In Mozilla, la privacy non è una funzionalità, è un fondamento. Questo vale anche per le gli annunci pubblicitari in Firefox.

In Firefox, gli annunci pubblicitari (ads) sono progettate per supportare il web aperto (Open Web) senza compromettere la privacy dell'utente. Ciò significa offrire esperienze pertinenti senza raccogliere grandi quantità di dati personali o tracciare l'utente tra i siti. Fin dall'inizio, l'approccio di Mozilla è stato quello di utilizzare solo le informazioni minime necessarie, mantenere i dati personali sotto il controllo di Mozilla e offrire all'utente scelte chiare su come vengono visualizzati gli annunci pubblicitari.

Questo articolo spiega come funzionano attualmente gli annunci pubblicitari in Firefox, inclusi i segnali limitati che utilizziamo e il perché. Sebbene i dettagli tecnici possano evolversi man mano che impariamo e miglioriamo, il nostro impegno nei confronti dei Principi sulla privacy di Mozilla rimane invariato.

Controllo sulla propria esperienza pubblicitaria

È possibile disattivare le pubblicità nella pagina Nuova scheda di Firefox in qualsiasi momento. ecco come. Si hanno anche a disposizione strumenti per ignorare le singole pubblicità o per segnalarle. Selezioniamo con cura gli inserzionisti con cui lavoriamo e consentiamo solo pubblicità in linea con il marchio e i valori di Mozilla. Proteggere l'esperienza dell'utente non significa solo dargli il controllo, ma anche garantire che le pubblicità visualizzate soddisfino gli standard da noi stabiliti.

Open source

Firefox è open source. I componenti tecnici principali che determinano come le pubblicità vengono fornite in Firefox sono trasparenti e accessibili alla comunità per la loro comprensione.

Alcuni aspetti della pubblicità, come i termini commerciali, non vengono pubblicati perché non descrivono il funzionamento tecnico del sistema. Ciò che conta per utenti e sviluppatori è trasparente: il codice di Firefox, i flussi di dati e le protezioni della privacy integrate nella progettazione.

Protezione della privacy

La privacy è il fondamento del nostro approccio alla pubblicità, così come lo è in Firefox nel suo complesso. Gli inserzionisti non hanno bisogno di sapere chi è l'utente per raggiungerlo e noi non permettiamo loro di tracciarlo su Internet. Ciò significa niente cookie di terze parti e niente ID di dispositivo. Questo corrisponde al nostro approccio alla raccolta dei dati in tutto Firefox: raccogliere solo il necessario, mai di più. Non vendiamo né condividiamo i dati personali degli utenti.

Esistono ancora modi in cui gli inserzionisti cercano di identificare le persone. I più comuni sono il tracciamento diretto tra siti, il fingerprinting e le pubblicità dannose basate sui dettagli del dispositivo. Nelle sezioni seguenti, analizzeremo ciascuno di questi metodi e le misure che stiamo adottando per prevenirli.

1) Blocco del tracciamento intersito

Il nostro approccio: eliminare gli identificatori intersito e trattare i segnali di rete come sensibili. La pubblicazione degli annunci dovrebbe funzionare senza richiedere un ID a livello di utente e senza esporre l'indirizzo IP effettivo dell'utente.

In che cosa si differenzia dalla pratica tipica

• La maggior parte degli editori: invia l'IP reale dell'utente nelle richieste di annunci senza alcuna modifica.
• Editori attenti alla privacy: possono troncare l'IP (ad esempio, eliminando l'ultimo ottetto → 192.0.2.xxx) prima di inviarlo.
• L'approccio di Mozilla (che va oltre entrambi): sostituiamo l'IP reale con un IP sintetico/sottoposto a proxy da un pool controllato da Mozilla, mappato solo sulla regione generica. È condiviso tra molti utenti e non è stabile per singolo utente.

Mozilla Ads (Annunci rispettosi) non utilizza

• Cookie di terze parti per la pubblicazione degli annunci
• Identificatori di dispositivo (ad esempio, ID pubblicitari mobili)
• ID utente univoci

IP e posizione: come proteggiamo l'IP dell'utente (e perché viene utilizzato un IP)

Un segnale di rete è necessario per operazioni di base come i controlli antifrode e la visualizzazione di annunci appropriati per la regione. Poiché un indirizzo IP può fungere da identificatore "debole", lo trattiamo come un dato sensibile.

• Le richieste passano attraverso Mozilla: le richieste di annunci provengono da un'infrastruttura controllata da Mozilla, non dal dispositivo dell'utente. I sistemi di acquisto di spazi pubblicitari (ad esempio, exchange/SSP) non ricevono l'IP reale dell'utente nella richiesta di annuncio.
• Mappatura regionale approssimativa: sostituiamo l'IP con uno gestito da Mozilla proveniente dall'area generale dell'utente (città/area metropolitana) in modo che gli annunci possano essere pertinenti a livello regionale e i controlli di integrità possano essere eseguiti senza esporre il nucleo familiare.
• Condiviso, non personale: gli IP sostituiti sono utilizzati da molte persone e non sono stabili per singolo utente, quindi non possono fungere da identificatori durevoli.
• Nessuna posizione precisa: non inviamo coordinate GPS o a livello stradale; qualsiasi posizione fornita è approssimativa e derivata dall'indirizzo IP protetto.

Questo rimuove completamente l'IP reale dal bidstream, preservando solo l'utilità minima (ad esempio, pertinenza a livello di città, controlli antifrode di base). Ecco perché il nostro approccio è innovativo anche tra gli editori più attenti alla privacy.

Risultato: gli inserzionisti non possono seguire l'utente tra i siti tramite cookie, ID di dispositivo o ID utente. Gli acquirenti non vedono l'IP reale dell'utente e tutti i segnali utilizzati sono approssimativi, condivisi e non stabili, riducendo la possibilità che i dati sull'utente si accumulino nell'ecosistema o possano essere incrociati con altri set di dati.

2) Protezioni anti-fingerprinting

Che cos'è: anche senza cookie o ID di dispositivo, alcuni sistemi pubblicitari tentano di identificare un browser combinando molti piccoli dettagli (come le caratteristiche del dispositivo o del browser). Questa tecnica è chiamata fingerprinting.

Il nostro approccio: far sì che il browser dell'utente si confonda con la massa ed escludere i dettagli ad alta entropia dai flussi pubblicitari.

Che cosa facciamo:

• User agent standardizzato: normalizziamo le stringhe dello user agent per evitare che configurazioni rare si distinguano.
• Minimizzazione dei segnali: le richieste di annunci includono solo campi necessari e a basso rischio (ad esempio, una singola categoria di contesto, una regione approssimativa). Evitiamo di inviare dettagli del dispositivo ad alta entropia.
• Nessun JavaScript lato annuncio nella pagina Nuova scheda di Firefox: le pubblicità non possono eseguire i propri script in questa pagina, il che blocca le comuni tecniche di fingerprinting attivo.
• Nessun dato demografico per la pubblicazione degli annunci: non raccogliamo né condividiamo età, sesso o caratteristiche simili per le pubblicità.
• Pulizia delle intestazioni: normalizziamo le intestazioni sensibili ove possibile per ridurre l'unicità.

Risultato: gli inserzionisti non possono individuare in modo affidabile un utente in base alle peculiarità del suo dispositivo/browser e le pubblicità possono funzionare senza sorveglianza.

3) Protezione dalle pubblicità malevole

Che cos'è: il "malvertising" si verifica quando una pubblicità tenta di eseguire codice malevolo, forzare reindirizzamenti, raccogliere dati o impersonare un'interfaccia utente attendibile. Il vettore comune è il JavaScript di terze parti fornito con le creatività pubblicitarie.

Il nostro approccio: le pubblicità non eseguono mai il proprio codice di terze parti. Le pubblicità vengono fornite solo come dati, tramite un servizio di routing pubblicitario gestito da Mozilla, e renderizzate da Firefox stesso, quindi non viene eseguito alcun JavaScript pubblicitario esterno.

Che cosa facciamo

• Fornitura di soli dati: le pubblicità ("Ads") arrivano alla pagina Nuova scheda di Firefox (HNT) come JSON, non come pacchetti HTML/JS di terze parti.
• Mozilla come intermediario: il client Firefox non si connette mai direttamente a reti pubblicitarie esterne. Tutte le richieste passano a un servizio di routing pubblicitario controllato da Mozilla che applica le policy e rimuove i percorsi di codice attivi.
• Confine JS rigoroso: viene eseguito solo il codice di Firefox. Nessun JavaScript fornito dalla creatività viene eseguito nella pagina Nuova scheda, il che rimuove un canale primario per malware e script di tracciamento.
• Rendering sotto il controllo di Firefox: Firefox trasforma i dati pubblicitari in elementi visivi utilizzando il proprio codice HTML/CSS/JS, mantenendo un unico ambiente di esecuzione verificabile.
• Garanzie su creatività e domanda: accettiamo pubblicità solo da fonti attendibili e applichiamo standard di marchio/categoria in linea con i valori di Mozilla.
• Controlli utente: è possibile ignorare o segnalare una pubblicità; agiamo rapidamente per esaminare e disattivare creatività o acquirenti problematici in tutto l'inventario.

In che cosa si differenzia dalla pratica tipica

La maggior parte del settore pubblicitario invia creatività come HTML/CSS/JavaScript che vengono eseguite nel browser dell'utente (spesso tramite tag/iframe). Al contrario, Firefox riceve pubblicità di soli dati tramite un proxy gestito da Mozilla e viene eseguito solo il JS di Firefox. Ciò riduce significativamente il rischio di malware ed elimina un'importante via per il tracciamento di terze parti.

Risultato: le pubblicità nella pagina Nuova scheda di Firefox privilegiano la sicurezza e l'integrità rispetto all'interattività di terze parti. Stiamo continuando a valutare se in futuro sarà possibile supportare un'interattività limitata e che tuteli la privacy, senza indebolire queste protezioni.

Come utilizziamo i dati in Mozilla Ads

Utilizziamo segnali minimi e protetti per la privacy, appena sufficienti per far funzionare le pubblicità e mantenerle pertinenti al momento. Le pubblicità irrilevanti o fuori luogo non sono utili a nessuno. Non vendiamo né condividiamo i dati personali degli utenti.

Che cosa inviamo ai partner pubblicitari (limitato al minimo per pertinenza e integrità)

• Contesto (una categoria): una singola categoria IAB per il posizionamento (ad esempio, "sport" o "ciclismo"). Non inviamo URL di pagine o contenuti completi e non inviamo più categorie in una singola chiamata.
• Regione approssimativa: posizione a livello di città/area metropolitana, in modo che le offerte abbiano un senso geografico di base, senza precisione GPS o a livello stradale.
• Dati di base per la pubblicazione: dettagli non identificativi necessari per renderizzare una pubblicità (ad esempio, le dimensioni dello slot) più segnali di rete protetti per la privacy (vedere IP e posizione sopra).
  • User-agent (normalizzato): la stringa dello user agent rivela in genere dettagli come la versione del browser, il sistema operativo e il tipo di dispositivo. La maggior parte dei sistemi pubblicitari la trasmette invariata, il che rende più facile il fingerprinting dell'utente (vedere Protezioni anti-fingerprinting sopra). In Firefox, modifichiamo le stringhe dello user agent per ridurne l'unicità:
    • Versione di Firefox: utilizziamo la versione più recente di Firefox o, se si utilizza una build precedente, la più recente meno una.
    • Sistema operativo: utilizziamo solo tipi generici di sistema operativo e piattaforma per le piattaforme principali, senza esporre informazioni di sistema dettagliate.
    • Questo impedisce agli inserzionisti di individuare configurazioni rare che potrebbero far risaltare l'utente.
• Metriche sul rendimento delle campagne: negli Stati Uniti condividiamo informazioni su come rendono le nostre pubblicità, non su chi interagisce con esse.
  • Per impostazione predefinita, forniamo dati aggregati su impressioni e clic delle pubblicità
  • Abbiamo sviluppato soluzioni innovative che proteggono la privacy per misurare ulteriormente l'aumento incrementale del traffico e i segnali di conversione di alto livello sui siti dei partner, il tutto utilizzando dati aggregati e non identificabili tramite DAP (senza fare affidamento su cookie di terze parti o identificatori a livello di utente) al fine di rispettare l'impegno di Mozilla per la privacy e la protezione dei dati degli utenti.

Dati esclusi dalle pubblicità

• Nessuna cronologia di navigazione: la cronologia di Firefox, i segnalibri, le schede aperte o le ricerche non vengono mai inclusi nelle richieste di annunci.
• Nessun identificatore intersito: non vengono utilizzati cookie di terze parti, ID di dispositivo e ID utente univoci.
• Nessun dato del profilo personale: i dati demografici, come età, sesso o caratteristiche simili, non vengono raccolti o condivisi per la pubblicazione degli annunci.
• Nessun grafico di identità: le pubblicità di Firefox non utilizzano email sottoposte ad hashing né partecipano a sistemi di identità intersito.
• Nessuna posizione precisa / indirizzo IP reale: le coordinate GPS e l'indirizzo IP effettivo dell'utente non vengono mai utilizzati nelle richieste di annunci.

Perché questo migliora l'esperienza dell'utente

Un insieme piccolo e prevedibile di segnali ci consente di mostrare pubblicità sufficientemente pertinenti da meritare l'attenzione dell'utente, senza raccogliere dati in eccesso. Questo equilibrio supporta un'esperienza migliore e mantiene l'uso dei dati limitato e sotto il controllo di Mozilla.

Il nostro impegno

L'ecosistema pubblicitario ha a lungo presunto che più dati equivalgano a un servizio migliore. Noi non siamo d'accordo. Non vendiamo né condividiamo i dati personali degli utenti, e l'utente ha sempre il controllo: può disattivare le pubblicità, ignorarle o segnalarle. Utilizziamo solo segnali minimi e protetti per la privacy, in modo che le pubblicità siano abbastanza pertinenti da meritare l'attenzione dell'utente, non i suoi dati. Si tratta di un cambiamento in salita contro le pratiche consolidate del settore, ma l'indipendenza è parte di ciò che siamo. Lo stiamo facendo per sostenere Firefox e mantenere viva la missione di Mozilla: promuovere un internet sano e aperto. Questo approccio finanzia Firefox e supporta un Internet aperto e accessibile senza compromettere la nostra promessa nei confronti degli utenti.