Stylish-extensie verdwijnt uit Firefox en Chrome na bericht over datacollectie

De browseradd-on Stylish, waarmee gebruikers css kunnen aanpassen, is niet langer in de collecties van Mozilla en Google te vinden, nadat een ontwikkelaar een analyse gepubliceerd had, waarin hij vaststelde dat de extensie de browsegeschiedenis van gebruikers doorstuurt.

In de bugtracker van Mozilla is te lezen dat de extensie is uitgeschakeld en dat Firefox-gebruikers die haar hebben geïnstalleerd een waarschuwing te zien krijgen. In de Chrome Webstore is de pagina van de extensie inmiddels niet langer op te roepen en leidt naar een 404, waaruit is op te maken dat deze is verwijderd. Ook in de Mozilla-collectie is de extensie verdwenen. De discussie in de bugtracker verwijst naar een recente blogpost van ontwikkelaar Robert Heaton, die Stylish onder de loep nam.

Daarin schrijft hij dat hij erachter kwam dat de extensie zijn browsegeschiedenis doorstuurde in combinatie met een identifier. Aan de hand daarvan zou SimilarWeb, dat sinds 2017 eigenaar is van Stylish, de browsegeschiedenis naar individuele gebruikers kunnen herleiden. Het privacybeleid van het bedrijf zou echter stellen dat het alleen 'niet-persoonlijke informatie' verzamelt.

SimilarWeb is een organisatie die informatie verzamelt over verkeer naar websites om zo bijvoorbeeld bezoekersaantallen in beeld te kunnen brengen. Tracking kon volgens Heaton wel uitgeschakeld worden, maar stond standaard aan. The Register heeft vragen gesteld aan SimilarWeb, maar heeft nog geen reactie ontvangen.

stylish-mozilla

Reacties (72)

Anonymoussaurus

Google

5 juli 2018 11:37

Damn, hier schrik ik van. Vond het een fijne tool en staat ook geïnstalleerd. Wel de opt-out gedaan, maar ik weet niet of dat invloed heeft. Iemand die dat weet? Het gaat hierom:

https://image.ibb.co/e4ZYPy/image.png

Blijkbaar werkt dit: https://robertheaton.com/...ls-your-internet-history/

There’s a check box in the Stylish control panel that claims to disable tracking, although SimilarWeb helpfully enable it by default. It does appear to work, at least until the next change to Stylish’s 2,000-word privacy policy or 3,000-word Terms and Conditions.

Ik heb gek genoeg helemaal geen melding ontvangen. Waarop hebben jullie die melding gekregen, @LankHoar @MarnickS?

[Reactie gewijzigd door Anonymoussaurus op 23 juli 2024 04:46]

Azbest @Anonymoussaurus • 5 juli 2018 13:06

Ik ben zelf ontwikkelaar van CSS stijlen voor Stylish, toen ze vorig jaar de website aangepast hadden (lees: verprutst) wist ik al genoeg. Ontwikkelaars klaagden steen en been, furieus waren ze op het forum (en terecht), maar het antwoord was alleen: "We werken er nog aan".

Mijn hemel, een alpha product lanceren?? Duidelijker kon niet, er waren andere belangen. Dat werd bevestigt met het nieuws dat het was overgenomen:

https://www.reddit.com/r/privacy/comments/5ne4mh/stylish_addon_is_now_part_of_analytic_company_is/

Er is een fork beschikbaar van Stylish, genaamd Stylus.
https://addons.mozilla.org/en-US/firefox/addon/styl-us/

De laatste schone versie van Stylish (naar mijn weten) is overigens 2.0.7
https://addons.mozilla.org/firefox/downloads/file/480850/stylish-2.0.7-fx+tb+sm+an.xpi

[Reactie gewijzigd door Azbest op 23 juli 2024 04:46]

Anonymoussaurus

Google

@Azbest • 5 juli 2018 13:08

Zojuist overgestapt op Stylus

. Werk je toevallig ook aan een Tweakers style?

