Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 16 reacties

Promovenda Elisa Costante van de TU Eindhoven bouwde een tool waarmee privacygedrag van websites in kaart gebracht wordt. De algoritmes analyseren de privacy-policy en berekenen de 'privacykosten' van de website. Ook wordt 'abnormaal gedrag' gedetecteerd in databases.

Privacy throughout the data cycle elisa costante tueHet werk van Costante bestaat vooralsnog alleen als een losstaand algoritme en nog niet als een volwaardige applicatie. De broncode is beschikbaar voor onderzoekers. Een daadwerkelijke plug-in voor een webbrowser is er dan ook nog niet, zegt Costante tegen Tweakers. Costante hoopt dat er na de publicatie van het onderzoek geïnteresseerden daadwerkelijk met de code aan de slag gaan.

De onderzoekstool waarschuwt vooraf hoe een site omgaat met persoonlijke gegevens. De software geeft de websites een cijfer, waarbij geldt: hoe hoger, hoe beter het met de privacy is gesteld. Voor het doorspitten van de eula's van websites wordt nu nog alleen gebruik gemaakt van Engelstalige termen, waardoor in principe elke website met een terms of service in die taal gescand kan worden.

Voor de berekening van het privacycijfer, kijken de algoritmes onder andere naar de gevoeligheid van de opgeslagen gegevens en hoe lang de privacygevoelige data bewaard worden. Ook wordt rekening gehouden met de koppeling aan andere webdiensten, die vaak ook elk hun eigen privacy-policy hebben.

Als voorbeeld wordt in het onderzoek van Costante een 'orkestratiemodel' van een reiswebsite genoemd. Die site maakt gebruik van hotelwebsites, autoverhuursites en Google Maps. De tool werkt in stappen: eerst kijkt hij in hoeverre het privacybeleid onderwerpen afdekt, dan naar de betekenis en vervolgens naar de ernst van het gebruik van de data door de provider.

Voor haar promotieonderzoek nam Costante de hele cyclus van onlinedataverkeer onder de loep om oplossingen te bedenken voor zwakke punten. Zo blijkt in het laatste deel van haar onderzoek dat databases waar providers persoonlijke gegevens opslaan, niet goed beveiligd zijn. Ze hebben wel toegangscontrole, maar houden niet in de gaten wat de gebruikers van de desbetreffende data doen als ze binnen zijn.

Daarom ontwikkelde Costante ook een tool om afwijkend gedrag in databases op te sporen. Deze tool staat los van hoe een normale internetgebruiker een website gebruikt. De software controleert de achterliggende database, maar kijkt niet naar het netwerkverkeer. De door een gebruiker ingevoerde data komt ten slotte terecht in een database die kan worden ingezien door bijvoorbeeld een werkgever of een systeembeheerder. In die systemen zitten volgens de onderzoekster veel potentiële datalekken.

In het onderzoek wordt geclaimd dat het de eerste tool is die relatief weinig valse alarmen afgeeft en het dataverkeer niet merkbaar vertraagt. Het bedrijf SecurityMatters, een spin-off van de TUe en de Universiteit Twente, gaat de resultaten van Costante's werk aanbieden in een product. Het proefschrift zal binnenkort te vinden zijn in de publicatie-repository van de universiteit.

privacy throughout the data cycle elisa costante eindhoven

Voorbeeld van een orkestratiemodel

Moderatie-faq Wijzig weergave

Reacties (16)

Ik zou willen dat dit bericht geen grap was. ;(

Hoe kan een tool nou een EULA scannen en daarvan een beeld vormen? 8)7
Onduidelijke tekst waar zelfs advocaten het moeilijk mee hebben, geen standaard locatie, of zelfs geen EULA. Dat maakt het onmogelijk om te bepalen wat bedrijven ermee doen.

Daarnaast: databases controleren?
Dat kan enkel door de eigenaar gedaan worden. Een Facebook, Google, etc geeft geen toegang tot de DB aan gebruikers. Dus kan de gebruiker ook geen controle op uitvoeren.
En die weet ook niet met welke systemen er allemaal koppelingen zijn. Dat staat ook niet publiek.

