'Bescherming tegen tracking bij vrijwel alle browsers en extensies onvolledig'

Onderzoekers van de imec-DistriNet-groep van de KU Leuven concluderen na een onderzoek van 7 browsers en 46 extensies dat er in vrijwel alle gevallen een manier is om bescherming tegen tracking via cookies te omzeilen. De ontdekte technieken zouden nog niet in gebruik zijn.

De onderzoekers, Gertjan Franken, Tom Van Goethem en Wouter Joosen, ontwikkelden een framework waarmee ze de verschillende browsers en extensies aan een analyse onderworpen en nieuwe omzeilingstechnieken identificeerden. Ze keken daarmee onder meer naar de ingebouwde beschermingsmaatregelen tegen tracking van Chrome, Firefox, Edge, Safari, Opera, Cliqz en de Tor Browser. Ook keken ze naar 46 extensies, waarvan 31 adblockers en 15 varianten die bescherming moeten bieden tegen tracking. Een overzicht daarvan is hieronder weergegeven. In hun paper schrijven de onderzoekers op basis van hun analyse dat er voor elke beschermingsmaatregel wel een methode is om deze te omzeilen. In de resultaten onderscheiden ze drie categorieën: een verzoek naar een derde partij inclusief cookie, een verzoek zonder cookie en helemaal geen verzoek.

Geteste extensies

De onderzoekers leggen uit dat tracking veelal plaatsvindt doordat de browser een verzoek doet naar een derde partij inclusief een cookie. Omdat er echter ook trackingtechnieken zijn die geen cookie nodig hebben, zoals browser fingerprinting, hebben ze ook gekeken naar verzoeken die zonder een cookie worden gedaan. Binnen hun framework testten ze aan de hand van verschillende methodes om een verzoek naar een derde partij te doen. Onder de in totaal zeven technieken zijn html-tags, response headers, JavaScript in een pdf en de AppCache-api. De resultaten hebben de onderzoekers in verschillende tabellen weergegeven, die hieronder zijn weergegeven.

Resultaten van browsers en verschillende extensies

Als onderdeel van het onderzoek bekeken de auteurs ook of de ontdekte technieken ook gebruikt worden op de tienduizend populairste websites volgens de dienst Alexa. Dat deden ze met een geautomatiseerde crawler. De conclusie is dat al het gebruik van de technieken om legitieme redenen plaatsvindt. Ze wijzen er daarbij wel op dat trackers mogelijk detectie proberen te omzeilen door verzoeken pas te laten plaatsvinden op het moment dat er interactie is door de gebruiker. Op een speciaal in het leven geroepen site vermelden de onderzoekers hoe het disclosureproces aan de verschillende partijen is verlopen. Daar zijn ook meer gegevens per browser of per extensie te vinden. De auteurs hebben hun paper gepresenteerd op de Usenix-conferentie in de VS.

Reacties (67)

droner 16 augustus 2018 16:00

Adverteerders realiseren zich hopelijk dat de houding van de consument steeds negatiever zal worden inden er gezocht wordt naar omzeilingstactieken. Sinds de AVG is de aantrekkelijkheid van websites sowieso al flink achteruit gegaan door de soms erg uitgebreide cookiewarnings/selectors - niemand heeft zin of tijd om om de haverklap hele lijsten opties door te werken voordat je die ene pagina kunt zien waar je misschien na 3 seconden alweer weg bent, ook van die wetenschap maken sommige tracking netwerken m.i. handig gebruik (hoe meer tijd het kost, hoe sneller mensen dan maar 'akkoord' klikken om van het gezeik af te zijn). Overal zonder na te denken op 'akkoord' klikken terwijl je extensies hebt draaien die alles hoe dan ook blokkeren wordt steeds aantrekkelijker.

henk717 @droner • 16 augustus 2018 20:57

De alles gewoon akkoord klikken terwijl ik extenties heb draaien is inderaad nu standaard in mijn browser. Ik bepaal zelf welke sites ik wil steunen, dat gebeurd als ik het nuttige websites vind met een acceptabel advertentiebeleid (O.a. sites als Tweakers, Twitch (met Prime dus ik zie ze daar uberhaupt niet) en XDA staan hier op de whitelist).

