Nuance: anonieme gebruikers zijn toch te tracken door accustatus

Wie anoniem wil internetten via smartphone of laptop, kan toch verraden worden door de accustatus. Daarover schrijven veel media woensdag. De bedreiging voor de privacy is desondanks niet zo groot als het lijkt.

In Nederland publiceerden onder meer De Telegraaf en RTL Nieuws over het onderzoek, terwijl in Vlaanderen Het Laatste Nieuws en Datanews artikelen online zetten. De strekking van de artikelen is dat site-eigenaren en advertentiebedrijven gebruikers kunnen volgen, ook al gebruiken ze een vpn of andere maatregelen om anoniem te blijven. "Kwaadwillende webbouwers kunnen op die manier elke 30 seconden de batterijstatus opvragen en koppelen aan een gebruiker van wie ze die status al hadden. Zo kunnen gebruikers toch gevolgd worden", aldus RTL Nieuws.

Het onderzoek waarop de berichtgeving is gebaseerd, schept echter een genuanceerder beeld van de bedreiging van de privacy. Het onderzoek is onder meer uitgevoerd door onderzoekers van de KU Leuven, een Belgische universiteit. De bevindingen staan online in de paper 'The leaking battery'.

Het herleiden van gebruikers gebeurt in die methode via de 'battery status api' in html5. Deze vertelt het resterende accupercentage en de schatting van het aantal seconden dat de accu het nog zal volhouden, bijvoorbeeld om bij een bijna lege accu plugins uit te schakelen of video's die automatisch afspelen niet weer te geven. Er zijn volgens de onderzoekers 14 miljoen combinaties van gegevens, waardoor het makkelijk is iemand te identificeren aan de status van de accu.

Het punt is echter dat de accu gedurende het browsen leegloopt en elke dertig seconden geeft de smartphone of laptop een andere status. Daardoor is het mogelijk om een terugkerende bezoeker binnen dertig seconden te identificeren, maar wie lang daarna terugkeert, kan niet meer worden herkend. "Dat betekent dat in de praktijk het risico van tracking over langere periode met deze informatie te verwaarlozen is", aldus de onderzoekers. Wel is het mogelijk om meerdere apparaten met hetzelfde ip-adres, bijvoorbeeld van een bedrijf, van elkaar te onderscheiden.

Daar komt bij dat maar enkele browsers de 'battery status api' ondersteunen: Chrome, Firefox en Opera. Gebruikers van Internet Explorer, Edge, Safari of een andere browser kunnen dus niet gevolgd worden. Mozilla heeft bovendien Firefox al een paar maanden geleden gepatcht, waardoor de gegeven informatie minder precies is en tracking niet meer mogelijk is.

Hoewel Chrome en Opera voor laptops nog de precieze info over de accustatus doorgeven, doen de mobiele versies dat in elk geval niet. Die geven alleen het accupercentage door, maar omdat die maar 100 waarden kan hebben - van 1 tot 100 procent - is dat niet bruikbaar voor nauwkeurige tracking. Op desktops werkt het uiteraard helemaal niet. Als de api dan aangeroepen wordt, geeft die simpelweg aan dat de accu op 100 procent zit.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 05-08-2015 19:15
67 • submitter: Aegir81

05-08-2015 • 19:15

67

Submitter: Aegir81

Lees meer

Door Archos gemaakte 'privacytelefoon' GranitePhone komt uit
Door Archos gemaakte 'privacytelefoon' GranitePhone komt uit Nieuws van 12 oktober 2015
Mozilla geeft Firefox-versie met html5-drm vrij
Mozilla geeft Firefox-versie met html5-drm vrij Nieuws van 12 mei 2015
Google maakt notificaties van websites mogelijk in Chrome voor Android
Google maakt notificaties van websites mogelijk in Chrome voor Android Nieuws van 21 april 2015
Mozilla brengt bètaversie Firefox 38 met reading list uit
Mozilla brengt bètaversie Firefox 38 met reading list uit Nieuws van 3 april 2015
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (67)

-Moderatie-faq
67
67
51
1
0
0
Wijzig sortering

Sorteer op:

