Making search more secure … Dette var meldingen fra Google på tirsdag, samme dag som Arena arrangerte årets konferanse innen webanalyse  i Oslo. Det tok vel ca fem minutter fra Google annonserte nyheten til nettet bokstavelig talt summet. Og egentlig summet det allerede da nyheten lekket ut via ulike kanaler… Hva var dette? Skulle man endre på søk? Hva med betalte søk? Hva med organiske søk? Hva med Google.no? Sjelden har jeg sett så stor forvirring og så mange spørsmål rundt en kort men ganske presis annonsering. Så hva betyr dette egentlig, og hvorfor gjør Google dette?

Det Google gjør er at de har besluttet å fjerne søkeordene fra søk som gjøres når man er innlogget. Sagt på en annen måte, når man er innlogget, dvs identifisert for Google og søker, så vil Google automatisk videreføre dette søket til en HTTPS-forbindelse. Dette er en kryptert og dermed sikker forbindelse. Data som overføres vil da bli en 1:1 forbindelse mellom Google og sluttbrukeren, den som søker. For å sikre kundens personvern har Google besluttet å fjerne de ordene man bruker i søket fra henviserinformasjonen. Dette er informasjon som man har hatt tilgang på i alle år siden nettets opprinnelse. Google har kort sagt satt seg selv i førersetet når det gjelder kundens sikkerhet.

Hvilken betydning har dette for webanalysene? Her er svaret enkelt: Søkeord som kommer fra sikre søk dvs søk som er innlogget fra Google vil ikke lenger være tilgjengelige for analysen. Foreløpig gjelder dette kun Google.com, og det gjelder ikke betalte søk, dvs ikke søk som fanges opp av AdWords. Så dette er nok årsaken til en del av forvirringen på nettet…

Jeg ville ikke brukt tid på detaljer rundt dette. Google har bestemt at innlogget søk er personlig, og da er det slik. Webtrends har kommentert beslutningen med følgende innlegg: Our Response to Google’s Query String Security Announcement – der konklusjonen  er: «We applaud the importance Google places on security and privacy and will provide an update in the near term that will clearly identify those searches that had the terms stripped out.» Her sier Webtrends at de vil sørge for at man får full innsikt i hvilke søk dette gjelder.

Hvorfor gjør Google dette? Som de sier gjelder dette personvern. Samtidig vil de beskytte data kunden har gitt inn i en innlogget sesjon. Kunden er logget inn. Så søker kunden eksempelvis etter «ledige stillinger». Før denne endringen kunne man via webanalyse fange opp disse ordene og ta aksjon, dvs behandle kunden spesielt, når kunden ankommer et nettsted etter søket. Det kan man ikke nå. Ordene man søker på er borte. Men det gjelder kun innlogget søk på Google, og det gjelder kun Google.com, selv om det er naturlig at dette vil bli gjort med alle søk gjort innlogget i Google.

Hva betyr dette for webanalysen? Det betyr at du må ha innsikt i hvor mange av dine innkommende søk som er i denne kategorien. Antageligvis vil det være under 10% av totalen, så det er ikke viktig, men som alt annet innen webanalyse må man ha innsikt i tallene. Så og si all trafikk på nettet er åpen, det store volumet. Det er ikke naturlig å kjøre åpen trafikk kryptert, det tar lenger tid å pakke inn og ut igjen krypterte data. Men uansett om din trafikk fra innlogget Google søk er 1%, 5% eller mer, så er det viktig at man har gode og presise analyser, slik at man kan verifisere endringer, og ta aksjon på disse. Det blir mer å gjøre for profesjonelle webanalytikere, og det kreves mer av analysene for at man skal kunne bruke tallene profesjonelt. Vi kommer tilbake med mer informasjon om dette når vi har konkrete tall og erfaringer med endringen.

Relaterte innlegg:

1. Google Analytics Partner Summit 2011
2. Bing vs Google
3. Ti grunner til å velge Webtrends Analytics

Dersom du legger et script inne langt oppe på dine sider, og dette scriptet ikke er tilgjengelig, så blir dine sider utilgjengelige. Så enkelt er det. Er Google Analytics nede så er du nede. Kundens nettleser spinner og spinner og venter på at koden som i utgangspunktet var gratis skal slippe opplastingen videre, til det egentlige, viktige innholdet, som ligger lenger nede på siden.

Derfor bør gratis kode, og all annen kode som du ikke er 100% sikker på, og som du kan søke erstatning fra om den er nede over lang tid, legges helt nederst i BODY-delen av dine sider. Da spinner nettleseren til kunden rundt og venter på «ingenting», så sidene er tegnet opp om ikke annet.

I «gamle dager» dvs på 90-tallet på Internet var det slik at ledelsen var vant med at det de publiserte var godkjent av organisasjonen, gjerne også via juridisk avdeling, spesielt om det var en stor bedrift med krav til innhold og hva som ble sendt ut i årsrapporter og pressemeldinger. Nå har man det motsatte, innhold kan lages av hvem som helst, script, tagger, variable og koder kan legges inn på tvers av sikkerhetsavdelinger og firma-politikk mange steder, og det er en utfordring for mange i Norge. Antageligvis vil en god del nettsteder i Norge legge inn spyware uten at de vet det, dersom selgeren bak tjenesten har en forlokkende nok ytelse bundet opp i sin gratis tjeneste.

Jeg sier ikke at man skal regulere publiseringen og gjøre det vanskeligere å publisere, men jeg påpeker et klart sikkerhetshull, både for oppetid og for hva bedriften viser seg fram med. Man må ha kontroll, og man må ha bevissthet rundt hva script gjør og hvem som er ansvarlig, samt hva man skal gjøre når det oppstår problemer. Det kan være et stort problem å ringe en gratis-leverandør dersom man har utrulling av ny struktur 4 ganger i året, det er lenge å vente når man er nede, eller når man er på forsidene av VG og DN pga personnummer og annen kundeinformasjon som man ser flagrer ut til gratis tjenester utenfor kontroll.

Sikkerhet er for omfattende til at jeg kan dekke det her. Jeg vil bare kort nevne at man aldri bør legge inn script på sine sider uten at man har en leverandør som kan fortelle eksakt hva som skjer rundt scriptet. Hva skjer med personvern og personlige data? Finnes det skjema som leser inn kortnummer, koder og personlig informasjon på ditt nettsted? Hvem eier disse data? Måles de? Er de en del av URL? Finnes de som variable? Sendes de ut av huset med statistikkløsningen? Hvor? Og deles de ut til andre utenfor din organisasjon? Har du en oppdatert personvernside som forteller dine kunder om hvordan de personlige data blir ivaretatt?

Relaterte innlegg:

1. Gratis webstatistikk
2. Webstatistikk og besøk
3. Digital modenhet – DM3-modellen