Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 36 reacties
Submitter: ADQ

Britse gebruikers van Apples webbrowser Safari mogen Google aanklagen om een loophole, die enkele jaren geleden werd ontdekt. Dat bepaalde het zogeheten Court of Appeal in het Verenigd Koninkrijk vrijdag.

Tracking cookieHet Court of Appeal, enigszins vergelijkbaar met een gerechtshof in Nederland, gaf een aantal Safari-gebruikers gelijk. Die spanden een zaak tegen Google aan nadat bleek dat de techgigant een privacy-optie van Safari omzeilde. Door een zogenoemde loophole kon het bedrijf toch een third party-cookie plaatsen, terwijl Safari die standaard blokkeert.

In 2012 werd bekend dat Google de privacy-optie van Safari ontweek. Daardoor kon het zoekbedrijf gebruikers over verschillende websites ongevraagd volgen. Google zei dat de fout er onbewust was ingeslopen. Het bedrijf wilde namelijk controleren of gebruikers waren ingelogd op Google+, zodat kon worden bepaald of de +1-knop op advertenties zichtbaar moest zijn.

De Safari-gebruikers gingen niet akkoord met die uitleg en wilden een zaak aanspannen. Google wist dit tot nu te voorkomen met de hoop dat het gerechtshof hier een stokje voor zou steken, zo meldt de BBC. Google beargumenteerde onder andere dat het omzeilen van de privacy-optie Safari-gebruikers geen financiële schade heeft berokkend.

Het gerechtshof stelde Google vrijdag echter in het ongelijk. Het oordeelde dat het zoekbedrijf door de loophole maandenlang informatie kon verzamelen en die kon gebruiken voor reclamedoeleinden. Deze werkwijze zou bij Safari-gebruikers voor ongerustheid hebben gezorgd. Daarom mogen de gebruikers van gerechtshof nu een zaak tegen Google starten.

Google laat in een reactie weten teleurgesteld te zijn over de uitspraak. De Safari-gebruikers, die de overwinning er eentje noemen in de categorie David tegen Goliath, zeggen daarentegen tevreden te zijn. "Normale computergebruikers hebben nu het recht om deze gigant aansprakelijk te stellen voor zijn onacceptabele, immorele en onjuiste handelingen", zo vertelt er een tegen de BBC.

Moderatie-faq Wijzig weergave

Reacties (36)

Ik blijf dit alles een erg aparte zaak vinden.

Ten eerste is het nuttig te begrijpen hoe de exploit werkte. Om eerlijk te zijn volg ik het niet helemaal, maar het komt er op neer dat form cookies toegestaan waren zelfs als third party cookies uit stonden. Dit werd al in 2010 blijkbaar ontdenkt volgens zdnet:
The exploit isn't new. It was first discovered in 2010 by Stanford researcher Jonathan Mayer and confirmed web developer and researcher Anant Garg.
En in 2012 werd bekent dat een aantal adverteerders van deze mogelijkheid gebruik maakten.
The Journal says that other advertising networks do similar things, such as the Media Innovation Group, Gannet's PointRoll, and Vibrant.
Nu, waar ik dus zo'n dubbel gevoel bij heb is of het nu volgens deze rechtzaken dus fout is om als website gewoon het uiterste uit een browser te halen. Vaak genoeg als programmeur heb ik in het verleden 'hacks' gebruikt om bugs in browsers te omzijlen. Is dat dan ook fout? En wat maakt dit dan objectief wel fout? Third party cookies konden niet weggeschreven worden, dus ze vonden een andere manier. En dat ze je tracken was nog steeds de overeenkomst tussen Google en de site eigenaren, en die zorgen er weer voor dat het een deel is van de overeenkomst tussen de site eigenaren en de gebruiker...
Hier werd bewust een privacy optie omzeild. Dus gebruiker zet privacy optie aan, Google zegt: niets mee te maken, wij willen toch alles van je weten. (Beetje gechargeerd, om het simpel te houden)
Dat is meer dan alleen een bug omzeilen.
Het was erger, Google gaf op een hulppagina aan hoe te surfen met Safari zodat je opt-out ging voor advertising cookies. Maar dat klopte totaal niet omdat Google juist om deze Safari settings heen programmeerde met hun javascripts.