Weergave:
poor Leno 5 augustus 2015 19:20
Even serieus, maar waarom de f*ck geven mijn apparaten in godsnaam de batt status door en is dat op te vangen door anderen?? :(
Bl00dsoul @poor Leno5 augustus 2015 19:25
Als je firefox gebruikt;
navigeer naar about:config,
zoek naar battery, en toggle het naar false
swel @Bl00dsoul5 augustus 2015 19:40
Dat betekent alleen dat je het zelf niet meer gebruikt he.
Niet dat de functie ineens niet meer bestaat.
Verwijderd @Bl00dsoul5 augustus 2015 20:03
Als ik de paper bekijk schrijven ze dit over welke oplossing de Battery Status API succesvol blokkeert:
To the best of our knowledge, the only browser that has a strong defense against fingerprinting by the Battery Status API is Tor Browser. Tor Browser completely disables the API to thwart possible fingerprinting attempts. (p.6 paper)
Is het uitschakelen van de API in Firefox config niet voldoende dan :?.
The Battery Status API, more often referred to as the Battery API, provides information about the system's battery charge level and lets you be notified by events that are sent when the battery level or charging status change.
bron: https://developer.mozilla...eb/API/Battery_Status_API
[FSF]Moses @Bl00dsoul5 augustus 2015 23:11
Daarna wel Firefox opnieuw opstarten, anders blijft hij de 'oude' status weergeven. Na herstart wordt het niet meer meegestuurd.
Genetai @poor Leno5 augustus 2015 19:52
...bijvoorbeeld om bij een bijna lege accu plugins uit te schakelen of video's die automatisch afspelen niet weer te geven.
Staat er gewoon in hoor ;) Ook al zou auto play standaard al uit moeten staan imo en voldoet een "accu bijna leeg" popup al jaren prima.
Niemand_Anders @Genetai5 augustus 2015 20:44
Maar waarom vraagt de browser niet eerst om toestemming (per website?) of de batterij status mag worden doorgegeven zoals dat ook al gebeurt met (GPS) locatie gegevens?
David Mulder @Niemand_Anders6 augustus 2015 04:42
Er word (belachelijk) streng gekeken naar de security implicaties van iedere feature en features die prive gegevens delen worden standaard dus achter slot en grendel gezet zodat ze niet zonder toestemming gebruikt kunnen worden. Wat moet begrepen worden is dat technische informatie over een systeem nooit geheim werd gehouden. Sites konden al eeuwen een gebruiker tracken door een fingerprint te maken van de browser user agent, geinstalleerde fonts, etc. etc. Batterij status past perfect in die lijst en is nog een stuk minder indentificeerbaar, omdat iedere keer als je het opvraagt de waarde anders is, dus het is een volkomen onpraktisch idee omdat serieus voor fingerprinting te gebruiken, vooral als je veel en veel betere opties daarvoor hebt.
m8ZBm1Si @Niemand_Anders5 augustus 2015 23:36
Omdat je batterij percentage nauwelijks privacy gevoelig is, terwijl je GPS locatie dat wel is.
Blizz @m8ZBm1Si6 augustus 2015 02:28
Ik zou zeggen: omdat nog géén grote partij hiertegen is opgetreden. Als Apple of Google hiertegen optreedt is het gauw gedaan met zomaar batterijstatus opvragen anno 2015.
t_o_c @Blizz6 augustus 2015 03:02
Ja want Google is ook zo lekker tegen het tracken van gebruikers... Als er een bedrijf is dat hier niks om zal geven dan is het Google wel.
Blizz @t_o_c6 augustus 2015 03:20
Dat denk ik ook niet, maar zo'n bedrijf zou wel een kettingreactie kunnen veroorzaken.
Verwijderd @t_o_c6 augustus 2015 18:10
Oh jawel, want Google heeft alle reden om de privacy van haar gebruikers te waarborgen tegen andere trackers. Zolang je netjes Chrome, Android, Google services, gebruikt trackt Google je toch wel...
Durandal @m8ZBm1Si6 augustus 2015 02:06
Oh. Maar daar denken we nu ineens wel anders over dan.

Ik overigens ook wel benieuwd welk licht het in zijn knar heeft gehaald om de batterijstatus in de api te zetten..
t_o_c @Durandal6 augustus 2015 03:02
Nee daar denken we helemaal niet anders over. Zoals in het artikel staat is het na 30 seconden dus al niet meer mogelijk om iemand te tracken.

De functie opzich is helemaal niet slecht bedacht. Het is best handig als accu intensive taken zoals video's laden, GPS etc automatisch uitgeschakeld kunnen worden aan de hand van de accu status
Durandal @t_o_c6 augustus 2015 19:38
En moet de server dat dan maar beslissen? Dat kan mijn OS of mijn browser zelf wel.
Encapsulation of responsibilities.
Arietje @Genetai5 augustus 2015 20:11
Vind het alsnog een rare constructie dat iedere website individueel daar iets op zou moeten bouwen, dit lijkt me iets om uniform vanuit de gebruiker in te stellen in de browser indien gewenst.
Glodenox @Arietje5 augustus 2015 22:08
Het is geen kwestie van "moeten", het is eerder "kunnen". Een goede use-case lijkt me een spel op een website waarbij een ronde altijd x minuten duurt. Als het spel via de battery API opmerkt dat je nog maar y (waarbij y < x) minuten aan batterij hebt, zou het spel hiervoor kunnen waarschuwen als je een nieuw spelletje wilt opstarten.

