-csync.smartadserver.com y soma.smaato.net

Parece que esto ha estado sucediendo al menos desde diciembre de 2014 , pero no he podido encontrar ninguna información sobre por qué Quantcast redirige a rastreadores de terceros que no sean esta breve propaganda de Ghostery (la bonificación de ese enlace también tiene exclusión voluntaria y contacto de privacidad detalles):

Creemos que esta empresa facilita o participa en la orientación basada en intereses de terceros.

Entonces mi pregunta es: al optar por los servicios "Measurement & Insight" de Quantcast, que no deberían requerir que se vinculen a múltiples rastreadores de terceros, ¿a qué más hemos expuesto a nuestros usuarios?


16 de diciembre de 2015 Actualización rápida: Acabamos de tener una gran reunión con Quantcast sobre cómo funciona su baliza. Dieron una explicación de alto nivel del proceso y planean proporcionar más detalles técnicos como respuesta aquí una vez que tengan tiempo para escribir una respuesta. Si algún webmaster tiene más preguntas, le recomiendo contactar a su representante de cuenta o usar su formulario de contacto .

También indicaron que la baliza se puede deshabilitar a través de la sección de configuración de nuestro perfil de Quantcast y que apagarla no afectará nuestro uso del servicio Quantcast Measure. Confiamos en que no ocurra nada nefasto, ya que tienen salvaguardas para proteger la privacidad del usuario y no usan explícitamente el tráfico de usuarios SO / SE (o cualquier sitio específico) directamente en ningún algoritmo de orientación. Pero apreciamos la capacidad de optar por no recibir la señal y planear apagarla.

Greg Bray
fuente
3
Y esta es otra razón por la cual los análisis y la publicidad de terceros deberían morir y arder en el infierno. ¿Quieres análisis? Hágalo en el servidor y no viole la privacidad de su usuario.
André Borie
¿Podría confirmar que esto estaba (o no) apagado? También aviso que Quantcast nunca he encontrado tiempo para publicar una respuesta aquí ...

Respuestas:

10

Términos de servicio de Measure Measure ( https://www.quantcast.com/terms/measure-terms-service/ ) Sección 6:

Los servidores de Quantcast pueden optar por responder ocasionalmente a la etiqueta de cualquier editor redirigiendo el navegador a una baliza anónima de terceros para admitir la provisión de servicios de Quantcast en el mercado. La decisión de balizar no está relacionada con usted, el editor, su tráfico o su base de usuarios.

mbc
fuente
¡Gracias! Parece que nos perdimos esa sección. De acuerdo con web.archive.org/web/20111018183116/http://www.quantcast.com/… parece que esa sección ha estado en sus TOS al menos desde octubre de 2011 y también incluía un enlace que describía qué una baliza anónima fue. Transmitiré esto a los poderes fácticos para que puedan decidir si los términos son aceptables o si deberíamos buscar un método alternativo para medir el tráfico.
Greg Bray
1
No estoy seguro de cómo pueden afirmar que es anónimo cuando parece que incluye directamente información del usuario (por ejemplo, un valor distinto de cero external_user_id) en sus redireccionamientos; esto es utilizado por la coincidencia de cookies de Mejorar Digital: webcache.googleusercontent.com/… - ver página 10 donde dice explícitamente "Si no desea que el usuario coincida con las cookies, puede devolver un external_user_id de 0"
Michael Hart
5

Sospecho que se trata de una coincidencia de cookies con varios proveedores de datos / análisis de audiencia y compañías publicitarias.

Parece estar cubierto en su política de privacidad , aunque de forma bastante vaga:

Podemos compartir con terceros No PII, incluidos ciertos Datos de registro, como parte de proporcionar y mejorar nuestros productos de Medición y Publicidad. Por ejemplo, podemos divulgar dichos datos a empresas involucradas en la entrega o visibilidad de anuncios.

En cuanto a si realmente cuenta como "no PII" (información de identificación personal), creo que es muy discutible. Si de hecho coinciden con identificadores únicos, entonces sí, no están compartiendo ninguna información "extra", pero aún están permitiendo que terceros rastreen al mismo usuario y los relacionen con cualquier información que tengan en su sistema, que es claramente identificable personalmente.

Michael Hart
fuente
2
Eso sería mucho más apetecible si estuviéramos usando alguno de sus productos "Quantcast Advertise", pero que yo sepa, no lo somos. Solo usamos sus servicios "Medida de Quantcast" para medir el tráfico y la demografía general, por lo que los enlaces a nuestros usuarios a través de Facebook / Twitter y otros sitios parecen muy sospechosos y deben mencionarse explícitamente en sus TOS / Preguntas frecuentes
Greg Bray
Se puede encontrar otra reseña
Greg Bray