Zie hier een snapshot van de inmiddels door Google verwijderde hulppagina : https://dl.dropboxusercon...e_safari_instructions.png

Hier meer info van de ontdekker van de exploit:
http://cyberlaw.stanford....e’s-safari-tracking
Is safari dan ook niet mede schuldig omdat deze google de mogelijkheid
gaf om van de loop hole gebruik te maken of kan/kon google dit met
alle browsers die een privacy optie hebben?
Nee. Schuldig niet, verantwoordelijk wel. Het is de verantwoordelijkheid van een browser om exploits te dichten, maar ze kunnen nooit schuldig worden aan het misbruik ervan, tenzij ze zelf de exploit misbruiken.

Een beetje als wanneer je thuis een slot op de deur zou hebben waarvan bekend wordt dat het kraken is en er vind een inbraak plaats. De fabrikant is dan niet schuldig aan inbraak, maar was er wel medeverantwoordelijk voor.
Dus ik maak een browser die stuurt een header "X-TrackMeNot" mee, en alle sites die daaraan geen gehoor geven mogen aangeklaagd worden?

In de Amerikaanse zaak die gesettled is ging het er ook meer om dat Google de gebruikers had misleid door te stellen dat als ze gebruik maakten van de privacy instellingen van de browser, er dan geen third party cookies via hen geplaatst zouden worden. Het hoe of wat van hoe die cookies toch nog geplaatst werden was niet echt van belang.
Het ging niet om die header waar jij het over hebt, want dat is een verzoek. Safari kon zelf dingen blokkeren. Zo'n privacy pagina die je in andere browsers ook hebt. Maar door een bug kon je daar omheen. Dus er is door Google opzettelijk code gemaakt om specifiek van die bug MISBRUIK te maken. Dat is wat anders dan een Do-Not-track verzoek negeren.
Mij ging het om jouw stelling:
Hier werd bewust een privacy optie omzeild
Als ik claim dat mijn 'X-TrackMeNot' - niks met DNT te maken - een privacy optie is en dat de browsermakers die 'omzeilen' door hem te negeren.

Maar goed, stel mijn browser gaat in plaats daarvan tracking cookies zelf blokkeren door te filteren op 'ad' en 'track'. Vervolgens krijgt een bedrijf dat door en hernoemt ze 'da' en 'kcart', en worden de gebruikers van m'n software alsnog gevolgd. Dat bedrijf maar aanklagen dan?

Zoals ik al zei, bij de Amerikaanse zaak ging het sowieso grotendeels niet om het al dan niet gebruik/misbruik en/of omzeilen, maar om claims die niet klopten.
Ja, aanklagen.
Als iemand jou stalkt en je zegt dat ie moet stoppen en diegene gaat maar door. Dat wil je toch ook niet?
Nee natuurlijk wil je dat niet , maar helaas (uit persoonlijke ervaring) ben je dan als "gestalkte" persoon alsnog de lul , want alles wat jij erop zegt of doet word weer tegen je gebruikt :P.

Uiteindelijk was het alleen safari die hun "do not track" niet in orde had , typical om dan achter google aan te gaan ipv achter apple omdat hun sinds 2010 het niet opgelost hebben.
Apple had het inderdaad op moeten lossen.
Maar als mijn huisdeur op slot is, en dat slot heeft een fout waardoor iemand met een zelfgemaakt gereedschap de deur open kan maken. Dan is diegene toch erg fout bezig? Dat is wat Google naar mijn mening heeft gedaan. Ja, het slot moet gemaakt worden, maar dat betekent nog niet dat iemand zomaar mag inbreken.
Het is volgens de uitspraak helemaal niet fout om het "uiterste" uit een browser te halen, het is fout om tegen de wens van de gebruiker in dergelijke 3rd-party cookies te plaatsen en daarmee gebruikers te tracken en privacy-gevoelige informatie te verzamelen.

Het is "objectief" fout omdat de een onafhankelijke rechter heeft uitgesproken dat het fout is.
De rechter heeft nog niets hierover gezegd. Bij dze zaak ging het er alleen om f de Safari gebruikers een rechtzaak tegen Google mochten aanspannen. Google claimde dat ze uberhaupt geen rechtzaak mochten beginnen, omdat er geen financiele schade was. Drvan heeft de rechter nu gezegd dat dat niet relevant is.