In mijn ogen is het inderdaad niet echt een van de meest nuttige APIs die we ter beschikking hebben, maar ik zie wel use cases.
Gamebuster @Glodenox5 augustus 2015 22:28
Coole use-case :)
Synthiman @poor Leno5 augustus 2015 20:16
Even serieus, maar waarom de f*ck geven mijn apparaten in godsnaam de batt status door en is dat op te vangen door anderen?? :(
Het idee hierachter is dat de webpagina zich aanpast aan de batterij-status. Bij laag energie-niveau worden bepaalde delen van de pagina niet geladen, om zo energie te besparen,,,
Durandal @Synthiman6 augustus 2015 02:08
Oh, werkt dat op reclames? :D
Verwijderd @poor Leno5 augustus 2015 20:35
Er zijn genoeg zinvolle toepassing te verzinnen voor een API call met deze informatie. Een kritische applicatie kan bijvoorbeeld zichzelf stoppen (of de kritische processen on hold zetten als de batterij status te slecht wordt.
johnkeates @poor Leno5 augustus 2015 22:40
Het staat in de tekst waarom.

Los daar van: je bent op wel meer manieren te identificeren hoor, en er wordt ook echt wel meer informatie gecommuniceerd. Anoniem bestaat niet zoals in de fysieke wereld: alle data is permanent en geenumereerd.

Je kan het vergelijken met het idee dat je anoniem over straat kan lopen. Een computer zou je herkennen aan de manier waarop je loopt, aan je afmetingen, aan de plek waar haarzakjes haar door je huid naar boven duwen enz. Puur om dat wij mensen dat niet kunnen zien en onthouden voor alles en iedereen wat we tegen komen denken wij dat dat dus anonimiteit is.

Kijk bijvoorbeeld zoals gesuggereerd naar https://panopticlick.eff.org/ om een greep uit de data die je browser stuurt (en moet sturen / beschikbaar stellen) om te kunnen internetten. Je hebt daar ook maar beperkt keuze in, je kan van alles blokkeren en uitschakelen, maar dan kan je gewoon niet meer browsen.
sprankel @poor Leno6 augustus 2015 03:41
De batterij status is maar een klein probleem van een groter probleem, identificatie op basis van een footprint.
Er bestaat hier al langer een test project voor waar je kan zien hoe uniek jouw footprint is => https://panopticlick.eff.org/

Het probleem zit hem erin dat je allerhande informatie kan opvragen, schermresolutie, browser versie, plugin versie, tijdzone, etc en nu dus ook batterij status. Door de combinatie van meerdere op zich onschuldige informatie krijg je een unieke identifier waardoor je plots te volgen bent. Een klassiek voorbeeld van data mining.
David Mulder @poor Leno6 augustus 2015 04:52
Omdat dat een nuttig stuk informatie is waar geen serieuze security risico's aan hangen. Ik bedoel maar, het theoretische risico wat hier word omgeschreven is als volgt:
  • Een gebruiker opent een site eerst in normale browsing modus en logt in
  • Een gebruiker opent dezelfde site binnen 30 secondes in incognito modus en kan herkent worden op basis van IP en batterij status
Ja... zo eng en zo realistisch 8)7 . Dit artikel van tweakers geeft al een redelijk genuanceerd beeld in vergelijking met de rest van de media: Er is gewoon helemaal niks om je druk om te maken.

En om je antwoord te geven op je vraag: Eén (demo) library die ik heb gemaakt bijvoorbeeld heeft een polling mechanisme ingebouwd om te checken of er nieuwe gegevens zijn. Nu, als de pagina in de achtergrond is (Page Visibility API) word de poll interval significant verlaagd, en als de batterij ook nog eens laag is word hij zelfs totaal uitgezet (en zodra het scherm in focus komt checked hij weer). En het doel was/is van de lib dat hij een websocket connectie zou gebruiken terwijl het scherm in focus is, maar nooit zo ver gekomen (en sowieso werkte polling prima genoeg~). Op laptops enzo is dat handig maar niet al te cruciaal, maar op mobieltjes kan dat een wereld van verschil maken.
moozzuzz 5 augustus 2015 19:19
Een komkommer-storm in een glas water dus. Ik vraag me wel af of er al gewerkt is aan de issues opgegeven door https://panopticlick.eff.org/ (eg: quasi iedereen heeft een unieke manier om plugins en lettertypes via js door te geven...).
Armin
@moozzuzz5 augustus 2015 19:59
Die issue is minder groot dan de EFF initieel dacht/deze website suggeererd. Het probleem is juist, maar de mathematische waarde (bits met informatie) die aan de waarden geplakt wordt klopt niet. Dat komt omdat het aantal bezoekers aan die site is niet representatief.