Azbest @Anonymoussaurus • 5 juli 2018 13:26

Een kanttekening voor Stylus is wel dat het ontwikkeld is voor Firefox (Jetpack), Palemoon gebruikers zijn zodoende nog afhankelijk van een oudere Stylish plugin of de recent geforkte Stylem plugin

Off topic:
Tweakers Dark V2 (by jooch) is de mijne, ieder jaar in de winter update ik al mijn stijlen, of er moet al iemand een goede reden vinden

[Reactie gewijzigd door Azbest op 23 juli 2024 04:46]

Anonymoussaurus

Google

@Azbest • 5 juli 2018 13:30

Ik gebruik het voor Chrome. Heb nog geen issues gemerkt.

ah oke, die gebruik ik niet

. Ik gebruik deze: https://userstyles.org/styles/158044/tweakers-dash-style, want die wordt frequenter geüpdatet en gaat dus meer mee met z'n tijd (qua hoeveel het klopt).

evoltion @Azbest • 5 juli 2018 17:51

ach dan gaan we toch verder met stylus

Marty007 @evoltion • 5 juli 2018 20:30

En met die gedacht..... ach... Verder. ..

accepteer je indirect dat bedrijven dit soort streken blijven uithalen ?

Er zou ook juridisch meer gedaan moeten worden tegen al die digitale wanpraktijken.
Ik snap in die context ook echt niet dat die Zuckerberg overal mee weg komt en dat mensen nog steeds Facebook gebruiken..

ThaHandy @Azbest • 5 juli 2018 23:08

Kijk das mooi om te horen. Niet altijd updaten kan ook eens een keer goed zijn.
Ik gebruik versie 2.0.6 van mei 2016!

mcDavid @Anonymoussaurus • 5 juli 2018 11:52

Wel de opt-out gedaan, maar ik weet niet of dat invloed heeft. Iemand die dat weet?

als je even doorklikt naar de bronartikelen dan lijkt dat idd te werken.

Ik ben zelf al enige tijd geleden overgestapt op Stylus. Good call zo te zien.

CriticalHit_NL @mcDavid • 5 juli 2018 18:14

Bedankt voor de tip, ben ook direct overgestapt.
Zo zie je maar dat je ook extensies gewoon niet blind moet vertrouwen, ze kunnen net zo goed gevoelige informatie inzien.

MarnickS @Anonymoussaurus • 5 juli 2018 12:16

Ik opende Firefox en toen kreeg ik een melding dat Firefox Stylish automatisch uitgeschakeld had.
Ik weet niet meer wat de reden was.

Anonymoussaurus

Google

@MarnickS • 5 juli 2018 12:17

Ik draai Chrome en heb zelf die melding niet gehad, noch dat de extensie is verwijderd.

StefanJanssen @MarnickS • 5 juli 2018 13:18

Ik kreeg inderdaad die melding ook maar niks van een reden, Kreeg de optie om de plugin aan of uit te zetten en om firefox te restarten. Dus ik had Stylish lekker aangelaten en had het vermoeden dat er een update was of iets dergelijks.

Craimasjien 5 juli 2018 11:37

Wat ik me altijd afvraag bij dit soort praktijken is het vraagstuk recht. Wie is hier nu in zijn recht? Is het bedrijf achter deze plug-in in zijn recht met het verzamelen van de data omdat de gebruiker daar simpelweg "toestemming" voor geeft? Of is dit nog steeds een kwestie van AVG en the what-nots en kan zo'n bedrijf roepen in een privacy statement wat hij wilt maar compleet "illegaal" bezig zijn?

Sqweekie @Craimasjien • 5 juli 2018 12:09

Als er in hun privacy beleid enkel staat dat 'niet gepersonaliseerde info' verzameld wordt , dan denk ik dat ze illegaal bezig waren.
Iedereen heeft idd toestemming gegeven, maar dus niet voor gepersonaliseerde info, wat hier wel het geval was.

De vraag is eerder, wordt dat bedrijf nu ergens gerechtelijk gestraft ,maar dat zou me verbazen ....

