X-Git-Url: http://pere.pagekite.me/gitweb/homepage.git/blobdiff_plain/5ce7114b343d593c6986bbe442ba0d336e659bb0..d53d22dfe29d299c3482f85d148df12e4bcfef9b:/blog/draft/2013-03-28-google-analytics.txt diff --git a/blog/draft/2013-03-28-google-analytics.txt b/blog/draft/2013-03-28-google-analytics.txt index c12c4fa987..163e23aab9 100644 --- a/blog/draft/2013-03-28-google-analytics.txt +++ b/blog/draft/2013-03-28-google-analytics.txt @@ -6,32 +6,66 @@ Date: 2013-03-27 09:50 offentlige etater å bruke Google Analytics for å få statistikk over bruken av sine nettsider, så sant Google på mottakersiden anonymiserte IP-adressene og ikke bruke informasjonen til annet en analyseformål. -Det syntes jeg var en merkelig konklusjon, når en vet hva bruk av -Google Analytics vil føre til av nett-trafikk. - -For å oppsummere, så innebærer bruk av Google Analytics på et nettsted -at alle nettsider får en referanse til en fil hos Google -(http://www.google-analytics.com/ga.js), som hentes ned fra Google av -nettlesere med JavaScript-støtte når en side på nettstedet vises frem. -De aller fleste bruker nettlesere med JavaScript-støtte, så dette -gjelder de aller fleste brukere. Filen som hentes ned er et program -som kjøres i nettleseren hos brukeren, og informasjon om brukerens -nettleser sendes inn til Google for analyse via Google Analytics. Det -går altså trafikk til Google to ganger for hver side som besøkes, en -gang for å hente JavaScript-programmet og en gang for å sende inn -informasjon om brukeren til Google Analytics. Begge tilfellene -inneholder IP-adressen til brukeren. I tillegg sendes det med -informasjon om hvilken nettside brukeren besøkte, først ved hjelp av -Referer-informasjon når JavaScript-programmet hentes, og direkte i -henvendelsen når Google Analytics oppdateres. - -For norske brukere, går det dermed trafikk fra Norge til USA to ganger -når en besøker en side hos et nettsted som bruker Google Analytics. -Det meste av trafikk fra Norge til utlandet går via Sverige, og all -trafikk fra Norge til USA passerer USAs grense. Trafikk til Google må -ikke nødvendigvis gå til USA, da Google har datamaskinhaller også i -andre deler av verden. Google kan dog kontrollere hvor trafikken går -ved hjelp av DNS-oppdateringer. +Det syntes jeg var en merkelig konklusjon, når en vet hvordan bruk av +Google Analytics vil føre til at innbyggernes bruksmønster lekker også +til andre enn Google. Spesifikt vil USAs og Sveriges +etterretningsvesen også få tilgang til bruksmønsteret.

+ +Her er en rask oppsummering, for å forstå hva jeg mener. Bruk av +Google Analytiks på et nettsted innebærer at alle nettsider får en +referanse til en fil hos Google +(http://www.google-analytics.com/ga.js), som og denne filen hentes ned +fra Google av nettlesere med JavaScript-støtte når en side på +nettstedet vises frem. De aller fleste bruker nettlesere med +JavaScript-støtte, så dette gjelder de aller fleste brukere. Filen +som hentes ned er et program som kjøres i nettleseren hos brukeren, og +informasjon om brukerens nettleser sendes inn til Google for analyse +via Google Analytics. Det går altså trafikk fra innbyggeren til +Google to ganger for første side som besøkes, en gang for å hente +JavaScript-programmet og en gang for å sende inn informasjon om +brukeren til Google Analytics. For påfølgende sider går det kun +trafikk en gang, da filen kun hentes ned første gang den tregs. Begge +gangene det går trafikk til Google vil trafikken inneholde IP-adressen +til innbyggeren. I tillegg sendes det med informasjon om hvilken +nettside brukeren besøkte, først ved hjelp av Referer-informasjon når +JavaScript-programmet hentes, og direkte i henvendelsen når Google +Analytics oppdateres. + +

Jeg har ikke oversikt over hvor alle Googles tjenermaskiner +befinner seg, men Google kan hvis de ønsker det plassere alle de +tjenermaskinene som brukes av Google Analytics i USA. For norske +brukere, kan det dermed gå trafikk fra Norge til utlandet minst en og +gjerne flere ganger når en besøker en side hos et nettsted som bruker Google +Analytics. En stikkprøve mens jeg skrev denne teksten viste at +tjeneren min nettleser skulle snakke med for å sende informasjon til +Google analytics var i USA. Det meste (all?) av trafikk fra Norge til +utlandet går via Sverige, og all trafikk fra Norge til USA passerer +USAs grense. + +

I følge den svenske FRA-loven, har svensk +signaletterretningstjeneste lov til å snappe opp og analysere all +trafikk som passerer de svenske grensene. De trenger ikke +rettskjennelse eller annen godkjenning, og det er allment akseptert i +IT-kretser at slik analyse skjer i dag. En kan dermed gå ut ifra at +alle norske innbyggere som besøker et nettsted som bruker Google +Analytics også holder svensk signaletterretningstjeneste orientert om +hvilke nettsider de ser på.

+ +

I følge PATRIOT-loven og FISAAA-loven i USA har +etterretningsorganisasjonen også der lov til å snappe opp all trafikk +som passerer USAs grenser (der har de vel sagt at all kommunikasjon +som involverer folk uten statsborgerskap i USA). De trenger heller +ikke der rettskjennelse eller annen godkjenning, og det er allment +akseptert i IT-kretser at slik analyse skjer i dag. En kan dermed +også gå ut fra at USAs etterretning er orientert om norske innbyggeres +bruk av nettsteder som bruker Google Analytics.

+ +

I tillegg til disse landene passerer trafikk på vei mot Google +Analytics i dag Danmark og Nederland. Hvorvidt disse snapper opp og +analyserer trafikken som passerer grensene er ikke alment kjent. + + +og fra norske innbyggere som - avtale med google - ignorerer FRA-loven @@ -42,6 +76,7 @@ ved hjelp av DNS-oppdateringer. - hvem bruker Google Analytics i dag + for en artikkel om 1) 2)