Zo gebruik ik IE11 op Windows 8.1 en beweert EFF dat mijn user agent 12.4 bits informatie te halen zijn. Dat is omdat slechts 1 op bijna 5400 bezoekers IE11 op Windows 8.1 gebruikt. Het is evident dat in werkelijkheid het aandeel IE11 op Windows 8.1 ietsje groter is O-) Maar onder EFF bezoekers is waarschijnlijk IE11 niet echt populair :+

Het probleem is overigens wel reeel, want in combinatie met tijdzones en op PC's lettertype (op mobieltjes is soms juist vaak 0 extra bits, want bepaald door het OS) kan men wel veel info achterhalen. Maar de effectiviteit is veel minder. Niet voor niets gebruiken advertentiebedrijven nog steeds enkel nog cookies. De rest is qua kosten vs effectiviteit gewoonweg niet rendabel.
Verwijderd @Armin5 augustus 2015 20:15
Mijn score is niet goed :(. Dit komt door de system fonts.
Your browser fingerprint appears to be unique among the 5,682,824 tested so far.
De volgende vraag is hoe kun je deze informatie maskeren?

[Reactie gewijzigd door Verwijderd op 23 juli 2024 04:12]

Armin
@Verwijderd5 augustus 2015 20:39
Mijn punt was dat de "score" niet klopt en een veel te negatief beeld geeft. Dus het gemaakte punt van de website is juist, de score echter niet en daarmee de ernst overtrokken.
Verwijderd @Verwijderd6 augustus 2015 02:25
Ik gebruik normaal Random Agent Spoofer, welke om de 10min een willeurig profiel doorgeeft, op die manier word het lastig om mij te volgen en dan krijg ik ook betere resultaten wat uniek zijn betreft. Al vermoed ik dat dat vooral komt vanwege het type bezoekers op panopticlick en dus meerdere mensen die daar komen deze plugin gebruiken. Dan heb ik iig volgend soort resultaten:

Within our dataset of several million visitors, only one in 177,627 browsers have the same fingerprint as yours.
Within our dataset of several million visitors, only one in 378,938 browsers have the same fingerprint as yours.
Within our dataset of several million visitors, only one in 183,357 browsers have the same fingerprint as yours.

Met deze plugin uitgeschakeld was ik ook uniek, enkel op basis van de User Agent en HTTP_ACCEPT Headers.

Javascript aanzetten maakt mij overigens wel gelijk terug uniek ook met de RAS plugin ingeschakeld.
Cerberus_tm @Armin5 augustus 2015 20:14
Nou, er zijn genoeg advertentiebedrijven die b.v canvassing of tracking pixels gebruiken. User agents zeker ook. Waarom zouden ze daar geen profielen van opstellen en opslaan?
Armin
@Cerberus_tm5 augustus 2015 20:39
Nou, er zijn genoeg advertentiebedrijven die b.v canvassing of tracking pixels gebruiken

Volgens mij is dat een broodje app. Er is welliswaar veel aandacht naar deze methode gegaan, maar bij mijn weten is er geen grootschalig gebruik. Maar ik laat me graag corrigeren.

Merk verder op dat tracking pixels wél accurraat zijn, anders dan deze methode. Canvassing is een ander verhaal en enkel beperkt accuraat op PC's en niet accuraat op mobiele apparatuur. Echter canvassing moet gebruikt worden in combinatie met een andere methode om de data op te slaan.
Cerberus_tm @Armin5 augustus 2015 21:01
Hoe bedoel je, een andere methode om data op te slaan? De pagina voert het canvas-gebeuren in je browser uit en stuurt het resultaat terug naar de advertentieserver, die zelfs je profiel opslaat. Het kan zijn dat de nauwkeurigheid beperkt is, maar in combinatie met andere methoden...

Ik heb eens zo'n anto-canvassing-extensie gebruikt, waarbij je per keer toestemming moest geven. Ik heb diverse malen gehad dat een site dat wilde doen; maar het kunnen ook onschuldige canvassen(?) geweest zijn; ik denk niet dat de extensie dat kon onderscheiden (kan denk ik überhaupt niet). Helaas maakte de extensie mijn browser minder stabiel.