Origin64 @Galan • 5 juli 2018 12:56

Alle gegevens die te herleiden zijn tot persoonsgegevens zijn persoonsgegevens. Als er vermeld wordt dat er anonieme data wordt verzameld en er wordt genoeg info doorgestuurd om jou uniek te identificeren, niet alleen door stylish maar ook door derden die inzage hebben gehad in die data, dan zijn ze illegaal bezig geweest. Het is een hele klus om data zo te anonimiseren dat het niet mogelijk is met genoeg data om persoonsgegevens te herleiden.

https://www.wired.com/2010/03/netflix-cancels-contest/

Voordat je anderen paranoide gaat noemen misschien even een boekje openslaan of cursusje volgen over dit onderwerp?

[Reactie gewijzigd door Origin64 op 23 juli 2024 04:46]

Verwijderd @Origin64 • 5 juli 2018 22:09

Zijn punt is dat een browser niet te herleiden is tot een persoon, en dus geen persoonsgegeven is.

Ik weet niet wat er allemaal doorgestuurd wordt, maar ik ben ook wel benieuwd in hoeverre het daadwerkelijk onwettig is. Als er enkel een useragent, browserversie en OS opgeslagen wordt en daarnaast alle bezochte domeinen, dan is dit niet terug te herleiden naar een persoon.

Als ook het bron IP en alle GET parameters van urls opgeslagen worden, dan wordt het al een ander verhaal.

Origin64 @Verwijderd • 6 juli 2018 00:39

Jouw browser stuurt een hoop metadata mee naar elke website. Browser versie, OS versie, heel veel browser settings, dit is al gauw tot een unieke id te herleiden tenzij je 100% standaard settings gebruikt.

Dat je zegt "als ook het bron ip wordt opgeslagen" geeft al aan dat ik meer paranoide ben dan jij, of jij naiever dan ik, het is natuurlijk relatief. Ik ga daar bij voorbaat al van uit. Waarom zou je moeilijk doen als het makkelijk kan? Als je data gaat bewaren begin je met het ip adres.

[Reactie gewijzigd door Origin64 op 23 juli 2024 04:46]

aldieaccounts @Galan • 5 juli 2018 14:28

Mensen zijn nog *lang* niet paranoïde genoeg als het over privacy (op het web of in het algemeen) gaat.

laptopleon @aldieaccounts • 6 juli 2018 11:08

Voor de duidelijkheid, als ik even de taalduitser uit mag hangen

Paranoia = achtervolgingswaanzin. Als mensen denken dat ze gevolgd worden, terwijl dat niet zo is.

@Galan gebruikt paranoïde terwijl er niets paranoïde aan is. Het is toch klip en klaar dat je op internet gevolgd wordt? Zelfs tot op detail-niveau?

Dus paranoïde is niet van toepassing.

Mensen zijn niet (onvoldoende) paranoïde hierover, maar (onvoldoende) realistisch.

aldieaccounts @laptopleon • 6 juli 2018 13:18

ok ok. Je hebt gelijk. Mensen denken dat het paranoia is, maar het is gewoon de realiteit.

Ik geeft toe dat ik paranoïde gebruikte in de vaak gebruikte (maar foute ) betekenis van 'erg achterdochtig'.

Mees van Dongen @Craimasjien • 5 juli 2018 12:33

Het is illegaal. Aangezien de volgende punten niet van toepassing zijn:

De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Zal er toestemming moeten worden gegeven. Echter, de toestemming die nu gegeven wordt is een checkbox met de tekst: "Stuur anonieme gegevens naar stylish ontwikkelaars."
Deze toestemming is op een aantal punten twijfelachtig:

Als deze checkbox opt-out is, betekent het dat deze dubbelzinnig is (en dus illegaal).
Er wordt nu gesuggereerd dat de data nodig is voor ontwikkeling van de plugin, het is twijfelachtig of daar wel deze hoeveelheid gegevens voor nodig zijn. Het blijkt dus dat deze voor een ander doel werd gebruikt; het tellen van bezoekersaantallen. De ontwikkelaar moet voor al deze doelen apart toestemming vragen.
Er wordt niet geïnformeerd welke gegevens verzamelt worden.

Verwijderd @Mees van Dongen • 5 juli 2018 22:11

Mits persoonsgegevens, toch?