Pas bij een eventuele volgende rechtzaak zal een rechter een uitspraak doen over de vraag of het fout was op deze manier een cookie te zetten bij gebruikers die dat expliciet hadden verboden.
Geen financile schade zegt Google.

Google heeft er wel op verdiend, ergens kun je zeggen dat dat financiele schade is tov de gebruiker.
Per definitie is er geen financiele schade voor de gebruiker. Ze hebben geen cent minder dan zonder het zetten van de cookie. Daarom dat Google ook klaagde dat dit geen grond voor een rechtzaak in het VK was. Maar de rechter heft geoordeeld dan ondanks dat er gn financiele schade is er toch redenen voor een rechtzaak in het VK zijn.
Indirect heb je gewoon gegevens afgestaan / gegenereerd en daar ben je niet voor vergoed. Dat geld is nu bij Google blijven hangen.

Dus indirect heb je nog steeds financiele schade. al is het niet direct op je portemonee af te leiden.
Kwestie van nadenken over de intentie die ergens achter zit. Het blokkeren van third party cookies gaat om privacy. Maar het gebruik dat men maakte is bewust wel een inbreuk op iemands privacy - en gaat dus rechtstreeks in tegen de intentie van de gebruikers. Dan weet je als bedrijf prima dat het laakbaar is (ongeacht of het strafbaar is.) Ze hoopten ermee weg te komen, maar echt, NIEMAND die hier aan mee heeft gewerkt dacht dat ze in lijn met de wensen en verwachtingen van de gebruikers van Safari handelden hoor...

Zo moeilijk is het vaak helemaal niet om te weten wat wel en niet juist is.
Soms vraag ik me inderdaad af hoe stupide een bedrijf wil zijn.

Je ziet ook iets vergelijkbaars terugkeren bij het uitloggen van je google-account. Je kunt weliswaar niet bij je mail, maar je wordt nog steeds braaf gevolgd dmv je account-naam.

Overigens maakt niet alleen google zich schuldig aan die dubbele bodems, Facebook kan het ook weinig boeien of je bent uitgelogd of niet.
Dat hoort geen overeenkomst te zijn tussen siteeigenaren. De gebruiker hoort daar zelf over te beslissen middels die instelling. Het kan mogelijk zijn om die instelling te negeren maar het is niet de bedoeling. Het is simpelweg niet netjes van Google, maar ze komen er vast weer me weg.
In dit geval kan je het bezwaarlijk een browser-bug noemen natuurlijk. Ik zou zelfs zeggen eerder een feature van Safari. En zeker van een andere dimensie dan CSS / HTML hacks.

Of gebruikers schade hebben opgelopen is wellicht moeilijk vast te stellen maar dat Google er geld mee verdiende is dan weer makkelijk te verstaan. Maar ik ga zeker mee in je punt dat het wat ambigue is wie verantwoordelijkheid draagt naar de www-bezoeker toe (Google of de eigenaar vd bezochte website). Wat wel als een paal boven water staat, is dat Google de hack programmeerde, niet de eigenaar vd bezochte website.
Lijkt me een logische uitspraak. Je bent ook strafbaar als je een wachtwoordbeveiliging (probeert te) omzeilen, zelfs als dat zou lukken door "het uiterste uit de serversoftware te halen". ;-) Dan moet dat in de omgekeerde richting ook maar zo werken.
Er zit een groot verschil in het om bugs heenwerken en in het misbruiken van bugs om dingen te doen die gebruikers expliciet niet willen. Wat google hier gedaan heeft is simpelweg het "hacken" van de browser voor commercieel gewin. Iets wat in mijn ogen gewoon een criminele daad is en waarvoor men ook strafrechtelijk vervolgd zou moeten worden.
"They concern what is alleged to have been the secret and blanket tracking and collation of information, often of an extremely private nature… about and associated with the claimants' internet use, and the subsequent use of that information for about nine months. The case relates to the anxiety and distress this intrusion upon autonomy has caused."

VS

"Deze werkwijze zou bij Safari-gebruikers leed en angst hebben veroorzaakt"


De uitspraak wordt wel wat opgeblazen in de vertaling zo.

ongerustheid en verontrusting lijkt me beter passen in deze context.