Verder heb ik een uitgebreide anti-irritatie setup draaien welke het volgende doet:
- Zo veel mogelijk AVG en cookie meldingen standaard accepteren, tracking cookies worden door de adblocker weggefilterd en de sites op de whitelist mogen ze van mij weten (Extentie: I dont care about cookies).
- Automatisch ADF.ly en andere vergelijkbare advertentie muren doorklikken en waar mogelijk de timers en bot verificaties automatisch doorklikken. (Userscript: https://adsbypasser.github.io/)
- NanoDefender + Ublock als advertentie en tracking blocker.
- Gemiste popups blokkeren (Userscript: Adguard Popup Blocker).
- Automatisch Youtube advertenties muten en skippen (Userscript: Auto Close Youtube Ads)
- Automatisch redirecten naar de grootste versie van een afbeelding indien beschikbaar (Userscript: Image Max URL)
- Mij toestaan weer gewoon de afbeelding direct te openen op Google Images (Userscript: Google images direct links)
- En tot slot Anti-Social Locker om te omzijlen dat ik moet tweeten om content te bekijken.

767135 @henk717 • 16 augustus 2018 22:35

Hoe kan ik adbypasser onder Chrome installeren? Krijg een foutmelding van Google dat het niet via hun site kan...

henk717 @767135 • 17 augustus 2018 08:24

Je zal een userscript manager nodig hebben zoals Violentmonkey, gaf bij mij geen problemen al heb ik dit wel oorspronkelijk via firefox geinstalleerd. Ergste geval zou je het via Firefox kunnen installeren en dan via de synchronisatie optie laten synchroniseren met de overige browsers maar als je Violentmonkey hebt geinstalleerd lijkt mij dat niet nodig.

26779 @henk717 • 18 augustus 2018 15:34

Werkt het ook met de al-oude greasemonkey?
Een ander alternatief zou tampermonkey kunnen zijjn, maar ik las dat vanaf versie 2.9 de code niet meer open is.
Voor nog meer alternatieven: https://alternativeto.net/software/violent-monkey/

[Reactie gewijzigd door 26779 op 23 juli 2024 02:16]

henk717 @26779 • 18 augustus 2018 17:51

Zelf gebruik ik het opensource Violentmonkey en heb de overige niet getest, Violentmonkey is opensource en dat was voor mij de voornaamste reden geweest om deze addon over de anderen te gebruiken en gezien ik hem prettig vind ik gebruik heb ik de rest niet meer getest.

Tinus_Budel @henk717 • 17 augustus 2018 08:32

Heel goeie tips, ik kende er een hele hoop nog niet van vooral de Userscripts was ik niet mee bekend. Ga ik vanavond eens mee aan de slag.

Rodeobull @henk717 • 19 augustus 2018 19:35

Jah.. Das leuk als je en tweaker bent, maar de gewone consument dan?

bigbadbull @droner • 16 augustus 2018 16:07

hehe en als je de cookies niet bewaard, dan krijg je ze ook ieder bezoek voorgeschoteld.
dus laad je die meldingen ook maar direct blockeren door je addblocker, want dat gezaag ook altijd.

26779 @droner • 16 augustus 2018 16:11

Ik zie nog steeds cookie vensters die alleen de mogelijkheid geven om te accepteren. (en er bij zetten dat wegklikken als accepteren wordt beschouwd.

Ik ben dan ook snel weg op dat soort websites...
Verder gebruik ik een addon die er voor zorgt dat mijn fingerprint steeds verandert. Dat maakt het tracken redelijk nutteloos.

