Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 204 reacties, 53.043 views •

Een Nederlandse ontwikkelaar heeft een Chrome-plug-in gemaakt die cookiemeldingen omzeilt. De plug-in zorgt ervoor dat deze automatisch worden geaccepteerd. De ontwikkelaar maakte de plugin uit irritatie over vele cookiemeldingen die sinds kort opduiken.

De plug-in CookiesOK van de Dinteloordse ontwikkelaar Nick Sulkers is sinds woensdagmorgen te downloaden als Google Chrome-extensie. De plug-in zorgt ervoor dat de 'cookies accepteren'-knop wordt geactiveerd zodra een cookiemelding wordt ontdekt. De meeste grote Nederlandse websites worden ondersteund door de plug-in, waaronder die van de publieke omroep, de Volkskrant, Het Parool en Tweakers.

Sulkers zegt op het idee te zijn gekomen voor een plug-in uit frustratie over de cookiewaarschuwingen die veel websites sinds kort weergeven. Dat moet van de nieuwe Telecommunicatiewet; wie cookies plaatst die niet strikt functioneel zijn, moet gebruikers om toestemming vragen. "Ik ben zelf softwareontwikkelaar en die nieuwe cookiewet vind ik gruwelijk", aldus Sulkers.

"Als softwareontwikkelaar moet ik regelmatig cookies weggooien bij het testen en dan word ik ontzettend vaak geteisterd door pop-ups." Volgens hem kunnen cookies weinig kwaad. "In essentie is een cookie gewoon een tekstbestand." Een Firefox-versie is op dit moment nog in ontwikkeling; die moet binnen een week klaar zijn. In principe moeten cookiemeldingen automatisch gedetecteerd worden door de plug-in, maar gebeurt dat niet, dan kunnen ontwikkelaars de css-class 'CookiesOK' toevoegen aan de knop waarmee wordt ingestemd met het plaatsen van cookies.

Update, 18:53: Joris von Loghausen van GeenStijl tekent aan dat de plugin bij een http-request een verzoek naar de server van Sulkers doet. Een script op de server van Sulkers controleert of een website een cookiemelding bevat. Het probleem daarbij is dat Sulkers de http-verzoeken van gebruikers die de plugin geïnstalleerd hebben, per ip-adres kan bijhouden: hoewel niet vaststaat dat dat gebeurt, roept dat wel privacybezwaren op. Ontwikkelaar Sulkers tekent aan dat de methode als voordeel heeft dat hij op deze manier makkelijk ondersteuning voor nieuwe sites kan toevoegen zonder dat een update voor de app vereist is, maar erkent de privacybezwaren.

Update, vrijdag 12:46: Inmiddels is er een nieuwe versie van de plug-in beschikbaar die over een lokale database beschikt. Een gebruiker kan aangeven of hij gebruik wil maken van de database van Sulkers, als een website niet voorkomt in de database. "Zo kunnen mensen die zeker willen zijn van hun privacy met een gerust hart slapen", aldus Sulkers. Daarnaast is er nu een Firefox-versie beschikbaar.

De cookiewetgeving vloeit voort uit een Europese richtlijn en is bedoeld om te voorkomen dat internetgebruikers zonder dat ze dat weten worden gevolgd over het internet. Veel advertentiebedrijven plaatsen tracking cookies die het gedrag van gebruikers in de gaten houden. Mediabedrijven klagen echter dat de Nederlandse implementatie van de Europese richtlijn veel strenger is dan die in andere landen. Daar voldoet het tonen van een melding, terwijl in Nederland daadwerkelijk toestemming gevraagd moet worden.

CookiesOK

Reacties (204)

Reactiefilter:-12040200+1134+218+30
1 2 3 ... 6
Maar dat komt vooral omdat niemand het implementeerd zoals het bedoeld was. De bedoeling was dat sites zouden kiezen om alleen functionele cookies te gaan gebruiken omdat ze er van uitgingen dat sites om de user experience zouden geven... maar nu blijkt dat het enige waar ze om geven is een angst voor veranderingen. Er zijn zowel advertentie netwerken en tracking systemen die geen tracking cookies gebruiken... dus het is zeker niet onmogelijk om een goeie user experience te geven (tracking word er wat slechter op en advertenties leveren mogelijk iets minder op, maar je krijgt er bakken met privacy voor terug).

[Reactie gewijzigd door David Mulder op 9 januari 2013 15:35]

Dan ben je dus verplicht om een 'accepteer cookies en ga anders weg' - wall neer te zetten.
Nee hoor, een 'hou je social media rommel maar en toon gewoon de website' knopje mag ook hoor, zo implementeer ik het op al mijn websites. Voldoet prima aan de wetgeving. De content van je site zou niet vast moeten hangen aan welke plugin dan ook, aangezien ik een site bezoek voor de content, niet voor analytics, tracking, embeds en share tools (een embed kun je ook prima omsluiten met conditions in een CMS, je moet een editor sowieso geen rechten geven om hele blokken code/iframes direct in te schieten, maar kies dan bijvoorbeeld alleen voor het Youtube-ID en handel in de backend de daadwerkelijke opbouw van de embed code af; dat is nog veiliger ook).
Dan dus maar de social rommel.
Alsof je geen sites kunt sharen zonder een plugin op je site. URL copy-paste, posten en je URL staat netjes in je Tweet/Facebook update. Voordeel: mensen die niks met social media te maken willen hebben worden niet in hun privacy aangetast via cross-domain tracking van deze plugins.
Verder zijn de analytics- en trackingtools ook noodzakelijk om de site optimaal in te richten en er voor te zorgen dat jij de gewenste content het snelst/makkelijkst kan vinden.
Nee, het is de goedkoopste manier, niet de enige. Denk bijvoorbeeld aan een feedback form (āla Apple), testen met een proefgroep, heatmaps (die je ook zonder Google prima kunt maken) enz.

[Reactie gewijzigd door Rick2910 op 9 januari 2013 17:30]

Het voordeel van externe plaatjes linken is dat het kan. Je bent hier vrij in om het wel of niet te doen. Wat moet Tweakers dan gaan doen? De rest uitsluiten zodat je gedwongen wordt alles hier te hosten? Fotograven hosten liever netjes op flickr (al dan niet vanwegen de voorwaarden), reviewers gebruiken soms plaatjes van de fabrikant, forumposters pakken soms snel even een foto die met de telefoon online is gezet. Etc, etc. Ja, technisch zou het mogelijk zijn om iedereen albums te gaan geven ipv alleen via de karma store. Maar of het practisch en kostentechnisch (bandbreedte) haalbaar is?

Daarbij is het vaak zelfs sneller om dingen van aparte domeinen te halen, browsers limiteren vaak het aantal gelijktijdige request per domein.
Precies ook mijn gedachte. Deze wet beschermt je helemaal nergens tegen. Als je geen cookies van advertentienetwerken en facebook-iframes wilt, zet je 3rd-party cookies uit in je browser. Blokkeer ook nog google-analytics en klaar. Heb je helemaal geen meldingen die om de haverklap je toestemming vragen voor nodig.

Als ze een nuttige wet hadden willen maken, hadden ze een wet moeten maken die het verbiedt first-party tracking-cookies (zoals die van de Google-analytics API dus) te delen met derden. Dan had google zijn cookies mooi weer vanaf haar eigen domein mogen plaatsen en waren we met de "blokkeer 3rd-party cookies" optie die iedere browser heeft van alle problemen af.
YouTube heeft een privacy modus voor het embedden van videos.
Lees hier: De privacymodus inschakelen voor ingesloten video's

Bij het afspelen van de video kan er nog steeds een cookie worden geplaatst, maar deze zal geen persoonlijke informatie bevatten. Als de bezoeker het filmpje niet afspeelt wordt er helemaal geen cookie geplaatst. Ik weet niet of dit voldoet aan de cookiewet.

[Reactie gewijzigd door 3raser op 10 januari 2013 11:17]

maar je krijgt er bakken met privacy voor terug).
Precies, persoonlijk begrijp ik niet dat veel sites hun stats en personalised advertenties belangrijker vinden dan usability voor hun bezoekers. De sites van de publieke omroep laat ik bijvoorbeeld al helemaal links liggen, idem voor Fok en deels ook voor Tweakers (Ghostery doet wonderen); dan schiet je je doel in mijn ogen voorbij (en is de wetgeving de schuld geven een hele makkelijke manier om onder je eigen verantwoordelijkheden als websitebeheerder uit te komen).
In essentie is een cookie gewoon een tekstbestand.
Puur technisch gezien heeft hij gelijk, maar het probleem met cookies is dat het unique identifiers zijn voor backend processen die complete user profielen kunnen opbouwen. Draai voor de gein maar eens een weekje de Collusion plugin om te zien hoeveel (potentiele) data er beschikbaar is over jouw surfgedrag (en indirect dus ook jouw 'reele' gedrag en karakter).
Privacy heeft niets te maken met usability.
Blijkbaar wel, want ik krijg overal gruwelijk irritante popups en balken (of nog erger, een Fok/Tweakers-achtige wall) voor mijn neus ipv dat sites gewoon alle social plugins, embeds, trackers enz blokkeren en pas tonen wanneer ik per type in mijn profiel heb aan kunnen geven wat ik wil. Technisch is het echt appeltje-eitje (ik bouw dit dagelijks voor mijn klanten), het is gewoon pure onwil van de websitebeheerder(s) ten kostte van de usability voor de bezoekers.

[Reactie gewijzigd door Rick2910 op 9 januari 2013 17:22]

Ik ben absoluut pro-privacy, maar ik ben ook zo realistisch dat iets als op jou afgestemde reclame een zeer, zeer grote bijdrage heeft geleverd en nog steeds bijdraagt aan de digi-ontwikkeling.
90% van alles wat wij nu 'het internet' noemen is ontwikkeld zonder advertentiegeld. Het duurt wellicht wat langer, maar advertentiegeld maakt ook veel kapot aangezien deze initiatieven vaak worden ontwikkeld met een inkomstengenererend concept in het achterhoofd ipv pure focus op de gebruikerservaring. Kijk maar naar de recente ontwikkelingen bij Facebook om te zien wat voor 'geweldigs' advertentiegeld kan bewerkstelligen (geen mogelijkheid tot export data, reclame in je wall/feed, geen gebruik van open standaarden waardoor third party apps moeilijk werkbaar zijn, geen controle over wat er met je gegevens gebeurt, issues met rechten over jouw content enz enz).
Er was geeneens een Facebook geweest..
Nee, dan hadden we Diaspora gehad (helemaal gefund zonder adinkomsten) of een gelijkend platform. De wens van mensen om te socializen blijft bestaan alleen maken bedrijven als Facebook en Google hier misbruik van door deze behoefte te misbruiken voor geldelijk gewin. Kijk naar Encarta (commercieel) vs Wikipedia (giften/donaties) en je ziet dat een advertentiemodel geen voorwaarde is voor succes (in tegendeel zelfs durf ik te stellen).

[Reactie gewijzigd door Rick2910 op 9 januari 2013 17:26]

Cookies zijn geen uitvoerbare bestanden. Rootkit door cookie is vrijwel onmogelijk,
De cookie zelf zal natuurlijk weinig kunnen uitrichten, het gaat er om dat je er via een plugin een actie aan verbindt. Die actie komt neer op het klikken van een link, wat in feite gelijkwaardig kan zijn aan een drive-by download en besmetting.

Een whitelist is geen waterdicht antwoord omdat je een stuk beveiliging uit handen geeft, ten eerste aan de ontwikkelaar van de plugin zelf: in het verleden is het al voorgekomen dat in eerste instantie legitieme plugins later door kwaadwillende derden zijn gekaapt. Er van uitgaande dat de plugin zelf altijd te goeder trouw blijft bestaat er nog steeds de mogelijkheid voor een periode waarin een site op de whitelist gekaapt kan worden (denk ook aan geīntegreerde advertentienetwerken, ook een regelmatige bron van besmetting). Dit wordt dan net als bij een antivirus pas in de whitelist veranderd als de ontwikkelaar op de hoogte wordt gebracht, doorgaans nadat zich besmettingen hebben plaatsgevonden.

Aangezien je in feite een autoklik aan alle sites op de whitelist toevoegt vergroot je de aanvalsoppervlak naar de beveiliging van alle servers op de whitelist.

M.a.w. zo'n plugin is een beveiligingsrisico, afgezien van het feit dat het eigenlijke probleem het omzeilen van een goedbedoelde wet is, op een manier dat er voor zal zorgen dat de wet zal moeten veranderen/teruggetrokken worden en/of dat gebruikers net als bij EULA's gedesensitiviseerd worden, wat het hele probleem alleen maar erger maakt (je verlaagt de drempel voor malware alleen maar).

Dan is er nog het probleem dat de wet zich op een symptoom richt, als cookies verboden worden zal men uitwijken naar web beacons, flash/html storage, social scraping, data mining/aggregatie etc. Wetgeving zou zich op het fundamentele beweegreden (commercie boven privacy) en pas later op de hieruit voortvloeiende symptomen (cookiemisbruik) moeten richten. Dat zal op de lange termijn door bewustwording, mentaliteitsverandering en desnoods sociale pacten en richtlijnen die door handhaving worden ondersteund moeten gebeuren, niet door halfbakken technische maatregelen en alsmaar nieuwe, doch ineffectieve bureaucratie.
Een plugin die voor mij automatisch op 'OK' klikt bij een willekeurige popup? Nee bedankt.

Tenzij je alle sites handmatig in de software stopt, zal deze toch moeten scannen op termen als cookie en op zoek naar een 'Ok' of 'Accepteren' knop. Maak een popup die voldoet aan de criteria en je krijgt automagisch overal toestemming voor.
Op http://www.cookiesok.nl/ staat dat het ook middels een css class kan werken.

En dat is een grove security fuckup, want kwaadwillenden kunnen dan forms maken welke automatisch gesubmit worden. Dit is een fout die je niet mag maken, en bovendien dusdanig basaal dat je je wmb af moet vragen of je nieuwere versies van deze plugin wel moet vertrouwen.
Er word in de 1e instantie gekeken voor een aantal standaard JQuery plugins. Dan ook nog voor de CookiesOK class en een CookiesOK javascript functie.
Als hieruit niets voortkomt doet de extensie een request naar mijn server en vraagt voor de huidige domeinnaam instructies op.

Er is, zoals in andere comments genoemd, mogelijkheid voor kwaadwillenden om via hun website de 'click' te activeren op andere stukken van de pagina.
Maar dit lijkt mij niet zo heel spannend.
Als ze je op een advertentie laten klikken dan browse je weg, vervelend maar dan gaat het om een site die je überhaupt niet zou willen bezoeken en dus niet meer bezoekt.
Als ze een download weten te activeren dan word er vooralsnog niks uitgevoerd en loopt je systeem vooralsnog geen echt gevaar.
(Dit is tevens niets dat zonder de plugin niet ook al zou kunnen)
Interessant, maar ik zie liever iets verschijnen waarmee ik kan kiezen welke cookies ik Per site toesta om op te slaan.

De huidige "Ja, sta alles toe" vs "Nee? Dan is daar de deur" is niet echt wenselijk.

Waar is de mogelijkheid om ENKEL functionele, first party cookies toe te staan.
(Google Analytics beschouw ik trouwens niet als 1st party)
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBWebsites en communities

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True