Til alle, der stadig tror, at domænespoofing ikke er et katastrofalt problem, der kræver øjeblikkelig handling, har jeg ét ord: Methbot. Methbot, der blev udviklet af en gruppe svindlere i udlandet, spoofede 6.000 udgivere og svindlede dermed marketingblogs (og de udgivere, der egentlig skulle have modtaget indtægterne) for omkring 3 til 5 millioner dollars om dagen.
Og problemet er ikke ved at aftage. I september 2017 offentliggjorde Financial Times resultaterne af sin undersøgelse af domæne-spoofing mod sin egen hjemmeside. Til sin store forfærdelse fandt udgiveren »displayannoncer på annoncepladser, der udgav sig for at være FT.com, på 10 forskellige annoncebørser samt videoannoncer på 15 børser, selvom FT slet ikke sælger videoannoncer programmatisk« (min fremhævning). 3
Selvom det er svært at sige præcist, hvor mange penge der stjæles hvert år, kan man med rette sige, at der er tale om en kriminalitet i milliardklassen – en kriminalitet, som politiet i vid udstrækning har overladt til ofrene at bekæmpe på egen hånd. Heldigvis har vi nu en strategi, der kan bidrage væsentligt til netop det: ads.txt.
Hvad er ads.txt?
Ads.txt er et direkte resultat af et IAB-projekt, der har til formål at sætte en stopper for domænespoofing gennem gennemsigtighed. Som IAB forklarer: »Ads.txt står for Authorized Digital Sellers og er en enkel, fleksibel og sikker metode, som udgivere og distributører kan bruge til offentligt at angive de virksomheder, de har bemyndiget til at sælge deres digitale annonceringsplads.« 4
Kort sagt giver ads.txt udgiveren mulighed for udtrykkeligt at meddele demand-side-platforme (DSP’er), hvem de har bemyndiget til at sælge eller videresælge deres annonceplads. Når en DSP, der deltager i eller håndhæver ads.txt, modtager en anmodning om et bud fra en annoncebørs, kan den således kontrollere, om den pågældende sælger rent faktisk er bemyndiget til at sælge den pågældende udgivers annonceplads. Er dette ikke tilfældet, ignoreres anmodningen.
Hvordan informerer udgiverne DSP’erne om, hvem deres autoriserede digitale forhandlere er?
Det er forbløffende simpelt: Udgivere skal blot lægge »/ads.txt«-filen ud på deres roddomæne og eventuelle underdomæner efter behov. Filen indeholder en liste over alle autoriserede sælgere og videresælgere samt et unikt ID (tildelt af SSP’en) for hver sælger og videresælger, der er tilknyttet udgiveren. Det er disse ID’er, der fortæller DSP’en, om sælgeren har et direkte eller indirekte forhold til udgiveren.
Betyder det, at DSP’erne skal indsamle alle ads.txt-filer fra alle udgivere på eget initiativ?
Ja, men det er nemmere, end det lyder. Disse lister kan nemt findes på hjemmesiderne hos alle udgivere, der har en sådan. URL’en er udgiverens forside med tilføjet »/ads.txt«: publisher.com/ads.txt
Derudover har IAB udviklet en crawler, som alle kan bruge til at gennemgå udgivernes websider for at se, om de har en ads.txt-fil, der er aktiv, og for at få overblik over alle ID’er og partnere. Når denne information foreligger, vil DSP’en ikke længere acceptere bud fra en anmoder, der mangler et verificeret ID (forudsat at udgiveren rent faktisk har offentliggjort en ads.txt-fil).
Hvis ads.txt-filerne er offentligt tilgængelige, kan de så også forfalskes? Hvad forhindrer svindlere i blot at medtage dem i deres budanmodninger?
De unikke ID’er kan ikke forfalskes, da de tildeles hvert domæne af SSP’erne og ikke kan skjules eller tilsidesættes. For eksempel:
Lad os sige, at jeg ejer NYTIMES.COM. Jeg opretter en forbindelse til SSP.com, og SSP.com tildeler mig et PUBID på 12345. Derefter inkluderer jeg SSP.com 12345 Direct i min ads.txt-fil. Hver gang SSP.com sender en budanmodning for dette websted, vil den altid indeholde pubID'et for NYTIMES.com som 12345. Da jeg har oprettet en ads.txt-fil, vil DSP'erne verificere dette med deres crawler og købe annoncer fra mig, fordi det stemmer overens.
Lad os sige, at du ejer FAKENYTIMES.COM. Du opretter en forbindelse med SSP.com, og SSP.com tildeler dig et PUBID på 67890. I forsøger i stedet at forfalske mig ved at inkludere 12345 i jeres ads.txt-fil. Selv hvis I på en eller anden måde formåede at forfalske domænet, vil SSP.com stadig videregive jeres tildelte PUBID (67890) til DSP'erne, hvilket ikke vil stemme overens med det, I har angivet på jeres hjemmeside, og de vil derfor ikke købe annoncerne.
Vil ads.txt fungere, hvis udgivere vælger ikke at oprette og vedligeholde en ads.txt-fil?
Nej, udgiveren skal oprette en ads.txt-fil, for at godkendelsen kan finde sted. En af ulemperne ved denne fremgangsmåde er, at ads.txt-filerne kræver vedligeholdelse fra udgiverens side. Denne vedligeholdelse kan afholde en udgiver med mange websteder og hundredvis af sælgere og videresælgere fra at implementere det med det samme.
Ser man det i et større perspektiv, kan denne tilgang kun sætte en endelig stopper for domæneforfalskning, hvis langt størstedelen af de førende udgivere opretter og vedligeholder ads.txt-filer. Indtil vi når en kritisk masse, vil domæneforfalskning fortsat være en alvorlig forbrydelse.
Hvad skal der til, for at ads.txt bliver en succes?
Succesen vil i høj grad afhænge af DSP’erne og den måde, de vælger at implementere det på, da det er dem, der i sidste ende træffer købsbeslutningerne på børserne. De største DSP’er – især Google – har meddelt, at de planlægger at implementere ads.txt senest den 1. november 2017.
Det betyder, i hvert fald i starten, følgende: Hvis et websted har en aktiv ads.txt-fil, vil DSP’erne højst sandsynligt respektere de autoriserede digitale annoncesælgere på den pågældende side og kun købe annoncer fra disse partnere.
Men hvis en hjemmeside ikke har en ads.txt-fil, der er aktiv, vil den blive betragtet som ukendt, men DSP’erne kan vælge at købe annoncerne alligevel. Med andre ord kan nogle DSP’er behandle det som en helt almindelig situation.
Hvorfor skulle en DSP fortsætte som hidtil, når det er så nemt at kontrollere sælgere og forhandlere?
Husk, at selvom en udgiver ikke har en aktiv ads.txt-fil, betyder det ikke nødvendigvis, at det er risikabelt at købe annoncer hos vedkommende. Det kan betyde, at udgiveren simpelthen ikke har haft tid til at oprette en ads.txt-fil, eller at vedkommende mener, at det ikke er klogt at oprette en sådan i forbindelse med julehandlen. At oprette en ads.txt-fil kræver per definition, at udgiveren vurderer hver eneste sælger og forhandler i sit økosystem. Det er den perfekte lejlighed til at vurdere den værdi, hver enkelt bidrager med, og om samarbejdet bør fortsætte eller ej. Det er en stor opgave, som de måske ønsker at udskyde til 1. kvartal 2018, når annonceaktiviteten falder.
Og der er også risici for DSP’erne. Lad os antage, at en DSP vælger kun at købe annonceplads fra udgivere med en aktiv ads.txt-fil, men at et betydeligt antal udgivere ikke har oprettet sådanne filer. Den pågældende DSP vil hurtigt støde på skalerbarhedsproblemer, når den fremover gennemfører sine kampagner.
Udfordringen for DSP’erne — og for hele branchen — er at implementere ads.txt på en måde, der er effektiv og skalerbar, men som ikke undergraver formålet med det ved at købe både godkendte og ikke-verificerede annoncer på samme tid.
Hvor mange hjemmesider har indført ads.txt?
Det er svært for mig at sige med sikkerhed; udbredelsen kom langsomt i gang, men er taget fart i de seneste måneder. Pr. oktober 2017 er vi endnu ikke nået frem til en bred udbredelse.