[Reactie gewijzigd door steveman op 27 maart 2015 17:52]

Volgens mij hoort het niet op de Frontpage maar in Feedback, maar toch even een reactie.
Volgens mij valt het namelijk wel mee met dat opblazen in de vertaling:

"They concern what is alleged to have been the secret and blanket tracking and collation of information, often of an extremely private nature… about and associated with the claimants' internet use, and the subsequent use of that information for about nine months. The case relates to the anxiety and distress this intrusion upon autonomy has caused."

De dikgedrukte stukjes tekst lijken mij een prima grond voor hetgeen jij opgeblazen vindt.

'Ongerustheid en verontrusting' zijn dan ook 2 verschillende woordvormen van exact hetzelfde.

[Reactie gewijzigd door Crazy Harry op 27 maart 2015 19:40]

Hier de website van de groep, http://www.googlelawsuit.co.uk

Daar kun je ook de groep joinen, http://www.googlelawsuit.co.uk/JoinAction

In de VS heeft Google al miljoenen dollars moeten betalen hiervoor:
Google has already paid fines of over $40m related to this incident in the US. It was fined by the Federal Trade Commission (FTC) and separately by 38 US states.
Gaat dus echt wel ergens over, joinen is eenvoudig, gewoon een mailtje sturen.
Eigenlijk zou nu eens bekend moeten worden wat Google gemiddeld aan een profiel verdient. Dan kan er een goeie inschatting gemaakt worden in hoeverre Google verdiend heeft aan het omzeilen hiervan en kan een betere boete uitgedeeld worden. Gezien het feit Google dit vaker doet lijkt de boetes ze niet veel te leren en gaan ze verder met de privacywensen van hun product.
Dus ze hebben de zaak gewonnen dat ze een zaak mogen aanspannen?
Dan begint het echte werk toch echt nu pas lijkt me.
Of het feit dat een wet wel of niet bewust wordt overtreden maakt vrijwel geen verschil. Een rechter kan dit wel mee laten wegen in de straf/boete, maar het zegt niets of een handeling wel of niet aan de wet voldoet.

"Een burger wordt geacht de wet te kennen" is een rechtsbeginsel.
Bij subjectieve zaken zoals privacy worden moreel compas en integriteit belangrijk.
Zaken die bv van overheden verwacht worden. Eigenlijk van iedereen maar alla.
Dat Google als grote business speler, die ook veel invloed heeft, deze entiteiten ziet als flexibel te hanteren zegt dus wel iets. Een overheid zou ter verantwoording worden geroepen. Waarom grote entiteiten als google niet?
Google zei dat de fout er onbewust was ingeslopen.
Het is niet de eerst keer dat Google iets per ongeluk doet wat in hun voordeel is. Zo was het ook met de SSID's die door de streetview auto's opgepikt waren. Jajaja, zo naf zijn we nu ook alweer niet.
Het zijn net mensen...
ken je het gezegde: "once is chance, twice is coincidence, third time is a pattern"? Google overkomt het net even te vaak. Maar idd, het zijn net mensen. Geef mensen macht en ze worden corrupt. Daar is ook zo'n mooie quote van: "power corrupts, absolute power corrupts absolutely".

[Reactie gewijzigd door HerrPino op 27 maart 2015 19:59]

Na de upgrade naar iOS 8.2 liep Safari definitief in de soep. Het was al langere tijd niet geweldig, maar nu doet ze helemaal niks meer. Ben nu overgestapt op Mercury; daar zit tenminste een adblocker ingebouwd. Bovendien een stuk vlotter dan Safari.
Van de ene closed source browser (of althans, daar lijkt het op, ik kan er namelijk maar weinig zinvols over vinden) naar de andere. Jammer, jammer...
Tsja, het is niet alsof je veel keus hebt in de App Store. Ik had ook liever iets anders gekozen, maar dit is de enige browser die een adblocker heeft. Het liefst had ik gezien dat je voor een volledige Chrome of Firefox browser (met add-on support) had kunnen kiezen, maar die zijn er niet voor iOS. De Chrome-versie die in de store staat is een uitgeklede versie en lijkt eigenlijk veel op Safari, maar dan met een iets andere skin.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True