En hoeveel vertrouwen heb je als je zo'n cijfer van de website zelf krijgt? Geen toch?
Als ik haar Google Scholar papers bekijk gok ik dat het Machine learning is. https://scholar.google.nl...s?user=q63GPZUAAAAJ&hl=en

Dus ik denk dat de machine leert waarvoor bepaalde zinnen bedoeld zijn. Dat de tool daarmee de EULA scant.

Het algoritme is denk ik meer bedoeld voor de gebruiker zelf. Je kan als het een extensie is gewoon de EULA dan nog steeds scannen. Dan hoef je niet op de "Wij van WC-eend, adviseren WC-eend" methode te vertrouwen.
Mooi initiatief. Mag veel meer aandacht aan privacy mbt individuele websites worden besteed.
Inderdaad, hopende op een vervolg met resultaten van 'de grootste partijen'!
Zeer goed initiatief. Zo kan het doorgaans onzichtbare zichtbaarder gemaakt worden, waardoor mensen zich bewuster van privacy-inbreuk worden. De laconieke houding van velen is deels te wijten aan het feit dat privacyschending grotendeels onzichtbaar achter de schermen gebeurt.

Met een tool als deze kunnen mensen besluiten sommige websites links te laten liggen, wat voor een positieve selectiedruk zorgt.
Anderzijds is het wel zo dat als men te zien krijgt dat veel favoriete sites een hoop persoonlijke informatie verzamelen, de neiging bestaat om deze privacyschending voor lief te nemen omdat men de sites toch wil blijven gebruiken. Bewustwording van die privacyschending en ondertussen toch de site blijven bezoeken, betekent dan meer acceptatie van de informatieverzameling, om de cognitieve dissonatie weg te werken.
Die laatste alinea die je hier schrijft is inderdaad wel erg belangrijk!
Als ik een plugin bij mijn schoonouders in de browser zou installeren, zullen ze zich bij facebook (waarschijnlijk) rot schrikken van het lage cijfer.
Als nu blijkt dat nu.nl, telegraaf.nl en youtube ook relatief laag scoren (waar ik niet van zou staan te kijken), worden de alarmbellen al snel gedempt en nadat er 8 sites zijn geweest die minder dan een 4 scoren, kijken ze waarschijnlijk niet meer naar die melding.

Wel lijkt het mij een handige oplossing en wie weet, wordt het bewustzijn van 'normale' eindgebruikers hiermee wel een beetje geprikkeld (zal ik nou wel of niet die goatse op facebook plaatsen).
Een tool die op zoek is naar privacy gevoelige data omwille van de privacy. Een 1 april grap toch?
Mag 't hopen, of er zit een huzaren stukje aan sql injectie in om de achterliggende db's te scannen.
De algoritmes analyseren de privacy-policy en berekenen de 'privacykosten' van de website.
Best interessant ik zou wel willen weten hoe de paar echte grote internet-dienstverleners uit die test komen, en wat de onderlinge verschillen zijn.
Ik kan niet anders dan dit toejuichen! Goed dat we, hopelijk binnenkort, dingen kunnen zien van anderen.
Ik gebruik sinds een tijdje de plugin Ghostery, deze plugin blokkeert trackers maar maakt ook zichtbaar welke trackers een pagina gebruikt en geeft meer informatie over wat deze trackers doen. Een aanrader!

Zo gebruikt deze Tweakers pagina er 4: Doubleclick, Google AdSense, Google Analytics en Webtrekk.
In die systemen zitten volgens de onderzoekster veel potentiële datalekken

Joh, dat is de bron van de data. Niet zo raar dat daar de meeste potentiële lekken zitten, aangezien er vanalles aan word geknoopt.
Wie scant de scan tool!!!

:P ;)
De broncode is beschikbaar voor onderzoekers.
Het betreft alleen de algoritme op het moment, maar als er een open source plugin van wordt gemaakt dan kun je het zelf "scannen" ;)

[Reactie gewijzigd door TIGER79 op 1 april 2015 13:46]

ben benieuw wat voor cijfer je krijgt als je naar de site van nsa gaat

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True