• Anche gli ADS di Google indicati come malware

    Ed eccoci, ieri vi dicevo che c'erano problemi nella visualizzazione degli AdSense di Google con Avira, e oggi con l'aggiornamento del webcat di WebGuard arriva la sorpresa che non sorprende.

    Qualche settimana fa mi chiedevo sul forum come mai venissero bloccati gli ads di altre concessionarie perché incriminate di essere spyware (yieldmanager.com) a causa dei noti cookies ficcanaso, ed ecco che anche Google cade nella rete.

    Avviso
    Per tutelare la sicurezza dell'utente, viene impedito l'accesso a questa pagina.
    L'URL richiesto è stato identificato come pagina Web potenzialmente pericolosa.
    Per tutelare la sicurezza dell'utente, viene impedito l'accesso a questa pagina.
    Ulteriori informazioni sul motivo del blocco della pagina sono disponibili qui.
    Le istruzioni per la rimozione del blocco della pagina sono disponibili qui.
    (solo in tedesco e inglese).
    URL richiesto: http://googleads.g.doubleclick.net/


    Categoria/e:
    Malware
    Generato da AntiVir WebGuard 9.0.5.0Cosa fare?
    Ho già ricevuto due email questa mattina, abbastanza preoccupate di utenti che hanno visto questa roba.

    PURTROPPO Google non ci permette di disabilitare questo behavioural targeting della malora.

    Togliere gli AdSense? Rischiare che il proprio sito venga considerato dagli utenti come una sorta di megaspyware?

    Fino a quando questa brutta storia non si risolve, io tolgo tutto.


  • User Attivo

    Sinceramente in questi casi credo sia tutta questioni di punti di vista... Nello specifico del punto di vista del produttore dell'antispyware e dei suoi utenti (o meglio della loro cultura informatica).
    AdSense (o meglio i contenuti di http://googleads.g.doubleclick.net/ a quanto pare) può essere considerato spyware? Forse sì, considerando che una certa attività di "spia" viene svolta.

    Io credo che un utente scelga di usare questi prodotti se è particolarmente attento alla propria privacy; in questo caso l'antispyware fa il suo lavoro e blocca i contenuti di AdSense che sono in contrasto con questo desiderio degli utenti.

    Concettualmente mi sembra tutto corretto, ognuno fa il suo compito: AdSense cerca di raccogliere il maggior numero di informazioni dagli utenti per targetizzare al meglio gli annunci, l'antispyware blocca questi annunci per conto dell'utente che richiede la massima privacy.

    Dal punto di vista del gestore del sito (quindi il tuo) credo vadano, come sempre, considerati pro e contro di ogni scelta.
    Personalmente considererei il numero di utenti che riceveranno questa segnalazione e supponendolo basso risponderei alle loro email spiegando in dettaglio come stanno le cose. Per mia esperienza personale ho visto che i risultati che AdSense generalmente offre difficilmente vengono eguagliati da altri programmi pubblicitari.


  • C'è un problema che non consideri, ed è un problema potenziale serio.
    In Italia esiste l'obbligo del consenso informato per questo tipo di informazioni che vengono passate, non è sufficiente cambiare la noterella della privacy, che regolarmente nessuno legge.
    Quindi chi vede questo messaggio a ragione si chiede: chi vi ha autorizzato a raccogliere i miei dati personali? e a quanto ne so quei dati o parte di quei dati possono essere ritenuti dati personali, dato che potenzialmente identificano l'utente. E questo lo chiede a me, non lo chiede a Google, che infatti ha inserito una bella manleva nel suo contratto (in pratica, sono affari tuoi).
    E poi non è un bel vedere... entri in un sito e ti vedi questi banner.

    Ho notato qualche giorno fa che anche Yahoo ha rimosso gli ads di questi circuiti (utilizzavano yieldmanager se non ricordo male) su Yahoo Answer, anche perché c'erano state molte domande preoccupate degli utenti.

    Google dovrebbe offrire secondo me due codici ai publisher, uno pulito, senza queste porcherie, e l'altro comprensivo di questo tracciamento degli utenti.
    A che serve disattivarlo se poi i dati vengono raccolti lo stesso?


  • User Attivo

    archeoita, riguardo la parte a termini di legge non entro nell'argomento, non sapendone molto.
    Io credo si tratti sempre di punti di vista; personalmente non mi faccio tutte queste domande e non ho tutti questi timori riguardo la mia privacy quando navigo. Credo comunque che se avessi di questi timori probabilmente installerei un software come quello di cui parli tu, quindi questo mi comporterebbe (per mia scelta di utente) di vedere gli alert sui siti che utilizzano AdSense.

    Ma si tratta comunque di una libera scelta degli utenti che li installano (che credo siano una percentuale molto bassa). Questi utenti scelgono di tutelare al massimo la loro privacy, a costo di non riuscire a navigare pienamente sui (sempre più numerosi) siti che usano AdSense.

    Non ne farei nemmeno una colpa di Google; evidentemente il behavioural targeting (che non credo proprio sia una porcheria...) è ritenuto utile per massimizzare i guadagni. Google cerca naturalmente le soluzioni più performanti per se stessa (ma anche per gli inserzionisti, per i publisher e per i visitatori che vedranno annunci il più possibile pertinenti con il loro profilo). E' una tecnologia molto interessante che credo verrà utilizzata sempre più e che contraddistinguerà ancor maggiormente la differenza tra pubblicità online (targetizzata sul singolo visitatore) e la generica pubblicità offline.

    Insomma, si tratta di scelte. Se credi che il comportamento di AdSense sia troppo invasivo o se temi che un numero significativo di tuoi visitatori sperimenti i disagi legati all'antispyware puoi pensare di abbandonare il programma, rinunciando ai ricavi che genera. Come dicevo si tratta di ponderare pro e contro...


  • @apusoft said:

    archeoita, riguardo la parte a termini di legge non entro nell'argomento, non sapendone molto.
    Io credo si tratti sempre di punti di vista; personalmente non mi faccio tutte queste domande e non ho tutti questi timori riguardo la mia privacy quando navigo.
    La legge non ammette ignoranza da parte di chi commette un reato.
    Io continuo a sostenere che in Italia si sta prendendo sottogamba questo aspetto, della serie, chissenefrega, se mai mi verranno poi a cercare.
    Se un utente chiede spiegazioni, e lo fa a diritto, tu, che sei il titolare del trattamento dei dati che cosa gli rispondi?
    Rispondi: Io non so come vengono utilizzati questi dati, vai da google e chiedilo a lui? e se pretende, come la legge gli consente, di bloccare la raccolta dei dati cosa fai? Molti non si lamentano perché NON SANNO che cosa accade mentre navigano e non perché non si preoccupano (e non si preoccupano perché non sanno).
    Il behavioural targeting è in grado di profilare un utente, poi tendenzialmente tendo a fidarmi più di Google che di altri del settore, ma questo non cambia nulla dal punto di vista del publisher, che di fronte alla legge rimane l'unico responsabile.
    Io non ho approfondito la cosa, ma ho raccolto diversi pareri (di avvocati) e ho molti più dubbi che certezze.
    Sottolineo che il messaggio era solo per segnalare il problema e magari discuterne serenamente, poi è ovvio che uno fa le scelte che vuole e valuta tutto il valutabile.


  • Un'ultima cosa.
    AVIRA è a conoscenza del problema e sta valutando la segnalazione. In caso di falso positivo del suo filtro malware del webguard probabilmente provvederanno a breve.
    Vi terrò informati.


  • User Attivo

    Come già detto non entro nella questione legale data la mia ignoranza in materia.

    Mi limito invece a ripetere il succo del mio pensiero, cioè che si tratta di fare una scelta fra il supporto economico che un programma come AdSense può offrire e l'assoluta garanzia (se possibile) della privacy dei tuoi utenti.
    Come si sarà capito dai miei interventi io non temo sistemi come il behavioural targeting, credo che verranno utilizzati sempre più in futuro e che potranno alla fine rivelarsi positivi anche per gli stessi utenti a cui sono applicati. In ogni caso gli utenti che vorranno tutelarsi da questi meccanismi potranno sempre ricorrere a blocchi di vario tipo.
    Il gestore del sito dovrà valutare l'entità di questi possibili utenti infastiditi dall'analisi del proprio comportamento online e scegliere la via da perseguire.

    Confermi di aver scelto di rimuovere AdSense dal tuo sito, archeoita?


  • @apusoft said:

    Confermi di aver scelto di rimuovere AdSense dal tuo sito, archeoita?

    Perché me lo chiedi?
    Dai miei siti principali l'ho rimosso, rimangono su pochi siti.
    Attendo delucidazioni da Avira, se si tratta di un falso positivo e rimuovono il blocco, allora per ora li rimetto, ma mi riservo di valutare quando avrò un attimo di tempo e definitivamente la questione legale (perché è questo il nocciolo della questione, mi riferisco al nostro scambio, non tanto all'oggetto del thread).


  • Super User

    Ma credo che i "dati personali" non siano inclusivi delle preferenze sulla navigazione internet. Credo che i dati personali siano nome, cognome, abitudini sessuali, religiose, ecc.
    Poi non so , ma pare di ricordare così.
    Però io affronterei il problema diversamente : visto che un buon 80 % dei siti web ha annunci Google, non saranno solo i tuoi visitatori ad essere preoccupati ma ...tutti quelli che visitano siti con AdSense ( 80 % ).
    Il problema , a mio modesto avviso, non è di Google, ma degli anti-malware che hanno soprasseduto sul problema, infischiandosene.
    Sul problema della domanda che l'utente non legge le note sulla privacy e si chiede "chi vi ha autorizzato a raccogliere i miei dati" secondo me non si pone : se non legge la nota sulla privacy non sa nemmeno che il log file del server registra il suo IP, le pagine visitate, il browser utilizzato, i colori ecc. e quindi...
    E l'IP è un dato che consente l'identificazione del visitatore.
    Diciamo pure, a mio avviso, che molti antimalware sono più invasivi di quello che si pensa : pensa che già molto prima che Google introducesse la pubblicità basata sugli interessi, Avira ha segnalato a dei miei visitatori che uno dei miei siti conteneva malware !!!! Ed era solo Google!


  • User Attivo

    archeota, lo chiedo per sapere se hai proprio deciso di rinunciare ad AdSense per questo motivo.
    Facci sapere come evolve la questione con Avira, è una cosa interessante...

    Quoto quanto espresso da bluwebmaster; mi ritrovo anch'io in questo pensiero.


  • L'IP consente l'identificazione della persona e i cookies consentono di riconoscere quella persona, in questo caso avviene una profilazione degli utenti e questo DEVE essere autorizzato espressamente dall'utente.
    E' come quando firmate quei moduli in contratti vari, tessere e altre amenità e a parte vi viene RICHIESTA la firma per autorizzare la CESSIONE A TERZI per il trattamento dei dati per finalità di rilievo statistiche, marketing etc... quel consenso deve essere informato ed espresso dall'utente.

    Tutt'altra cosa sono i cookies che permettono la navigazione degli utenti sul sito e che non raccolgono dati personali COLLEGATI a quell'IP, e soprattutto NON LI CEDONO a terzi.

    I cookies di Google sono in grado di ricostruire tutto il percorso di navigazione di quell'utente su tutti i siti che presentano gli scripts di AdSense, e questi dati vengono ceduti a terzi (e i responsabili siamo noi) e di questi dati noi non abbiamo la minima idea di come vengano trattati.


  • @apusoft said:

    archeota, lo chiedo per sapere se hai proprio deciso di rinunciare ad AdSense per questo motivo.
    Diciamo che questa cosa a me non va molto a genio, soprattutto faccio fatica ad accettare il fatto che non si possa bloccare la raccolta di questi dati... cioè ora uno rinuncia, da quello che ho capito, disattivandolo a "beneficiare" dei vantaggi del BT, ma i dati vengono comunque raccolti.
    L'idea di essere profilati durante la navigazione in rete a me non va molto a genio, questo in linea di principio.
    Per ora ho rimosso, immagino che AVIRA sistemerà la cosa (dall'altra parte c'è Google, quindi prima di crearsi dei fastidi credo che ci penseranno mille volte), ma il mio obbiettivo è quello di non dipendere più economicamente da AdSense e quindi sì, di togliere tutto (ma ora come ora non è fattibile).


  • Ho scaricato gli ultimi aggiornamenti, poco fa, anche alcune librerie modificate... ho riavviato e ora gli annunci vengono nuovamente visualizzati.
    Evidentemente era un problema di ieri-oggi.
    Meglio così, se riceverò notizie da AVIRA comunque vi informerò sperando che la cosa interessi.


  • User Attivo

    @archeoita said:

    L'IP consente l'identificazione della persona e i cookies consentono di riconoscere quella persona, in questo caso avviene una profilazione degli utenti e questo DEVE essere autorizzato espressamente dall'utente.

    Personalmente su questo non sono d'accordo. Per me non sono dati personali perchè non consentono assolutamente la mia identificazione come soggetto... In effetti non ha alcun timore a navigare in Internet (attualmente sono anche senza antivirus :-)).

    L'Ip "nasconde" molto bene l'identità di una persona a meno di ricerche espressamente autorizzate dalla magistratura. Oltretutto se consideriamo che il 95% degli Ip di navigazione è dinamico è davvero impossibile per Google associare una persona a determinati comportamenti... la profilazione è solo generale, come un comportamento anonimo e di massa, e non viene mai identificata la persona.

    Diciamo che assomiglia molto più alla profilazione che fanno nei supermercati quando cercano di capire dove devono essere meglio posizionati gli oggetti per essere venduti di più, i dati dei comportamenti dei clienti vengono raccolti, ma non essendo alcun collegamento personale alle persone non c'è alcun problema di privacy...

    Per me non rientra nella legge sulla privacy, mentre rientra certamente il secondo esempio che hai fatto, perchè ovviamente lì si conosce nome e cognome della persona...

    Sarebbe interessante porre il quesito in ambito legale...


  • User Attivo

    Sorry doppio post.


  • Se intervenisse qualcuno esperto (nel senso che ha un background legale) tanto meglio.
    Da quello che so io però l'IP è considerato un dato personale, dato che serve ad identificarti univocamente in rete, poco importa che sia dinamico o statico, anche perché in questo caso, chi ci dice che con i cookies loro non siano poi in grado di identificarti anche quando cambi IP o cancelli i cookies?
    Loro sanno quanti siti AdSense hai visitato, quali sono le tue preferenze, e chissà cos'altro.
    Vi ricordate come erano considerati in passato, parlo di 4-5 anni fa questi cookies? Come mai oggi sono accettati come la normalità?

    Io ho chiesto in diversi luoghi in rete (legati alle problematiche del diritto) tempo fa, e il consiglio era quello di evitare di mettere AdSense per il momento.
    Ovviamente si sta solo discutendo, questa è solo la mia opinione.


  • Super User

    In ultima analisi credo che tu abbia fondamentalmente ragione, visto anche la tua esperienza in merito.
    Tuttavia faccio qualche considerazione , personale ovvio.
    L'IP è un dato personale: in giurisprudenza equivale a dire che per ogni visitatore del tuo negozio tu, a sua insaputa e con un cartello piccolo piccolo dietro la cassa che lo avvisa, prendi il numero di targa dell'auto che ha parcheggiato nel tuo parcheggio riservato!
    Contrariamente al numero di targa però l'IP ti serve a ben poco se non c'è un procedimento legale perchè le compagnie telefoniche inoltrano solo ai magistrati i dettagli di chi ha utilizzato quell'IP in quel giorno e in quell'ora, mentre dalla targa , ahimè, oggi in Italia è ancora possibile, senza alcun procedimento o giudizio in corso, risalire alla persona e ai suoi dati.
    Ora "raccogliere" i tuoi gusti, le tue frequentazioni dei siti web, a mio avviso e salvo miglior interpretazione, non costituisce una vera violazione della tua privacy, soprattutto se da qualche parte hai un avviso che lo fai.
    E' come una recente sentenza della Suprema Corte di Cassazione che ha determinato in fatto e in diritto che non esiste violazione di Privacy per le telecamere installate nei condomini! Eppure è convinzione di molti che sia una violazione della privacy, ma la giurisprudenza l'ha smentita.
    Il vero problema del web è che non esiste una regolamentazione vera nata specificatamente per internet,ma si deve ricorrere ai Codici esistenti che alla ben meglio possono solo metterci una "pezza" al vuoto legislativo spesso drammatico.
    Senza considerare che la legge sulla Privacy è mal interpretata e lacunosa.
    Anche alcuni programmi, per tornare sull'argomento, tracciano i visitatori di un sito determinando da dove proviene il visitatore, quanto tempo è rimasto e su quali pagine, la sua localizzazione, che SO ha installato, ecc.
    Eppure per questi non ci poniamo il problema.
    Problema che, a mio avviso, è insito nei programmi antimalware che sono troppo invasivi nella loro ricerca spasmodica di "intrusi" e rendono la navigazione spesso praticamente impossibile o difficoltosa.
    Se Avira interviene sui siti che espongono AdSense, i "fortunati" possessori di Avira non potranno navigare sui siti AdSense : se solo oscurano gli ADS , a mio avviso e salvo miglior interpretazione, stanno commettendo un illecito sia nei confronti del publisher che di AdSense.
    AVira dovrebbe difenderti dai veri "intrusi" ma per farlo non può generalizzare secondo me. Difatti credo che a breve apporteranno delle modifiche.


  • @bluwebmaster said:

    Se Avira interviene sui siti che espongono AdSense, i "fortunati" possessori di Avira non potranno navigare sui siti AdSense : se solo oscurano gli ADS , a mio avviso e salvo miglior interpretazione, stanno commettendo un illecito sia nei confronti del publisher che di AdSense.
    AVira dovrebbe difenderti dai veri "intrusi" ma per farlo non può generalizzare secondo me. Difatti credo che a breve apporteranno delle modifiche.
    Mah... su questo non sono d'accordo con te, in fondo, né più né meno questi cookies sono degli spyware. Mi meraviglio che alcuni vengano bloccati e altri no, ma immagino che dipenda dal peso specifico di chi li propaga.
    Il discorso quanto sopra però, secondo me, è valido anche e soprattutto per il fatto che questi dati non vengono trattati da te, ma sono CEDUTI o ancor peggio, RACCOLTI da terzi, non solo, ma noi non siamo nemmeno sicuro che vengano poi TRATTATI solo da Google (doubleclick in questo caso) e non invece poi ulteriormente TRASFERITI (venduti o chissà cosa) a terzi.
    Quindi in definitiva noi non possiamo dire al nostro utente chi li sta trattando e per quali finalità.
    Anche per la raccolta e l'anonimizzazione successiva dei dati è richiesta comunque l'autorizzazione espressa dal cliente.
    Vedi, il fatto è che la stragrande maggioranza degli utenti non sa che questo avviene, se lo sapesse credi che tutti farebbero finta di niente?
    Non a caso Google ha inserito una bella manleva nel contratto: della serie noi li raccogliamo e li utilizziamo e poi dal punto di vista giuridico sei tu il solo e unico responsabile, affari tuoi.


  • Super User

    Su questo ti do ragione.
    Tuttavia penso che il 90 % dei navigatori , tutto sommato, non gli interessi gran chè che qualcuno raccolga quel tipo di informazioni.
    Un conto è il malware un altro ...lo spyware, e se lo spyware non procura danni a molti, alla stragarnde maggioranza , non interessa gran che.
    Riguardo la manleva inserita da Google sai non sono convinto che abbia un valore legale : se tu dai in affitto un tuo appartamento, il tuo inquilino non può inserire nel contratto d'affitto che il responsabile dei suoi comportamenti sei tu.
    Se commette un reato la responsabilità è solamente sua. A meno che tu non sappia a priori che la casa sara finalizzata al delinquere, allora sei corresponsabile.


  • User Attivo

    Mah...

    io rimango della mia opinione.

    I dati sugli utenti raccolti dai siti AdSense non vengono utilizzati per identificare personalmente gli utenti, così come non vengono pubblicati annunci basati su dati personali. Inoltre, non vengono pubblicati annunci basati su dati o categorie di interessi sensibili, ad esempio quelle basate su criteri di razza, religione, orientamento sessuale, condizioni di salute o informazioni finanziarie sensibili, senza il consenso dell'utente.

    D'altronde illustri giuristi sono rimasti "scornati" da sentenze della Cassazione... occorrerebbe un una sentenza, una causa portata a termine... finchè non ci sarà una cosa del gneere a me sembra plausibile che non occorra alcun consenso da parte dell'utente...