Nu vraag ik mij af, he.
Nginx en apache bijvoorbeeld. Met standaard instellingen wordt elk request geligged in bijvoorbeel de access log. Dit is dan een IP + URL ( inc. Parameters).

Is dat dan ook tegen de AVG? Immers is een IP adres een persoonsgegeven en er wordt nergens om toestemming gevraagd.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 04:46]

Mees van Dongen @Verwijderd • 6 juli 2018 00:17

In principe wel; zeker hier in Nederland blijft een IP-adres vaak bij dezelfde klant van een ISP.
Het is wel interessant om te zien dat deze data tot voor kort (2014) moest worden verzameld onder de "Data Retention Directive". Toen is dit ongrondwettelijk verklaard in verband met privacy.

zenlord @Craimasjien • 5 juli 2018 12:10

Ik heb geen enkele ervaring met deze plugin, maar in het algemeen kan je wel stellen dat een plugin die persoonsgegevens (zoals een identifier) verzamelt niet per se illegaal bezig was: Het is niet verboden om gebruikersdata te verzamelen, ook niet nu de AVG in werking getreden is. Er zijn wel voorwaarden en beperkingen gesteld aan het verzamelen van data, dus als die niet zijn nageleefd, kan je inderdaad van illegale activiteiten spreken.

LankHoar 5 juli 2018 11:36

Aha, goed om te weten. Kreeg de melding gisteren in Firefox op W10 en vroeg me al af wat er mis was. Heeft iemand een goede tip voor vervanging? Gebruikte het op veel websites om alles donkerder te krijgen.

[Reactie gewijzigd door LankHoar op 23 juli 2024 04:46]

Gamer1120 @LankHoar • 5 juli 2018 11:38

Stylus doet hetzelfde, maar is open-source.

Anonymoussaurus

Google

@Gamer1120 • 5 juli 2018 11:43

@flnhst Thanks! Aangezien die hetzelfde doet maar dan alleen open-source, zou je denken dat deze dus ook browsergeschiedenis doorstuurt. Is daar iets over bekend?

[Reactie gewijzigd door Anonymoussaurus op 23 juli 2024 04:46]

TheHeavySoldier @Anonymoussaurus • 5 juli 2018 11:49

Hij zegt niet dat Stylus hetzelfde is, alleen dat het hetzelfde doet.

Anonymoussaurus

Google

@TheHeavySoldier • 5 juli 2018 12:11

Verkeerde woordkeuze van mij. Is een aanname en vraag.

MrMonkE @Anonymoussaurus • 5 juli 2018 12:14

'Stylus doet hetzelfde' Je hebt gewoon gelijk hoor. Beetje miereneuken dat wel want iedereen weet wel wat hij bedoelde maar in een contract zou hij de sjaak zijn want strikt genomen heb je gelijk.

TheHeavySoldier @Anonymoussaurus • 5 juli 2018 12:57

Nu je dat zegt zie ik wat je bedoelde ja.

Neko Koneko @TheHeavySoldier • 5 juli 2018 12:35

Hij zegt niet dat Stylus hetzelfde is, alleen dat het hetzelfde doet.

Maar wat doet Stylus hetzelfde? Dezelfde functionaliteit? Of juist dat Stylus ook deze gegevens doorstuurt?

Aannemelijk natuurlijk dat eerste maar ja, de verwarring is niet onlogisch

Randfiguur @LankHoar • 5 juli 2018 12:41

Misschien is Deluminate een optie. Hoewel ik vind dat de 'inverted colors'-functie teveel "bijwerkingen" heeft (ik moest zowat elke site tweaken om dingen goed zichtbaar te houden), kun je ook een dim-functie instellen. Ik zet die 's avonds standaard aan en het uiteindelijke effect is ongeveer hetzelfde: een minder verblindende kijkervaring.

flnhst @LankHoar • 5 juli 2018 11:39

Stylus, een opensource fork van Stylish.