[Reactie gewijzigd door 26779 op 23 juli 2024 02:16]

LocK_Out @26779 • 16 augustus 2018 20:21

Thanks, dat zijn handige tips!

TimVdE @26779 • 18 augustus 2018 13:25

Je bedoelt... Zoals Tweakers?

scsirob @droner • 16 augustus 2018 16:41

Ik denk dat je dat overschat. Het gros van de gebruikers op het web heeft geen idee wat een cookie of tracking is. Laat staan dat ze er iets van vinden of tegen doen.

darknessblade @droner • 16 augustus 2018 22:12

weet het vele amerikaanse sites zijn echt erg, sommige moet je echt voor elke tracking cookie toestemming de toestemming ontmenen 1 voor 1. en sommige sites hebben een opt-out/all button maar voordat je bij die pagina komt ben je teminste al 10 clicks verder. tevens foppen sites je dan ook nog met de positie van de knop te wisselen. waardoor je alsnog alle cookies accepteerd.
vele sites gebruiken het "stikken of slikken moto" {eerder door je strot duwen of hoepel op motto}

CEx 16 augustus 2018 16:30

Ai dit is ook bijzonder pijnlijk:

Furthermore, a design flaw in Chromium-based
browsers enabled a bypass for both the built-in thirdparty
cookie blocking option and tracking protection
provided by extensions. Through JavaScript embedded
in PDFs, which are rendered by a browser extension,
cookie-bearing POST requests can be sent to other domains,
regardless of the imposed policies. Additionally,
we discovered that not every implementation of the WebExtension
API guarantees interception of every request.
This makes it impossible for extension developers to be
completely thorough in blocking or modifying undesirable
requests.

Dit had wat mij betreft ook in het artikel naar voren mogen komen.

[Reactie gewijzigd door CEx op 23 juli 2024 02:16]

RoestVrijStaal @CEx • 16 augustus 2018 22:52

En daarom hoort een webbrowser geen PDF te renderen.

Hoogstens een JavaScript library (PDF.js anyone?) die dat lekker in de sandbox van zijn website mag doen.

[Reactie gewijzigd door RoestVrijStaal op 23 juli 2024 02:16]

PPie 16 augustus 2018 15:59

Omdat er echter ook trackingtechnieken zijn die geen cookie nodig hebben, zoals browser fingerprinting

Zou de Enhanced Tracking Prevention die in macOS Mojave en iOS 12 komen hiertegen helpen?

boratnl 16 augustus 2018 15:48

Jammer dat Brave Browser niet (gewijzigd, stond eerst 'nu') mee is genomen in de tests (of lees ik er overheen?). Toch wel een best populaire browser geworden het afgelopen jaar...

[Reactie gewijzigd door boratnl op 23 juli 2024 02:16]

Anoniem: 1036995 @boratnl • 16 augustus 2018 15:50

Wou het net typen. Ben er heel tevreden over. Vooral op de laptop/desktop dat je in prive modus kan gaan zonder gedoe met Tor mode aan is handig.

StefanJanssen @boratnl • 16 augustus 2018 15:52

Brave is niet meegenomen toch?

boratnl @StefanJanssen • 16 augustus 2018 17:23

Inderdaad, ik type 'nu', maar daar moest 'niet' staan. Thanks!

rkeet @boratnl • 16 augustus 2018 16:02

Hmmm, die ga ik eens proberen. Had er nog nooit van gehoord. Recent op/voor werk wel overgestapt op Vivaldi. Split-window browsing, heerlijk!

Indentical @rkeet • 16 augustus 2018 16:28

Vivaldi is wel een fork van Chrome netzoals Opera dat is. Het is dus heel goed mogelijk dat wat het artikel beschrijft van toepassing is op Vivaldi.

[Offtopic]
Zelf gebruik ik het ook, ik vind het ook geweldig, voornamelijkde customization die mogelijk is. Zo heb ik dus de volledige browser in "darkmode" en verder geen accent uitspattende accentkleuren, lekker rustig op de ogen!

Wat ik ook wel een super functie vind is dat tabbladen stapelbaar zijn. dat mis ik wel in chrome.. iets nu even niet nodig maar op een later tijdstip wel? Dan stapel je dat! en dat split window browsing vind ik beter dan m'n 2 tabs splitten in windows sinds het alleen op die tab van toepassing is!

kuurtjes @Indentical • 16 augustus 2018 17:53

Vivaldi is geen fork maar gebruikt gewoon dezelfde engine.

Sando @Indentical • 17 augustus 2018 00:02

Van Chromium bedoel je, want Chrome is niet open source.

Chrome = Chromium + Proprietary code + pdf viewer + tracking

[Reactie gewijzigd door Sando op 23 juli 2024 02:16]

Indentical @Sando • 17 augustus 2018 09:27

@kuurtjes Oh, ik dacht dat het een fork was! maar dan is het inderdaad zoals jij en @Sando zeggen, gewoon de zelfde engine met eigen code/features er om heen gebouwd.

Bedankt voor de info! Verspreid ik in ieder geval geen onzin meer. Het verbaasd me soms nog wel hoe populair Chromium Project is onder developers.

rkeet @Indentical • 17 augustus 2018 08:36

Gestapelde tabbladen gebruik ik ook veel ;-) Had nog feature request gedaan om stapels ook te kunnen pinnen. Kan via workaround, moet je "pin tab" een shortcut toekennen (bijv "Ctrl + ["), dan kun je per tab in een stack die shortcut gebruiken. Vervolgens ook de optie "open new tab outside of stack" zodat je niet eeuwig tabs aan je stack blijft toevoegen (wat je nauwelijks ziet).

Split tab/window echt heerlijk. Mail + agenda in 1 venster. Alle Atlassian dingen open in 1 venster. Niiiccceeee.

Heb alleen 2 min puntjes:
- Donker/zo goed als zwart thema (of door accent kleur) zorgt ervoor dat actieve tabs met donkere kleur, bijv Github) niet te zien zijn (als actief) (geen contrast of overlay toevoeging)
- Dat een tab actief een pagina aan het laden is is niet heel erg duidelijk met die URL balk die "leeg loopt"

Mjah, verder is t ding goud. Functie nog om je instellingen te synchroniseren (of mogelijkheid dat zelf te regelen via 3rd party/eigen implementatie) en tis helemaal mooi

boratnl @rkeet • 16 augustus 2018 17:24

Volgens mij werd Brave ook aangeraden door NordVPN, maar vind dat zo snel niet meer terug.

401096 @boratnl • 16 augustus 2018 15:56

Misschien hebben ze alleen browsers getest met een eigen engine?

RoestVrijStaal @401096 • 16 augustus 2018 22:48

Dan zijn ze Pale Moon vergeten.

Honytawk @boratnl • 16 augustus 2018 21:15

Is die nu wat deftig?
Toen ik die gebruikte crashte die om het uur en moest ik die opnieuw opstarten.
Het sloeg wel al mijn open tabbladen op, maar toch was het een gedoe.

boratnl @Honytawk • 17 augustus 2018 11:41

Brave draait bij mij vrij goed, heb 1x per week nog wel een vastloper (op Mac, op Android 0 problemen). Verder werkt soms een site niet goed, aliexpress is bijvoorbeeld echt onbruikbaar in Brave, maar verder kom ik dit zelden tegen.

droner @boratnl • 17 augustus 2018 22:29

Dank voor de tip, ziet er top uit.

P.S. sponsored by ING?

Anoniem: 100386 16 augustus 2018 16:03

Voor zover ik weet wordt tracking gebruikt om specifieke reclame op een gebruiker te kunnen richten.

Dat is precies waarom ik groot voorstander ben van adblockers. Je kunt daarmee het buisinesmodel wat daar achter zit doorbreken. Simpelweg doordat de reclame de beoogde gebruikers nooit bereikt. Hoe meer mensen adblockers gebruiken, hoe minder interessant reclame als businessmodel wordt, en daarmee wordt een groot deel van de tracking een kostenpost die heroverwogen zal gaan worden. Hoop ik 😎

ACM Software Architect @Anoniem: 100386 • 16 augustus 2018 16:23

Tracking is een hele algemene term die voor van alles en nog wat wordt gebruikt. Het 'op maat maken' van reclame is inderdaad een bekend voorbeeld, maar ook domweg bijhouden of iemand eerder op de site is geweest kan je er onder schalen (zeker zodra het in de analytics-hoek valt).

Verder betwijfel ik het of reclame ooit wegvalt en ik betwijfel ook of je er wel blij mee zou moeten zijn als dat gebeurt. Het internet gaat er in ieder geval heel erg door veranderen, maar of dat goed is?

Kijk eens in je browser-history; hoeveel sites zitten daar tussen die niet een direct verdienmodel (zoals webwinkels) bij hun site hebben of een andere 'noodzaak' voor de site (zoals onderdeel van de dienstverlening (banken bijv) of marketingtool (producenten van producten). Stel je zou moeten betalen voor die pageviews die dan overblijven; voor welke zou je dat dan doen? En alles wat dan afvalt, vind je het daarvan wel of niet zonde dat dat wegvalt?
En van hetgene dat je wel bereid was iets voor te betalen, vind je het daarvan wel of niet zonde dat het niet meer vrij toegankelijk is voor anderen?

Ik ben overigens eens dat banners nu ook niet per se het idee geven dat ze het internet beter maken, maar ik ben me niet van een serieus alternatief bewust dat voor 'iedereen' werkt, waardoor er een grote kans is dat het internet een stuk afgeschermder en kariger wordt dan het nu is.

[Reactie gewijzigd door ACM op 23 juli 2024 02:16]

Anders @ACM • 16 augustus 2018 17:18

Verder betwijfel ik het of reclame ooit wegvalt en ik betwijfel ook of je er wel blij mee zou moeten zijn als dat gebeurt.

Nee. Het resultaat zal zijn dat reclame steeds meer verweven gaat worden met content. Mag ook niet, maar de reclamecodecommissies hebben in de verste verte niet genoeg capaciteit om dat te controleren. Kijk maar naar alle influencers op Instagram die om de haverklap product X of Y aanbevelen. Daar doet een bannerblocker niks tegen.

DerDee @ACM • 16 augustus 2018 18:19

Goed samengevat, eindelijk iemand tussen de privacy gekkies die ook de andere kant belicht. Zonder deze ads en tracking geen sites. Echt 10% van het internet blijft in leven als dat al zo zou zijn als iedere website zich houd aan de tracking regels en "ik wil niet gevolgd worden" knopjes.

Er bestaat daarbij niet zoiets als een persoonlijk profiel over de bezoeker specifiek. Je valt in categorieën en daarop worden zaken voorgeschoteld. Lees hier weer vaker terug dat het ongelofelijk onwenselijk is. Ik zie persoonlijk liever een reclame van een telefoon die ik potentieel wil kopen ipv een reclame over luiers (zeker gezien ik nog geen kinderen heb).

Er moet echt eens worden afgestapt van de "voor duppie op eerste rang"-cultuur. Gun websites ook wat, want je krijgt er ook veel voor terug. Zou je er geen gebruik van maken dan had je ook geen "last" van de ads/tracking.

rene_fb @DerDee • 16 augustus 2018 18:39

Je kunt ook adds laten zien zonder tracking... Zelfs relevante adds kun je laten zien. Het is allemaal een kwestie van willen.

ACM Software Architect @rene_fb • 17 augustus 2018 08:25

Er zijn twee varianten van 'relevante ads' in deze wereld;
- Op basis van de inhoud, dus bij dit artikel had een advertentie over een privacy-tool kunnen staan
- Op basis van jouw interesses

En die twee worden in de praktijk natuurlijk ook nog wel gecombineerd.

Voor die eerste heb je gelijk dat daar geen tracking (of vooral profiling) voor nodig is, je moet vooral weten waar die pagina die je bekijkt over gaat. En cookies heb je dan alleen nog nodig om te voorkomen dat je steeds dezelfde advertentie krijgt en/of om te kijken of je 'iets' deed a.d.h.v. die advertenties.

Voor de tweede is het in theorie ook niet nodig, maar dan zou je vrijwillig ergens je interesses moeten delen en zou dat op een of andere manier gebruikt moeten kunnen worden. In de praktijk wordt nu door middel van tracking een profiel van je opgesteld en wordt bekend dat jij blijkbaar interesse hebt in bepaalde zaken.

Overigens is het in de praktijk best lastig om van jezelf je interesses te delen, want sommige dingen weet je misschien wel niet (of niet onder woorden te brengen) of ontstaan pas na enige tijd

Franko P. @DerDee • 17 augustus 2018 16:58

Echt 10% van het internet blijft in leven als dat al zo zou zijn als iedere website zich houd aan de tracking regels en "ik wil niet gevolgd worden" knopjes.

Dus omdat men niet genoeg kan verdienen houd men zich maar niet aan de regels?
Waanzin.

Ik vraag niet om een website waar een heel bedrijf met kantoor en al achter zit welke voor de content zorgt. Ik zoek informatie of vermaak en voorheen kon dat ook allemaal gevonden worden op kleinere sites gerund door enthousiastelingen.
Als een site succesvol blijkt en deze krijgt veel traffic en dus ook kosten kunnen ze echt wel een banner plaatsen. Als die banner normaal van omvang is en niet gelijk een halve pagina in neemt zoals het voorheen vaak ging en deze al zeker niets anders doet dan alleen een product tonen is er geen adblocker nodig.

Maar ja er moet natuurlijk weer overal een profiel worden opgebouwd teneinde nog meer te verdienen, en dat is dus precies waar mensen zich tegen verzetten, en terecht.
Ze hebben zichzelf in de voet geschoten met hun agressieve reclames, en dan ook nog moord en brand schreeuwen als de consument er wat tegen doet.

DerDee @Franko P. • 21 augustus 2018 22:03

Omdat een bedrijf in leven wil blijven, je wordt geen milioenair van een nederlandse website. Je moet blij zijn als je in leven kunt blijven voor 10-20 jaar. Niets is gratis in het leven. Dus informatie van enthosiastenlingen is schaars en verouderd snel.

1,2 of 1000 banners, het maakt niet meer uit. Iedereen heeft een adblocker tegenwoordig en afgezien van een site of 3 komt daar in praktijk nooit iets op de whitelist. Laat staan de niche sites met heel handige maar heel specifiek bruikbare informatie.

Een profiel wordt enkel opgebouwd door de ads partijen om je betere ads voor te schotelen (bovenstaand voorbeeld, eventuele aankoop tov luiers). Bij websites zelf wordt gekeken hoe er beter geholpen kan worden of hoe de site beter kan worden ingestoken op het publiek.
Echter is het zo dat de meeste mensen die voor wat informatie online snuffelen en over alles roepen dat het slecht is, geen idee hebben over wat er wordt bijgehouden. En hoeveel het allemaal kost om dat te produceren en in leven te houden. Het moet allemaal gratis.

Soldaatje @Anoniem: 100386 • 16 augustus 2018 16:16

Klopt, met als gevolg dat de websites wel naar andere inkomstenbronnen moeten gaan zoeken. Elke website achter een paywall is ook niet aantrekkelijk. Dan maar op ok klikken, of een addon installeren als idontcareaboutcookies.

Zezura 16 augustus 2018 15:49

Dit blijft een kat en muis spel. Hoe meer toegang een browser geeft tot systeem API’s (al dan niet gesandboxed of met een wrapper en beperkingen.) hoe meer manieren er zijn om gebruikers te identificeren.

Keypunchie @Zezura • 16 augustus 2018 16:00

Vandaar dat de GDPR ook zo'n stap vooruit is.

Te veel is de gedachte geweest "als het technisch kan dan mag het, en anders moet het technisch maar onmogelijk worden gemaakt".

Dat is een beetje alsof inbreken zou mogen als je in staat bent om door te sloten heen te komen.

De GDPR probeert een einde te maken aan die ambiguiteit: Tracking van een individu mag pas als iemand er expliciet toestemming toe geeft. En dan zijn er nog spelregels bij.

Het wordt alleen wel lastig om de wet te handhaven, met name op kleine spelertjes. Maar daar is de hoop dat bedrijven elkaar eerlijk zullen houden (door middel van compliance audits), omdat er ketenverantwoordelijkheid is.

CAPSLOCK2000

Privacy
onderzoek
Cookie

@Keypunchie • 16 augustus 2018 16:12

Vandaar dat de GDPR ook zo'n stap vooruit is.

Te veel is de gedachte geweest "als het technisch kan dan mag het, en anders moet het technisch maar onmogelijk worden gemaakt".

Dat is een beetje alsof inbreken zou mogen als je in staat bent om door te sloten heen te komen.

De GDPR probeert een einde te maken aan die ambiguiteit: Tracking van een individu mag pas als iemand er expliciet toestemming toe geeft. En dan zijn er nog spelregels bij.

Het wordt alleen wel lastig om de wet te handhaven, met name op kleine spelertjes. Maar daar is de hoop dat bedrijven elkaar eerlijk zullen houden (door middel van compliance audits), omdat er ketenverantwoordelijkheid is.

Ik hoop het, maar heb m'n twijfels. Volgens de "cookiewet" was fingerprinting zonder toestemming ook al niet toegestaan maar ik heb nog nooit gehoord van iemand die ofwel toestemming vroeg, ofwel terecht werd gewezen. Volgens mij niet omdat men niet op de hoogte was van de regels, maar vooral omdat bepaalde mensen daar lak aan hebben, zeker als ze toch niet gepakt worden.

Misschien moeten we de lat maar eens wat hoger leggen. Als ik aangeef dat ik geen zin heb in tracking, bv via een Do-Not-Track-header, dan heb ik technische beveiligings-maatregelen getroffen. Het doorbreken van technische beveiligingsmaatregelen is dat computervredebreuk.
Als de pizzaboer een ruit intikt om z'n folder te bezorgen dan zou iedereen onmiddellijk de politie bellen.

ACM Software Architect @Keypunchie • 16 augustus 2018 16:14

Verzamelen van analytische data valt vziw gwoon onder legitieme doeleinden waar niet per se toestemming voor nodig is. En voor dat verzamelen is een zekere mate van tracking nodig.

Waar precies de grens ligt waarbij voor die 'zekere mate' wel of geen toestemming is, weet ik overigens niet. Geen idee of uberhaupt al iemand dat op dit moment weet.

Anoniem: 457607 @ACM • 16 augustus 2018 21:40

3rd party tracking dmv analytics is niet toegestaan zonder toestemming wanneer hiermee data gepaard gaat die aan een persoon te koppelen zijn (en ja, ook een IP adres valt daar onder). Je mag dus wel bijv Google Analytics gebruiken, maar dan dien je daar wel bepaalde zaken uit te zetten.

Mitsuko 16 augustus 2018 16:07

Firefox heeft ook een ingebouwde tracking protection, alleen staat die standaard niet aan buiten private windows. Daar wordt ook nog hard aan gesleuteld natuurlijk, maar ik ben benieuwd wat de toegevoegde waarde daarvan zou zijn geweest (zonder of met uBlock Origin er ook bij).

w3news @Mitsuko • 16 augustus 2018 16:28

Volgens mij is de tracking protection van Firefox pas na versie 57 (die ze gebruikten) pas echt goed geworden.
57 is van november 2017, en in 2018 hebben ze de tracking protection verbeterd.
https://blog.mozilla.org/...ilable-with-new-features/

Mitsuko @w3news • 16 augustus 2018 17:56

Na een kijk in de paper zie ik waarom je Firefox 57 noemt, dat is namelijk de geteste versie. Ze hebben in hun onderzoek wel de ingebouwde Tracking Protection meegenomen, maar de resultaten zijn misschien wat verouderd.

Vexxon 16 augustus 2018 16:10

Persoonlijk vind ik dan ook dat browser fingerprinting verboden zou moeten worden en dat DNT instellingen met een opt-in nageleefd moeten worden.
Ik wil niet allerlei trucs moeten uithalen om niet gevolgd te worden en dan nog maar afvragen er niet toch een truc uitgehaald is om mij te tracken.

DeTeraarist 16 augustus 2018 16:14

'uBlock Adblocker Plus' en 'uBlock Plus Adblocker'? Zo gaat het wel hard met onveilige extensies ja. Alleen de naam van deze twee extensies zou je al moeten weerhouden van het installeren en testen daarvan.

TheBlackbird 16 augustus 2018 17:54

Javascript uitschakelen (Noscript addon) is een behoorlijk effectieve anti-trackingmethode. Nadeel is dat veel sites niet naar behoren werken: gewoon tekst lezen lukt meestal nog wel, maar alles wat interactief is niet.

Mijn volledige pakket aan maatregelen is: VPN (met bescherming tegen DNS leak), Firefox met Noscript, uBlock Origin (met social media blocking filters aangevinkt), Privacy Badger, Https Everywhere + Firefox ingesteld om geen history/cookies/etc te bewaren.

Of Tor Browser

Dit is niet werkbaar voor een normale mens, dat kan ik er meteen bij zeggen.

[Reactie gewijzigd door TheBlackbird op 23 juli 2024 02:16]

Cerberus_tm

@TheBlackbird • 17 augustus 2018 05:15

Hoe bescherm je je tegen DNS-lekkage?

Zarc.oh @Cerberus_tm • 19 augustus 2018 14:15

Bedoel je DNS over HTTPS (DoH)?
Zie hier hoe je dit in Firefox kunt instellen

Cerberus_tm

@Zarc.oh • 19 augustus 2018 14:30

Ik heb geen idee, dacht eigenlijk dat hij ook buiten de browser bedoelde, op zo'n manier dat alle programma's op je computer automatisch beschermd zijn tegen lekken?

dragoon2000 @Cerberus_tm • 20 augustus 2018 12:53

Twee (of eigenlijk drie) mogelijkheden die mijns inziens goed werken:

Een VPN verbinding met daarbij de DNS-servers van de VPN instellen.

Een DNSCrypt proxy draaien met een zelfgekozen server die het beste aan de gewenste eisen voldoet (non-logging bijvoorbeeld in elk geval).

Optioneel in plaats van een VPN, WireGuard gebruiken: dat geeft overigens ook nog aanzienlijk minder overhead dan een VPN en lijkt "by design" DNS requests af te vangen en door de tunnel te sturen. Het is ook nog eens betrekkelijk eenvoudig op te zetten.

Cerberus_tm

@dragoon2000 • 20 augustus 2018 13:22

Dank voor de tips! DNS-servers van de VPN instellen lijkt mij iets dat misschien mis zou kunnen gaan als een onervaren gebruiker dat zelf probeert. Een DNSCrypt-proxy heb ik nog nooit van gehoord, ik ga het eens Googlen. Wireguard klinkt interessant en simpeler? Waarom noem je het "optioneel"?

Op dit item kan niet meer gereageerd worden.

'Bescherming tegen tracking bij vrijwel alle browsers en extensies onvolledig'

Lees meer

Reacties (67)

Sorteer op:

Weergave: