Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 47 reacties
Submitter: Frenziefrenz

Een onderzoek dat is uitgevoerd door twee onderzoekers van de universiteit van Princeton wijst uit dat anti-trackingtools een effectief middel zijn om volgen door websites tegen te gaan. In het kader van het onderzoek werden de miljoen populairste sites onderzocht.

Deze sites komen voort uit de database die wordt bijgehouden door Alexa. Het doel van het onderzoek was om na te gaan op welke manier deze sites gebruikers volgen aan de hand van tracking cookies en browser fingerprinting. Om het onderzoek uit te voeren maakten Steven Englehardt en Arvin Narayanan gebruik van de opensourcetool OpenWPM. Deze tool is gebaseerd op Firefox en is in staat om geautomatiseerd op grote schaal te functioneren.

De onderzoekers testten de effectiviteit van cookieblockers door te kijken naar de ingebouwde Firefox-functie en naar tools van derden, zoals Ghostery en uBlock Origin. Daarbij stelden zij vast dat de ingebouwde Firefox-functie zeer effectief is tegen het plaatsen van third party tracking cookies door websites: slechts 0,4 procent van de onderzochte sites plaatste na inschakeling een dergelijke cookie, en meestal om legitieme redenen. De soortgelijke extensie Privacy Badger wordt niet genoemd in het onderzoek; ook het feit dat Ghostery bepaalde gegevens doorverkoopt, komt niet aan de orde.

Met Ghostery bleek het gemiddelde aantal trackers van derde partijen te dalen van 17,7 naar 3,3. Ook bleek dat de tool uitzonderingen maakt voor content delivery networks, zoals cloudflare.com en maps.google.com en daarmee doet wat hij belooft. Ghostery bleek wel moeite te hebben met minder bekende trackers; dit heeft er volgens de onderzoekers mee te maken dat de blocklists met de hand worden opgesteld.

De derde partijen die het meest op de onderzochte sites aanwezig zijn, worden door de onderzoekers geïdentificeerd als Google, Facebook en Twitter. Samen zijn dit de enige drie bedrijven die voorkomen op meer dan 10 procent van alle sites. De rest van de partijen blijft onder dat percentage. Daar komt bij dat 12 van de 20 meest op sites voorkomende domeinen aan Google toebehoren. Daarbij valt het de onderzoekers op dat veel domeinen niet in een 'tracking context' voorkomen, waaruit zij afleiden dat er geen sprake is van een 'explosie van tracking door derde partijen'.

tracking princeton 2016     Meestvoorkomende derde partijen, 'first parties' staat voor de websites waarop deze aanwezig zijn

De onderzoekers stelden ook vast dat nieuwswebsites het meest gebruikmaken van trackers. Zij verklaren dit doordat dergelijke sites inkomsten moeten behalen uit de aanwezige content. Deze bevinding onderbouwen zij met het feit dat trackers minder vaak voorkomen op sites van overheden en non-profit-organisaties, omdat deze andere of geen inkomstenbronnen hebben. Uit het onderzoek blijkt ook dat pornosites het minst gebruikmaken van trackers.

Daarnaast vinden Englehardt en Narayanan dat de derde partijen een negatieve invloed hebben op de introductie van https, doordat zij in 54 procent van de gevallen content via een onbeveiligde http-verbinding aanleveren. Dit heeft tot gevolg dat een https-site met passieve 'mixed content' te maken krijgt, waardoor de browser bijvoorbeeld een waarschuwing toont.

De onderzoekers waarschuwen ook dat 'cookie syncing' in veel gevallen voorkomt. Daarbij deelt een tracker ongemerkt een user id met een andere tracker, bijvoorbeeld door deze op te nemen in de url van het verzoek aan de andere tracker. Deze praktijk, die een inbreuk kan vormen op de persoonlijke levenssfeer van de gebruiker, komt voor bij 460 van de 1000 meestvoorkomende derde partijen en is daarmee wijdverspreid.

Tot slot schenken de onderzoekers aandacht aan browser fingerprinting, waarbij er geen cookie nodig is om een gebruiker te identificeren. Bij deze techniek wordt de gebruiker geïdentificeerd aan de hand van de eigenschappen van de browser, bijvoorbeeld door te kijken naar de geïnstalleerde fonts of door canvas fingerprinting. Deze laatste vorm, zo blijkt uit het onderzoek, wordt minder ingezet en komt met name voor om fraude te bestrijden.

De onderzoekers vonden ook een nieuwe vorm van fingerprinting aan de hand van een audio-api, waarbij er met een oscillator een geluidssignaal wordt opgewekt. De hash van dit signaal kan vervolgens ingezet worden om een gebruiker te identificeren. Bij deze techniek is geen toegang nodig tot de microfoon. Er waren echter slechts 67 sites, die deze methode gebruiken.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (47)

Hoe kun je je tegen fingerprinting via audio of canvas wapenen? Kan dat ook met dergelijke plugins?
Ik weet er geen, maar na dit onderzoek zal het vast niet lang duren voor de eerste plugin beschikbaar wordt gesteld.

Op deze site kan je overigens kijken hoe je audio fingerprint eruit ziet.
Van die site:
If you choose to see your fingerprint, we will collect the fingerprint along with a randomly assigned identifier, your IP Address, and your User-Agent and store it in a private database so that we can analyze the effectiveness of the technique. We will not release the raw data publicly.
Ik vraag mij met het laatste dan toch af als er iemand met een grote zak geld loopt te zwaaien of dat nog stand houd
Je hebt het verkeerde stukje ge-highlight..
"We will not release the raw data publicly"

Daar zit dus de crux. Als ze er een heel simpel filter overheen gooien (Voorbeeld: alle mannen vs alle vrouwen), dan is het niet langer 'the raw data' maar verwerkte data. En zie daar, twee zeer goed te verkopen datasets.

Overigens is ook 'publicly' een instinker. 'Private' (= tegen betaling) doen ze het dus wel?
Als je je er echt zorgen om maakt kan je ze mailen:
"This page is a part of Princeton CITP's Web Transparency and Accountability Project. For questions or concerns email dreisman@princeton.edu and ste@cs.princeton.edu."
Handig dat Princeton dit doet... Het is een vertrouwde naam, en vervolgens kunnen spionagediensten/veiligheidsdiensten de Princeton servers uitlezen (al dan niet met medeweten dan Princeton).
is het helaas niet zo dat US uni vaak onderzoek doen in opdracht van en nog erger vooral gefinancierd worden door de industrie ?

tot zo ver vertrouwde naam. Had liever TUD of RUG gezien.
Daar heb je een goed punt!

Aan de andere kant heb je waarschijnlijk vele sites die deze fingerprints verzamelen zonder dat je dat tegen jou zeggen...
Op deze site kan je overigens kijken hoe je audio fingerprint eruit ziet.
Bij mij:

AudioContext properties:
Not available

Fingerprint using DynamicsCompressor (sum of buffer values):
no_fp

Fingerprint using DynamicsCompressor (hash of full buffer):


Fingerprint using OscillatorNode:

...
Fingerprint using hybrid of OscillatorNode/DynamicsCompressor method:

...
Hoe kun je je tegen fingerprinting via audio of canvas wapenen? Kan dat ook met dergelijke plugins?
Firefox: CanvasBlocker
Broncode: https://github.com/kkapsner/CanvasBlocker/

Chromium/Chrome: CanvasFingerprintBlock
Ik zou het eigenlijk best interessant vinden om een lijstje te zien van browsers die het meest en het minst de privacy van de gebruiker beschermen. Je zou zoiets het liefst met een paar verschillende scenario's moeten testen:
  • Default
  • Met eventuele ingebouwde opt-in setting aan
  • Met third party plugin A
  • Met third party plugin B
  • Met third party plugin C

[Reactie gewijzigd door Maurits van Baerle op 20 mei 2016 17:37]

Je bent me net voor, dat wil ik ook graag weten.

Leuk dat Firefox het goed doet, maar het grootste deel van de mobiele gebruikers gebruikt Chrome of Safari.
Als je privacy wil moet je in ieder geval geen google Chrome gebruiken.
Vertel, waarom dan? Kom dan ook met de argumenten voor die bewering.. :)
Chrome wordt gemaakt door Google. Google heeft z'n halve business-model te danken aan tracking. Het lijkt me heel vanzelfsprekend om heel erg skeptisch te zijn als "google" en "anti-tracking" in een zin worden gebruikt.
Ik heb het ook niet over anti-tracking, maar de bewering
Als je privacy wil moet je in ieder geval geen google Chrome gebruiken.
is nog steeds niet goed onderbouwd. Wat zit er in Chrome waardoor je het niet zou moeten gebruiken als je privacy wilt? Het kan best zijn dat jullie gelijk hebben, maar argumenten voor die stelling heb ik nog niet gehoord.
ik ben gestopt met Chroom nadat google besloten had om er default een user aan te koppelen, of je nu ingelogd was op een Google site of niet.
Het feit dat er aan jouw browser een user gekoppeld is zegt genoeg.

Misschien hebben ze het al terug gedraaid, maar ik heb zeker niet terug gekeken.
dan maar beter dus ook geen auto's van google kopen wanneer die op de markt komen dus....best jammer....zijn mooie dinkies, met dat zelf kunnen rijden.
Gelukkig zijn ze niet de enige. veel partijen maken zelfrijdende auto's, zoals Baidu, en ze zijn voorlopig gelukkig verboden op de openbare weg. Tegen de tijd dat het mag, hebben alle grote automerken dit wel (ongetwijfeld met tracking, dus hoog tijd dat dit bij wet wordt verboden, dwz verplicht default uitgeschakeld en visueel zichtbaar wanneer dit is ingeschakeld en moet keuring ondergaan om dit te controleren).
Google pompt miljarden in reclame onderzoek. Ze hebben echt niet het beste voor met internet.
Ik niet hoor. Ik gebruik op mijn Nexus 5 ook de beta van Firefox.
Leuk dat Firefox het goed doet, ...
Firefox stuurt alle bezochte URL's door naar een bepaald bedrijf (zichzelf, waarschijnlijk), zo is gebleken.
IE slaat alle bezochte URL's op, op je PC zoals in index.dat bestandjes die alleen tijdens een reboot te wissen zijn en wat ook niet eenvoudig is. 't Zou me verbazen als ze niet ergens ook naar MS werden gestuurd.
Chrome.. Tja, die is van Google.. Lijkt me stug dat die niet alle bezochte URL's opslaat.
Verder, als je een tikfout maakt, sturen waarschijnlijk alle major browsers je URL door naar een zoekmachine.
Voor URL kan je hierboven vaak ook het woord zoekopdracht invullen.

[Reactie gewijzigd door kimborntobewild op 22 mei 2016 17:08]

Ik zou het eigenlijk best interessant vinden om een lijstje te zien van browsers die het meest en het minst de privacy van de gebruiker beschermen.
Dit lijkt me een beetje een denkfout. Een aanvaller/tracker probeert gewoon alle mogelijke methoden die er bekend zijn; dus maakt 't niet uit of je browser 99,99% of 0,01% van de methoden tegenhoudt; ook die 0,01% is meer dan voldoende om je veiligheid te compromitteren.
Het doel moet dus het zoeken zijn naar een browser waarvan 100% (van de tot dan toe bekende privacylekken) worden tegengehouden; niet naar een browser die slechts 'méér' tegenhoudt dan andere browsers.
Het zou nog mooier zijn als er tools komen om dit soort tracking actief te saboteren door cookies actief tussen gebruikers te wisselen. Vanuit privacy en vertrouwen zou een dergelijke tool non profit en open source moeten zijn maar het lijkt me geweldig als hetzelfde effect zou ontstaan als duizenden AH klanten die meerdere keren per dag hun bonus kaarten met elkaar uitwisselen.
Die tools bestaan.
Bv Secret Agent
Alle tracking en profiling ten spijt, vind ik het bijna shcokerend hoe slecht de vergaarde informatie wordt benut. Ik bedoel: Google en dus ook YouTube weten bijna alles van mij, maar desondanks blijft YouTube mij toch kanalen met Sport- en Popular Music Video's aanbevelen. Terwijl ik toch ècht alleen maar op zwaar Nerdy kanalen geabonneerd ben... (eevblog, nerdrage, computerphile, numberphile, etc)
Inderdaad. 4 maanden lang reclame tonen van een product dat je de dag van de eerste zoekopdracht erover al hebt aangeschaft 8)7 Zeer relevant hoor. Ze doen er inderdaad te weinig mee om het nuttig te laten zijn, maar liefst van al wordt ik niet gevolgd. Het is namelijk niet zo dat ik dagelijks bijvoorbeeld Coolblue afspeur naar producten. Enkel als ik het nodig heb, dus dat is nergens voor nodig om mij te volgen, eender welke webshop.
Hier huilt er een website houder over Google analytics

https://news.ycombinator.com/item?id=8919523

Ublock and ghostery are doing God's work.
Inderdaad - dat zijn schitterende tools - ik heb er nog eentje extra van 't MIT staan - die bakken junk terugstuurt.
welke adblocker heeft 't MIT gereleased dan?
Vraag me af in hoeverre je mag aan nemen dat Google font en ander CDN's niet worden gebruikt voor tracking... door enkel iets third party te downloaden verstuur je al gegevens naar de partij die dit aanbied. Je kan enkel alleen maar aannames maken of deze partijen er wil of niet iets mee doen.
lijkt me sterk dat er partijen zijn die data terug sturen naar zichzelf en er niets mee zouden doen.
Zelfs voor Google is dit een serieuze hoeveelheid data dixit bandwidth en ook voor hun is dit niet gratis.
Dit onderzoek leunt wel erg sterk op de resultaten van Ghostery. Over andere content-blockers en hun effectiviteit laat men zich niet uit.

Voor de liefhebbers. Voor Canvas Fingerprinting is er ook een ADD-ON die wisselende waarden kan afgeven als deze api wordt aangesproken door een script.
https://github.com/kkapsner/CanvasBlocker/
Werkt niet op Android en mobiel is toch de toekomst van internet.
En de 'oh-zo-relevante' reclame dan waarmee ze je doodgooien dankzij die tracking? Oh je hebt via Cooblue een headset opgezocht, laten we nu voor de komende 4 maanden altijd advertenties tonen van headsets bij o.a. Coolblue. Als ze toch zo slim zijn, hadden ze ook kunnen zien dat ik niet meer geïnteresseerd was in headsets omdat ik me de dag zelf er eentje heb aangeschaft via Coolblue. Zo slim is de reclame dus 8)7 Trouwens, van zodra ik mijn zoekopdracht heb afgerond ben ik sowieso al niet meer geïnteresseerd om reclame te zien van de headset die ik net heb opgezocht, ik weet er op dat moment al genoeg over en er is dan ook een reden waarom ik de zoekopdracht heb gestopt. Dan wens ik niet om daar reclame over te krijgen. Daarnaast is het een inbreuk op mijn privacy omdat als er iemand meekijkt als ik iets wil tonen, hebben andere mensen er geen zaken mee wat ik heb opgezocht.
Trouwens, van zodra ik mijn zoekopdracht heb afgerond ben ik sowieso al niet meer geïnteresseerd om reclame te zien van de headset die ik net heb opgezocht
Als ik iets nieuws wil kopen, ben ik sowieso niet geïnteresseerd in reclame van de betreffende producten. Misschien wel in reviews (op een betrouwbare review-site), maar niet in de reclame zelf. Het is immers toegestaan te liegen en misleiden in reclame; dus je hebt niet zoveel aan reclame.
Dat fingerprinting a.d.h.v. een audio-api klinkt best wel interessant (en beangstigend).

Hierbij een overzicht waar websites die dit toepassen staan vermeld: https://webcookies.org/canvas-fingerprinting/
Ik zou wel een uitleg hierover willen hebben. Ik heb, uiteraard, de microfoon uitstaan op al mijn apparaten, maar die hebben ze kennelijk niet nodig?
Kijken ze dan naar de drivers? Meestal heb ik geluid ook volledig uitstaan dus hopelijk weten mijn browsers niet dat ik ook een geluidskaart heb.
Dan zul je die geluidskaart ook daadwerkelijk moeten deinstalleren. Windows weet immers dat hij er is, en deelt dat netjes met programma's, waaronder je webbrowser.
Dat fingerprinting a.d.h.v. een audio-api klinkt best wel interessant (en beangstigend).

Hierbij een overzicht waar websites die dit toepassen staan vermeld: https://webcookies.org/canvas-fingerprinting/
Lol...

Forbidden (403)
CSRF verification failed. Request aborted.
You are seeing this message because this site requires a CSRF cookie when submitting forms. This cookie is required for security reasons, to ensure that your browser is not being hijacked by third parties. If you have configured your browser to disable cookies, please re-enable them, at least for this site, or for 'same-origin' requests.
Ik krijg:
You tried to access the address https://webcookies.org/, which is currently unavailable
Anti-tracking tools maar ondertussen vergeef je wel genoeg informatie naar hun eigen servers :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True