Stoelpoot @flnhst • 5 juli 2018 11:55

Kan het een fork zijn als Stylish zelf niet opensource is? Of is het dan enkel een vergelijkbare extensie?

watercoolertje

Google
Google Chrome

@batjes • 5 juli 2018 20:23

Dat moet het wel zijn, een fork is niks meer dan een afsplitsing van het origineel, je moet dus eerst het origineel hebben en daarmee een 'afsplitsing' maken

Kan nog steeds een fork zijn als stylisch de code aan stylus heeft gegeven, maar die kans lijkt mij klein.

Verwijderd 5 juli 2018 11:36

Typisch dat dit elke keer weer gebeurt nadat er ophef over is. Je zou verwachten dat Google toch iets beter scant op malafide extensies.

Een "open" store is één, maar dan moet je wel een beetje controle uitvoeren.

DigitalExorcist @Verwijderd • 5 juli 2018 11:42

Het is niet 'malafide', hoogstens brutaal..

Verwijderd @DigitalExorcist • 5 juli 2018 12:00

Is dit in de categorie "ja maar ze zeggen het toch in de rechten-popup", die niemand leest? Want dat weten de makers van dit soort extensies ook wel.

Neko Koneko @Verwijderd • 5 juli 2018 12:37

Tja, als je het niet leest dan is het toch een beetje je eigen schuld

Wat ik ervan begrijp is het niet het feit dat de browsegeschiedenis werd doorgestuurd wat het probleem is, het probleem is dat deze naar individuele gebruikers terug te leiden is terwijl Stylish aangaf dat dit niet zo zou zijn.

[Reactie gewijzigd door Neko Koneko op 23 juli 2024 04:46]

Verwijderd @Neko Koneko • 5 juli 2018 12:41

En dit is dus precies het probleem. De realiteit is dat mensen dat gewoon niet doen. En in plaats van ze maar gewoon de schuld in de schoenen te schuiven zouden we daar wat beter mee om moeten gaan.

In plaats van als schaapjes maar te mekkeren dat mensen "dat maar moeten lezen" eigen schuld dikke bult, kunnen we ook gewoon erkennen dat dat na 25+ jaar internet gewoon niet gaat gebeuren, en een betere oplossing zoeken.

Verwijderd @Verwijderd • 5 juli 2018 22:14

Altijd geldt; Onwetendheid is geen excuus.

Als niemand die dingen leest, dan is iedereen fout, niet andersom.

Zer0 @Verwijderd • 5 juli 2018 21:50

Nee, men moet eens stoppen met mekkeren dat die zielige schaapjes niet kunnen lezen, en moeten ze gewoon eens de gevolgen ondervinden en er hopelijk eens van leren.
Als je te lui bent om dergelijke boodschappen te lezen dan moet je maar op de blaren zitten... De schaapjes maar blijven betuttelen levert alleen maar een zwakkere samenleving op.

alt-92 @Zer0 • 6 juli 2018 08:04

De schaapjes maar blijven betuttelen levert alleen maar een zwakkere samenleving op.

Ik ben ook een groot voorstander van Darwinisme in het verkeer. Helaas is de wetgever het niet met me eens.

Cyb @Verwijderd • 5 juli 2018 13:09

Als je deze maatregel trouwens toepast op Android of IPhone apps, dan blijven er waarschijnlijk niet veel apps meer over. Het gaat dan niet direct om browsergeschiedenis, maar wel om andere persoonlijke informatie.

tszcheetah

5 juli 2018 11:51

Ik ben al een tijd geleden overgestapt op Stylus (voor Firefox in ieder geval). Die is al gemaakt juist omdat Stylish telemetrie had sinds de overname (zie hun FAQ: https://add0n.com/stylus.html ).

Apart dus dat Mozilla en Google nu pas reageren, want dit is volgens mij al lange tijd bekend.

dwizzy

@tszcheetah • 5 juli 2018 11:58

ik vind de Privacy policy in de add-on pagina leuk:
"Unlike other similar extensions, we don't find you to be all that interesting. Your questionable browsing history should remain between you and the NSA. Stylus collects nothing. Period. "

Origin64 @dwizzy • 6 juli 2018 01:27

Ze laten voor het gemak Microsoft, of de fabrikant van je smartphone, en je ISP, en alle andere security agencies ter wereld (ook meerdere in de VS luisteren onschuldige burgers af), achterwege. Anders wordt het ineens eng en niet grappig meer.

[Reactie gewijzigd door Origin64 op 23 juli 2024 04:46]

GTX2GvO 5 juli 2018 12:11

Gezien het bedrijf achter Stylish niet meer te vertrouwen is. (of ooit te vertrouwen was)

Hoe veilig is de Website userstyles.org zelf dan eigenlijk om CSS styles te zoeken?
Die is immers van Stylish en dus ook van het bedrijf erachter.

_{Ik heb het hier dus niet over de userstyles die je er vind, maar de website zelf.}

Cyb @GTX2GvO • 5 juli 2018 12:20

Dat zal niet veel afwijken van de gemiddelde website, waar ook bijna altijd tracking plaats vindt. In het geval van userstyles.org is dat: Twitter, Pinterest, Google, Facebook, NewRelic, Cloudflare.

MarnickS 5 juli 2018 11:33

Ik kreeg de melding gisteren ook.

batjes

Google Chrome
Browsers

5 juli 2018 11:40

Ik heb het vermoeden dat Stylish ook random popups veroorzaakte. Vorige week had ik ineens te maken met random popups die geblokt werden door Ublock Origin. Ik wist dat het in de browser zat, omdat ik Edge als default OS browser heb (ondanks dat ik 99% van de tijd FX gebruik)

Al mijn addons eraf gedonderd/uitgeschakeld, gister ineens een notificatie van Firefox zelf dat Stylish na de herstart verwijderd wordt.

bartje 5 juli 2018 11:51

ik vind het goed dat deze add on is verwijderd,
maar ik vraag me af,
is het geen bug in FF en chrome om add ons uberhaupt van deze data te voorzien?
Ik weet niet precies hoe deze data verzameld is en of dat is af te vangen, maar dit lijkt me niet wenselijk.

ik heb deze add on nooit gebruikt maar firefox heeft in de dev toolbar zelf de mogelijkheid om de style van een pagina te wijzigen.

NiLSPACE @bartje • 5 juli 2018 11:54

Tijdens het installeren krijg je waarschijnlijk de vraag of je de addon toestemming geeft om erbij te komen waar iedereen natuurlijk ja op klikt.

Stoelpoot @bartje • 5 juli 2018 11:57

Nee, die gegevens moeten ook beschikbaar zijn. Een voorbeeld is de Better History extensie in Chrome, wat er een stuk beter uit ziet dan de standaard-layout.

Galan @Stoelpoot • 5 juli 2018 12:50

Nee die moeten dat dus niet, het is handig voor extensies maar MOETEN is niet aan de orde hier.

Stoelpoot @Galan • 5 juli 2018 13:30

Het was meer in de context van het zichtbaar maken voor extensies en waarom deze data dan nodig is.

Uiteindelijk is het ook aan de gebruiker zelf welke extensies worden geïnstalleerd.

Cyb 5 juli 2018 11:54

Ik vraag me af of deze spy feature ook in de open source code aanwezig is. https://github.com/openstyles/stylus Open Source code klinkt in eerste instantie veiliger dan een extensie gebaseerd op open source.

Dit probleem is overigens lijkt me bij veel meer software het geval, met name bij browsers en virusscanner, waarbij de URL tegen een database wordt gecontroleerd op malware. Daarbij wordt meteen je IP adres vastgelegd en mogelijk andere informatie. Bij Kaspersky bijvoorbeeld, wordt Kaspersky JavaScript geinjecteerd in elke pagina die je bezoekt. Deze code gaat vervolgens verbindingen leggen met Kaspersky servers, deze verbindingen zijn niet eenmalig, maar staan continue open, zelf indien je idle een pagina zit te lezen, gaan er nieuwe HTTP requests naar Kaspersky servers. Ook bevat deze Kaspersky code expliciete verwijzingen naar Google Search en andere zoekmachines. https://twitter.com/netzor/status/833055382822064128

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (72)

Sorteer op:

Weergave: