Så gjordes granskningen av hemsidorna del 2

Ekot besökte över 500 hemsidor som ägs av kommuner, myndigheter och regioner. Via en virtuell webbläsare, uppkopplad via en egen proxy, samlades all trafik som gick mellan webbläsaren och övriga Internet in. Vi filtrerade därefter ut alla anrop som gjordes till Google, och undersökte om de avsåg besöksdata som skickas till Google genom verktyget Google Analytics.



Google Analytics är ett av de vanligaste verktygen som används av hemsideägare på Internet för att samla statistik om personer som besöker en hemsida.

Hur vet ni att det varit fel i källkoden?



För varje hemsida som inte aktiverat IP-anonymisering har vi letat efter programkod som ser ut som att den försöker aktivera anonymisering. Vi hittade två varianter av skrivfel på kommuners och myndigheters hemsidor. Det ena felet består i att frasen "anonymizeIP" skrivits med stort P, istället för ett litet p. Det stora P:t gör att inställningen för att anonymisera IP-adresser (som hos Google heter "anonymizeIp") aldrig aktiveras.



Det andra felet som Ekot identifierat är att hemsidor skickar sidvisningar till Google innan de aktiverat IP-anonymisering.



Hur vet ni hur länge felen kan ha funnits?



I en tjänst som heter Wayback Machine sparar föreningen Internet Archive ögonblicksbilder av hemsidor, vilket gör det möjligt för oss att se hur källkoden på en hemsida såg ut för flera år sedan. För varje hemsida med felaktig kod så har Ekot utgått från den senaste ögonblicksbilden i Wayback Machine och sedan hämtat alla tidigare ögonblicksbilder, till dess att den felaktiga koden försvunnit.