Ik weet niet precies hoe wijdverbreid canvas fingerprinting op dit moment is, maar volgens mij wordt het wel al gebruikt, ook door grotere spelers als Addthis. De volgende site presenteert een extreem lange lijst van websites die canvas fingerprinting gebruiken. Op het eerste gezicht zag ik al veel bekende namen, zoals cnn.com, groupon.com, ign.com...
http://webcookies.org/canvas-fingerprinting/
David Mulder @Cerberus_tm6 augustus 2015 05:00
Niet vergeten dat dat soort anti-canvassing scripts uiteindelijk nooit kunnen weten met welk doel een site het canvas aan het manipuleren is. Ik heb geen flauw idee wat voor een script jij hebt gebruikt, maar ik vermoed dat ze een `alert` triggerden zodra er op een onzichtbaar canvas tekst werd geschreven en daarna een `toDataURL` call werd gedaan... iets wat ook buiten canvassing vaak genoeg gebeurd.
Cerberus_tm @David Mulder6 augustus 2015 21:02
Dat denk ik ook. Met die extensie (geen script) kon je gewoon kiezen of je de website toestond om zo'n canvas te doen.
David Mulder @Cerberus_tm6 augustus 2015 23:49
Oh wow, dat is nog een stuk algemener dan ik dacht xD . Ja nee, dan verbaast het me inderdaad niks dat zo veel dat hadden.
Cerberus_tm @David Mulder6 augustus 2015 23:53
De lijst op http://webcookies.org/canvas-fingerprinting/ beweert niet simpelweg sites met een canvas-dinges te bevatten, maar met canvas fingerprinting. De extensie waar ik het over had kon waarschijnlijk geen onderscheid maken tussen die twee. Hier is hij trouwens:
https://addons.mozilla.or...efox/addon/canvasblocker/
David Mulder @Cerberus_tm7 augustus 2015 00:03
Ik nam willekeurig één van hun top voorbeelden, die van 'finor-prodaja.si', uiteindelijk bleek dit het bestand te zijn waar ze het over hadden: http://finor-prodaja.si/w...ibrary/holder.js?ver=2.38 . Nu, lees de eerste regel van het bestand om erachter te komen wat het doet en ja, ik heb gechecked dat dat ook echt is wat de code doet... 8)7 . Hoe dan ook: Die site geeft dus gewoon een lijst van alle sites die 'toDataURL' gebruiken... of iets in die richting, want een andere die ik checkte had niet eens dat... dusse... niet vertrouwen die lijst xD .

Edit: Ah, ze zeggen ook gewoon "Possible CANVAS trackers found on the website", maar het zou wat duidelijker mogen zijn dat waarschijnlijk het gros ervan niet klopt...

[Reactie gewijzigd door David Mulder op 23 juli 2024 04:12]

Cerberus_tm @David Mulder7 augustus 2015 00:08
Ahh okee, ik werd al steeds sceptischer over die lijst... maar canvas + toDataURL lijkt me eigenlijk sowieso een combinatie die je het liefst aan de meeste websites zou willen verbieden, als gebruiker?
David Mulder @Cerberus_tm7 augustus 2015 00:18
Nah, bijvoorbeeld die link hierboven gebruikt het om normale afbeeldingen (img elementen) te replacen met dynamisch gegenereerde afbeeldingen (vanuit een canvas). Of hier is een andere techniek/hack die ik op een bepaald moment heb bedacht die van toDataURL gebruik maakt en er zijn vast nog tientalle andere dingen waar je het voor kunt gebruiken (om een idee te geven, op stackoverflow.com zijn er meer dan 1000 resultaten die "canvas" en "toDataURL" bevatten).
Cerberus_tm @David Mulder7 augustus 2015 00:43
Ik kan me best voorstellen dat het nuttig kan zijn, maar wil jij als gebruikers zeer gedetailleerde informatie over je systeem naar iedereen op het Internet sturen?
David Mulder @Cerberus_tm7 augustus 2015 03:41
Zeer gedetailleerde informatie? :+ Fingerprinting is verre van zeer gedetailleerde informatie. Je IP zegt een stuk meer over je. Alles wat fingerprinting toestaat is dat je later herkent kunt worden als hetzelfde device ipv alleen hetzelfde IP. Ik bedoel, dat is zeker een big deal als je je niet wilt aanmelden voor diensten en totaal geen online services gebruikt, maar bijna niks waard voor 99.9999% van de internet bevolking dus. En trouwens, voor de duidelijkheid: Ik ben echt wel iemand die me echt druk maakt om privacy (alhoewel niet hypocriet genoeg om een adblocker ofzo te gebruiken), maar zo iets als canvas fingerprinting of tracking in het algemeen is gewoon niet iets waar het logisch is om je druk om te maken als je het web niet standaard via een VPN ofzo bezoekt.

Ik bedoel maar, neem een serieus privacy scenario: zelfs als je van je standaard browser naar je TOR browser switched vanwege een super prive iets zal je fingerprint al significant anders zijn, dus zelfs als je dom genoeg bent om de site in kwestie eerst via het normale web te openen zal zelfs daar dat een non-issue zijn. En dat advertentie bedrijven je kunnen tracken enzo: Dat is iets wat je accepteerd door gratis sites te gebruiken waar je via ads voor betaald, dus proberen om dan onderhands ads te blokkeren hun werk correct te doen is gewoon hypocriet dan... bevalt het je niet: kies dan alleen sites met advertentie netwerken waar je tracking uit kunt zetten of tegen betaling totaal geen advertenties ziet.

Dus al met al begrijp ik niet waarom mensen het in hun hoofd halen om wel zo'n addon te gebruiken, maar ondertussen ook gewoon een tweakers, disqus en github account hebben wat een stuk meer concrete informatie over hun publiek bevat en ook nog eens het internet zonder VPN bezoeken (en mijn gok is dat dat de meerderheid is van die 10.000 mensen die die addon hebben geinstalleerd).

[Reactie gewijzigd door David Mulder op 23 juli 2024 04:12]

Cerberus_tm @David Mulder7 augustus 2015 22:30
Het gaat inderdaad deels om die twee scenario's die je noemt: als je echt anoniem wilt blijven kan het zijn dat verschillende TOR-sessies aan elkaar gekoppeld worden doordat de fingerprint overeenkomt misschien gecombineerd met nog wat gegevens; en wat je doet op allerlei websites kan gekoppeld worden aan een profiel dat die schaduw-advertentiebedrijven van iedereen hebben.

Verder kan het nog zijn dat een hacker iets over je hardware te weten komt door zo'n vingerafdruk, en misschien gemakkelijker een gerichte aanval kan doen op je computer (waarschijnlijk met spear phishing, dus vooral belangrijk als je een interessant doelwit bent).

Maar ik vind het ook een kwestie van principe: niemand hoeft iets over mijn hardware te weten, tenzij ik er zelf voor kies om dat mede te delen.

Wat betreft een account op b.v. Tweakers: dat is als het goed is beperkt tot één site, dus je surfgedrag van buiten Tweakers wordt daar niet aan gekoppeld. Hetzelfde geldt voor elke andere individuele site — tenzij er dus door die advertentienetwerken aan tracken wordt gedaan, o.a. door middel van canvas-vingerafdrukken.

Verder ben ik het fundamenteel met je oneens over het blokkeren van advertenties. Een bedrijf kiest ervoor om een website en alle gegevens daarvan naar iedereen op te sturen die daarom vraagt. Op het moment dat die gegevens mijn computer bereiken mag ik daarmee doen wat ik wil, inclusief ze deels blokkeren of niet verwerken door mijn browser.

Ik ben verder ook principieel tegen advertenties, dus ik zal die nooit vrijwillig accepteren.

Wel wil ik graag websites belonen die goed werk doen; websites kunnen best hun best doen om mij een gemakkelijke manier aan te bieden om ze te belonen. Ik houd eigenlijk niet van abonnementen, zoals bij Tweakers; ik ben erg voor dingen als Flattr, waarbij je een vast bedrag per maand verdeelt over de websites die je goed vindt. Als een website Flattr heeft, hoe je alleen maar op de Flattr-knop te drukken naast een artikel als je het goed vindt; aan het einde van de maand wordt je Flattr-budget van je rekening afgeschreven en verdeeld naar rato van hoe vaak je op die knoppen hebt gedrukt.
https://flattr.com
Armin
@Cerberus_tm5 augustus 2015 21:46
Intersant, dan wordt het inderdaad meer gebruikt dan ik dacht.

Ik vraag me wel af of het echt werkt. Op een mobiel apparaat zijn immers de fingerprints van een iPhone 6 bijvoorbeeld niet uniek. Uit de user agent kon je echter al achterhalen dat het een iPhone is.

Maar je hebt gelijk dat het een aditief kan zijn. Wikipedia schijnt dat ook zo te interpreteren. Maar inderdaad meer verontrustend dan ik dacht.

Op het eerste gezicht zag ik al veel bekende namen, zoals cnn.com, groupon.com, ign.com...

Correct, maar dat zijn natuurlijk niet de sites die het doen. Zij linken naar een advertentie server van een ander bedrijf. Aan de andere kant zijn daarin ook al meer grote spelers dan ik dacht.
Cerberus_tm @Armin5 augustus 2015 22:05
Op deze website krijg ik:
447 of 49490 unique User-Agents has the same signature as yours
https://www.browserleaks.com/canvas
Dat is dus een uniciteit van ca. 1 op 100: niet erg nauwkeurig, maar wel zeer behulpzaam als je ook al wat meer weet van een gebruiker. Wat krijg jij?

Inderdaad zal het op telefoons veel minder informatie geven, alleen welk model telefoon je hebt. (Nu ik erover nadenk vind ik 1 op 100 wel erg hoog [=onnauwkeurig] voor een zelfgebouwde computer van 7 jaar oud: mijn hardware is toch wel wat unieker dan dat? Misschin detecteert hij alleen mijn videokaart, maar dat vind ik dan nog hoog.)

Ik kan ook niet garanderen dat wat webcookies.org zegt over welke sites ervan gebruik maken klopt, ken de site verder niet. Maar ze geven wel per site een voorbeeld uit de code—alleen kan ik die weer niet goed beoordelen.
Armin
@Cerberus_tm5 augustus 2015 22:47
Bij mij is het slechst 230 van de 49490. Dus een half procent. Maar dat gaat over user agents begrijp ik van de site?

Maar aangezien de meest gebruikte browser daar IE10 op Windows 8.0 is, vermoed ik dat het aantal recente gebruikers niet erg hoog is. Ook is het waarschijnlijk niet representatief voor de echte wereld.

Ook laat een kleine test zien dat het niet de GPU functies gebruikt, want ik heb een tripple monitor systeem met 2 GPU's. Op beide monitoren krijg ik dezelfde fingerprint. De fingerprint is dus onafhankelijk van de GPU (en naar ik vermoed dan ook driver versie). Daarmee laat men heel wat opties tot tracking vallen. Wellicht is het mijn browser/OS die dat niet toestaat/niet ondersteund en wordt er software rendering gedaan?
Cerberus_tm @Armin5 augustus 2015 23:04
De site beschrijft het inderdaad wat vaag. Maar verder is het wel een goede site, ik begrijp het ook niet. Het kan inderdaad dat browsers inmiddels geüpdate zijn om sommige van die gegevens niet door te laten?
Verwijderd @Cerberus_tm6 augustus 2015 02:08
Als ik de test doe heeft 1 op 3.53 browsers net zoals mij javascript uitstaan en schijnbaar zijn er dus meer als dubbel zoveel Ubuntu+Firefox gebruikers als Windows+IE gebruikers. Dus is inderdaad wel met een korreltje zout te nemen, maar eigenlijk maakt dat ook niet zoveel uit. Het gaat meer om het punt dat als men wil men je toch wel redelijk kan tracken puur op de unieke info die je browser verstuurd.

"Your browser fingerprint appears to be unique among the 5,683,978 tested so far."
Zelfs op een site waar meer kans is dat er meer mensen naartoe gaan met dezelfde instellingen als die ik heb, kan men mij er dus nog gewoon uitpikken.

En als je bedenkt hoeveel data bv Google (eerste vb wat in mij opkwam) bijhoud, waarom zouden ze dit niet bijhouden. Er zijn wel manieren om dat wat in de war te schoppen maar meeste mensen gaan die moeite toch niet nemen.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 04:12]

Cerberus_tm @Verwijderd6 augustus 2015 03:39
Huh, als ik Javascript uit heb staat werkt de test überhaupt niet.

We zijn inderdaad op vele manieren te tracken. Heb je de evercookie-site wel eens geprobeerd? Ik ben gelukkig immuun daarvoor in mijn Firefox, met al mijn beveiligingsshit:
http://samy.pl/evercookie/
Verwijderd @Cerberus_tm6 augustus 2015 06:00
Strange, ik krijg als ik javascript uitzet bij value gewoon "no javascript" te zien.

Maar die kende ik nog niet nee, bedankt.
Het example lijkt iig niet te werken bij mij, wat in dit geval positief is. :')
Cerberus_tm @Verwijderd6 augustus 2015 21:01
O, wacht je had het over de test van Panopticon. Ik had het over de canvas-test.
Alxndr 5 augustus 2015 19:18
Leuk en handig dat HTML5, maar (hoe) kan ik instellen dat dit niet uitgelezen kan worden? Een systeem zoals permissies van apps op je phone bestaat nog niet voor de pc toch?
FragFrog @Alxndr5 augustus 2015 19:21
Voor in elk geval de locatie API moet de gebruiker ook op de desktop gewoon toestemming geven. Waarom dat niet gebeurt voor de accu status is ietwat merkwaardig, maargoed, het lijkt erop dat ook dit "probleem" nu door de browserbouwers aangepakt gaat worden.
THWIT 5 augustus 2015 19:34
Een nuance artikel! Een heerlijk antwoord op zowel algemene nieuwsmedia als RTL en Telegraaf, die simpelweg niet zoveel vakkennis hebben als Tweakers en tegelijkertijd om je te kunnen onderscheiden van bijvoorbeeld NU.nl, die ook nogal een kopieer maar raak cultuur heeft.

Ook geschreven in de typische Arnoud Wokke stijl. De nuanceerbeer van Tweakers :+

Hopelijk meer van dit soort artikelen in de toekomst.
Verwijderd @THWIT5 augustus 2015 19:49
Hopelijk meer van dit soort artikelen in de toekomst.
Dit soort fact checking artikelen zijn een leuke toevoeging aan de standaard nieuwsartikelen en geruchten die doorgaans worden geplaatst. Maar voordat er zo hoog van de toren wordt geblazen mag men eerst wel eens in eigen huis kijken naar de kwaliteit van artikelen. Zo maar even een greep:
Geen nuance aanwezig (een van de vele overwegingen tot nieuws maken):
nieuws: 'TomTom overweegt bedrijf in de verkoop te doen'
Compleet de kern gemist (iedereen die de bron leest kan het zien):
nieuws: Gerucht: Apple wil Siri voicemails in tekst omzetten
Te veel onjuiste informatie (filmpje en info pagina Google checken heeft niet plaatsgevonden):
nieuws: 'Google gaat Sri Lanka van internet voorzien met internetballonnen'
DonJunior @Verwijderd5 augustus 2015 22:52
Ik zou zeggen, lekker solliciteren!
mad_max234 @THWIT5 augustus 2015 20:52
Voor echt goed tech nieuws moet je bij een echte tech site zijn zoals tweakers, nu.nl voegt zelf amper iets toe, is gewoon nieuws wat andere maken, ze doen zelf amper of niet aan onderzoeksjournalistiek, ja van achter hun pc even snel in paar minuten iets nalezen op het internet en dan snel even artikeltje in elkaar zetten. :D
om3ega 5 augustus 2015 19:43
Ik denk dat weinig mensen bewust zijn van de gegevens die nieuwe browsers door kunnen geven.

Weet iemand toevallig een website die alle gegevens die je browser "lekt" kan laten zien? (en dan bedoel ik dus echt een remote website) om zo de bewustwording wat te vergroten. Ik wist bijv. ook niet dat de accustatus uit te vragen is.
Musical-Memoirs 5 augustus 2015 19:52
Ik vraag me af wat de gedachte erachter was om dit in HTML5 te stoppen.
Misschien dat iets in HTML5 zo gemaakt kon worden dat bij weinig accu bepaalde onderdelen uitgeschakeld kunnen worden voor stroom besparing?
Ik denk alleen niet dat het daadwerkelijk gebruikt wordt. De eerste waar ik van verwacht deze info te gebruiken zijn de adverteerders. Niet om zoveel moeite te doen om iemand te volgen, maar voor accu gerelateerde advertenties. Ik heb nooit een advertentie gezien voor telefoons met een grote accu, losse GPS systemen voor als je een dode telefoon hebt, powerbanks of oplaadsnoeren of dergelijke advertenties bij een lage accu. Ik ga er vanuit dat als de adverteerder al geen gebruik van deze info maken, vrijwel niemand er nog gebruik van maakt.
biglia 5 augustus 2015 19:56
Ik had verwacht dat je net zoals de Geolocation Api je eerst toestemming moet geven, maar blijkbaar geeft je browser de informatie zonder problemen.

Eerst een demo http://davidwalsh.name/demo/battery-api.php . Via Chrome werkt het bij mij niet. FireFox wel.
_Thanatos_ 6 augustus 2015 01:09
Mooi dat de fuckers uit de advertentiewereld weer de user experience van mooie HTML5 api's indirect weten te verzieken. Alleen maar door een in principe onschuldige API te misbruiken om iemand met nog meer zekerheid te kunnen blijven volgen.

Stelletje creeps.
Verwijderd @_Thanatos_6 augustus 2015 02:39
Zijn niet enkel advertentiebedrijven die je overal proberen te volgen, als advertentiebedrijven het niet zouden misbruiken mag je er zeker van zijn dat de overheid het wel misbruikte. En dat vind ik nog stukken grotere creeps.
mashell @Verwijderd6 augustus 2015 10:00
En dat vind ik nog stukken grotere creeps.
De overheden hoeven niet zo moeilijk te doen, die kunnen verkeersdata opvragen bij de providers. Bovendien kunnen we overheid als burgers goed beinvloeden. De advertentiebedrijven zijn wat mij betreft het kwaad van deze wereld. Maar ook de standaardenorganisaties gaan niet vrijuit. Er moet gewoon zo min mogelijk informatie van de clients naar de servers gaan. Geen cookies, geen batterij status. Get requests en eigenlijk niet meer. Als er anders gerenderd moet worden vanwege de batterijstatus dan beslist de client dat zelf.
darknessblade 5 augustus 2015 20:40
dit was eigenlijk al jaren bekend.
dus snap niet waarom dit nu weer tevoorschijn komt
DeVantaggio 5 augustus 2015 21:42
Verwarrende titel. Dacht even dat het spraaktechnologie bedrijf Nuance iets te zeggen had over het tracken van haar gebruikers. Dubbele puntjes vervangen door een streepje lost het misschien al op.

Voor de rest goed initiatief om het hype-nieuws te nuanceren!

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq