Prosjektets funn:

Fingerprinting uten samtykke

Selv om brukeren sier nei til cookies, har man andre måter å identifisere nettleser på.

5 nettsteder gjør dette.

Tastelogging

Det du taster blir sendt av gårde

122 nettsteder gjør dette.

Men dette har veldig mange legitime bruk, f.eks. datatilsynet.no.

regjeringen.no og ung.no sender innholdet av søkefelt til Microsoft.

Følger med på hva du gjør

Følger mus, tastatur, nettverksaktivitet, vanligvis for å hjelpe utviklere se hvor godt brukeren klarer å bruke siden.

76 nettsteder gjør dette.

Deriblant Stortinget og ung.no

Meta Pixel

Meta sin tracking-teknologi for alle, også de som ikke er logget inn på Facebook.

111 nettsteder bruker denne.

Deriblant Kanmer arbeidsinkludering og Kulturdirektoratet

Google Ads Remarketing

Brukertracking-delen av Google Analytics for å følge folk rundt på nettet for markedsføringsformål.

162 nettsteder bruker denne.

Deriblant Slettmeg.no

HTTP-oppslag til tredjepart

• Oppslag hos tredjepart for å hente bilder, fonter, video, skript, tracking, osv.
• 1803 nettsteder har minst en.
• Tysk rett har problematisert bruken av Google Fonts.
• I en velfungerende verden burde dette ikke ha vært problematisk

Tredjeparts-cookies

584 nettsteder har minst en.

Kjent ad tracking

973 nettsteder har minst en.

Et tu, Auctoritas Media Norvegica

• Webben var opprinnelig stateless
• Men cookies forenkler "hvor var vi nå"-situasjonen
• Cookies ble innført av Netscape i oktober 1994
• Diskusjoner omkring standardisering startet i 1995
• Resulterte i RFC2109 i februar 1997

Tredjeparts cookies: sikkerhetsproblem

A user agent should make every attempt to prevent the sharing of session information between hosts that are in different domains. Embedded or inlined objects may cause particularly severe privacy problems if they can be used to share cookies between disparate hosts. [...] User agent implementors are strongly encouraged to prevent this sort of exchange whenever possible.

Så hva skjedde?

• Tredjeparts-cookies var allerede i bruk i adtech
• Så Netscape og Microsoft ignorerte standarden.
• Det er i slike prosesser demokratiet må inn.

Cookie-blokkering

• Nettleserne implementerte cookie-blokkering.
• Ingen brukte det
• Hvorfor trodde EU det skulle endre seg med lovpålagt masing?
• Industrien har snudd eKom/GDPR mot seg selv: Underminert samtykke som skranke mot utnyttelse

Noen gir meg gale data

• Lier kommune har 30 ad trackers, 51 tredjeparts cookies, 63 tredjeparts oppslag
• Kunne gått inn på Hall of Shame
• men vent litt!
• De sender det bare til Blacklight når den oppfører seg som en bot, ellers er den ganske vanlig.

Oppførsel kan tilpasses tilsyn

Dagens algoritme:

Legge sammen to heltall

Vi begynner bakerst, og legger sammen sifferne på enerplassen. Hvis den resulterende summen er større eller lik 10 deler vi opp tallet, og tar det bakerste sifferet, det blir resultatet på enerplassen, mens 1-tallet først legges sammen med summen av sifferne på tierplassen. Og så gjør vi det samme igjen og igjen helt til det ikke er flere tall igjen å legge sammen.

En ærlig kalkulator

+
=

I kode

function run1()
{
	var ledd1 = document.getElementById("f1part1").value;
	var ledd2 = document.getElementById("f1part2").value

	var alle_siffer1 = ledd1.split('');
	var alle_siffer2 = ledd2.split('');

	var resultat;

	var siste1 = parseInt(alle_siffer1.pop());
	var siste2 = parseInt(alle_siffer2.pop());

	while ((! isNaN(siste1)) || (! isNaN(siste2))) {
    	  if (isNaN(siste1)) {
            siste1 = 0
    	  }	
    	  if (isNaN(siste2)) {
            siste2 = 0
    	  }
    	  var del_resultat = siste1 + siste2;
    	  siste1 = parseInt(alle_siffer1.pop());
    	  siste2 = parseInt(alle_siffer2.pop());
    	  if (del_resultat >= 10) {
            del_resultat = del_resultat.toString().split('').pop();
            siste1 = isNaN(siste1) ? 1 : siste1 + 1;
    	  }

	  resultat = [del_resultat, resultat].join('');

	}
    
	document.getElementById("f1answer").value = resultat;
}
	      
	    

Kalkulator med muffens

+
=

Kode med muffens

function run2()
{
	var ledd1 = document.getElementById("f2part1").value;
	var ledd2 = document.getElementById("f2part2").value

	var alle_siffer1 = ledd1.split('');
	var alle_siffer2 = ledd2.split('');

	var resultat;

	var siste1 = parseInt(alle_siffer1.pop());
	var siste2 = parseInt(alle_siffer2.pop());

	while ((! isNaN(siste1)) || (! isNaN(siste2))) {
    	  if (isNaN(siste1)) {
            siste1 = 0
    	  }	
    	  if (isNaN(siste2)) {
            siste2 = 0
    	  }
    	  var del_resultat = siste1 + siste2;
    	  siste1 = parseInt(alle_siffer1.pop());
    	  siste2 = parseInt(alle_siffer2.pop());
    	  if (del_resultat >= 10) {
            del_resultat = del_resultat.toString().split('').pop();
            siste1 = isNaN(siste1) ? 1 : siste1 + 1;
    	  }

          resultat = [del_resultat, resultat].join('');
	  if (resultat == '42') {
	    resultat = 17;
	  }
	}
    
	document.getElementById("f2answer").value = resultat;
}
	    

Matte har ikke handlekraft, kode har handlekraft

• Et algoritmetilsyn vil føre tilsyn med feil ting
• Å føre tilsyn med kode er vanskelig
• Vil uansett forskyve makt fra borger til stat
• Alternativt forslag i en kronikk hos Shifter

Beskyttelse av barn

Digital Services Act, Article 28-2:

Providers of online platform shall not present advertisements on their interface based on profiling as defined in [GDPR] using personal data of the recipient of the service when they are aware with reasonable certainty that the recipient of the service is a minor.

Transparens i reklamealgoritmer

Digital Services Act, Article 26-1b:

meaningful information directly and easily accessible from the advertisement about the main parameters used to determine the recipient to whom the advertisement is presented and, where applicable, about how to change those parameters.

Hvordan Facebook bruker maskinlæring

To find the estimated action rate, machine learning models predict a particular person’s likelihood of taking the advertiser’s desired action, [...]. To do this, our models consider that person's behavior on and off Facebook, as well as other factors, such as the content of the ad, the time of day, and interactions between people and ads.

• Big Tech-ideologene mener deres kunnskap gir legitim makt
• De vet at vi er avhengige
• De mener lover vi ikke følger er illegitime
• De bryr seg ikke om lov og dom
• De trenger bare vente til lovene følger deres mening. The Endgame.
• Derfor er denne presentasjonen farlig.

• Didier Reynders angrep Max Schrems om EU-US Data Privacy Framework
• Politikerne har makt til å endre lovene, men ikke til å endre teknologien.

Sterk motstand her hjemme

• Leger ved OUS i opprop: "Hvis vi ikke får dele kunnskap, er det god grunn til å snakke om dødelig personvern."
• "GDPR-lovgivning satte en stopper for at politiet kunne ta i bruk det effektive kartverktøyet SARTopo, da Torjus Seland (7) forsvant under jakt i Lindesnes i Agder."

Vi må skape framtiden

• Helseinstitusjoner skal kunne drive med medisin og medisinsk forskning
• Startups skal konsentrere seg om produktet
• Befolkningen skal ikke trenge å lese lange tekster og samtykke til alt mulig
• Politikerne skal ha en måte å styre samfunnsutviklingen på