DuckDuckGo publiceert dataset met duizenden trackers en maakt code open source

DuckDuckGo heeft een tool gemaakt waarin het data deelt over trackers die op het internet actief zijn. Het is een dataset die automatisch wordt gegenereerd en geüpdatet door crawling en analyses. De code is open source en staat open voor toepassing door bedrijven en individuen.

DuckDuckGo zegt dat het de tool genaamd Tracker Radar gebruikt tegen trackers in de mobiele apps van de DuckDuckGo Privacy Browser en de DuckDuckGo Privacy Essentials-browserextensies. De code is geplaatst op GitHub en is publiekelijk te gebruiken conform een creative commons-licentie. Dat betekent dat ontwikkelaars er bijvoorbeeld gebruik van kunnen maken voor hun eigen blokkeerlijsten, maar DuckDuckGo ziet ook scenario's voor zich waarin onderzoekers het kunnen gebruiken om het 'trackinguniversum' te onderzoeken.

De Vivaldi-browser kondigde onlangs al aan dat het gebruikmaakt van de Tracker Radar. De dataset bevat 5.326 internetdomeinen die gebruikt worden door 1.727 bedrijven en organisaties die gebruikers op het internet tracken. De Tracker Radar bestaat uit twee elementen. Ten eerste een bestand met domeinen van derde partijen die meestal met tracking worden geassocieerd. Dit bestand bevat ook gedetailleerde informatie over die domeinen, zoals hoe vaak het domein voorkomt tijdens het crawlen, of hoe vaak het domein fingerprinting of cookies gebruikt. Het tweede element is een bestand voor elk moederbedrijf waar de domeinen aan worden toegeschreven, zoals Google.

DuckDuckGo geeft aan dat Tracker Radar nog geen eindproduct is en spreekt de hoop uit de dataset in de toekomst uit te breiden en te verbeteren. Volgens het bedrijf is er behoefte aan een dergelijke tool, omdat er beperkingen zijn bij trackerdata in het algemeen. Zo stelt DuckDuckGo dat blokkeerlijsten meestal volledig handmatig en via crowdsourcing tot stand komen, waarbij er sprake kan zijn van vooringenomenheid van de deelnemers. Bovendien stelt het bedrijf dat deze lijsten doorgaans lastig zijn om op grote schaal te testen. Dat geldt in de ogen van DuckDuckGo ook voor tracker-identificatiemiddelen die in browsers zijn ingebouwd.

IT-banen

Reacties (60)

sjhgvr 6 maart 2020 13:03

[php]
$url = "https://raw.githubusercontent.com/duckduckgo/tracker-radar/master/build-data/generated/domain_summary.json";
var_dump(array_keys(json_decode(file_get_contents($url), true)));
[/php]

Deze lijst bevat onder andere;

500px.com - adobe.com - adyen.com - affirm.com - airbnb.com - akamaihd.net - aliexpress.com - amazon.co.uk - amazon.com - americanexpress.com - apple.com - baidu.com - bing.com - blogger.com - bloomberg.com - businessinsider.com - buymeacoffee.com - buzzfeed.com - cisco.com - cloudflare.com - corriere.it - createjs.com - dailymail.co.uk - dhgate.com - digitaltrends.com - discordapp.com - disneyplus.com - duckduckgo.com - ebay.com - edmunds.com - entrust.net - facebook.com - facebook.net - filehippo.com - flattr.com - fsf.org - gab.com - gfycat.com - giphy.com - github.com - github.io - gizmodo.com - goo.gl - google.com - googleapis.com - googleapis.com - heise.de - homeaway.com - hotels.com - imageshack.com - imdb.com - imgur.com - instagram.com - jquery.com - jsdelivr.net - kickstarter.com - lifehacker.com - linkedin.com - live.com - liveleak.com - magix.com - microsoft.com - mozilla.org - msn.com - naver.com - netflix.com - nintendo.com - nordvpn.com - norton.com - nrk.no - oculus.com - patreon.com - paypal.com - paypalobjects.com - pinterest.com - privateinternetaccess.com - pushbullet.com - recaptcha.net - redd.it - reddit.com - redditmedia.com - scoop.it - skype.com - socket.io - sohu.com - sony.com - spotify.com - tapatalk.com - telegram.org - thesun.co.uk - travelocity.com - tripadvisor.fr - trustlogo.com - twitch.tv - twitter.com - usatoday.com - verizon.com - vg.no - vimeo.com - vk.com - welt.de - whatsapp.com - wikipedia.org - wordpress.com - wp.pl - xiaomi.com - yahoo.com - youtu.be - youtube.com

Dus nee, dit gaat niet include worden in m'n Pi-hole blocklist.

[Reactie gewijzigd door sjhgvr op 22 juli 2024 22:43]

CAPSLOCK2000

Privacy
Internet

@sjhgvr • 6 maart 2020 13:40

Dus nee, dit gaat niet include worden in m'n Pi-hole blocklist.

Het probleem van internet in een notendop. We zitten met z'n allen enorm klem omdat zo'n beetje alle grote sites aan tracking doen en je eigenlijk geen normaal leven kan hebben als je daar niet aan mee doet.
En al die sites houden vol dat ze niks verkeerds doen, dat ze zich aan de wet houden, dat ze hun gebruikers goed informeren en overal toestemming voor hebben.
Ze houden zich echter totaal niet aan de geest van de wet, dat zie je eigenlijk al aan het woord toestemming. Toestemming vragen is namelijk de uitzondering in de AVG/GDPR. Als je iets wil doen wat eigenlijk verboden is dan kun je de gebruiker om toestemming vragen. Dat zou uitzonderlijke moeten zijn. Als al die sites gebruik maken van de uitzondering dan gaat er duidelijk iets niet goed.

Wat voorstellen om dit te verbeteren:
- Als je toestemming wil vragen aan je gebruikers moet je eerst toestemming vragen aan de AP die dan je privacybeleid beoordeelt
- Belasting op data zodat bedrijven een goede reden hebben om terughoudend te zijn met het verzamelen en bewaren van data
- Je moet voor iedere tracker en ieder stuk data dat je verzamelt apart toestemming vragen. Dus niet met 1 klikje een document van 20 pagina's goedkeuren waarmee alle data wordt afgestaan aan tientallen trackers. Maar als er (bv) een IP-adres en gebruikersnaam met 10 sites gedeeld worden dan moet er (2 x 10 =) 20 losse popups geven die de gebruiker moet goedkeuren zodat duidelijk wordt hoe veel er gedeeld wordt. Je mag je dan niet verschuilen achter groepen of tussenpersonen, dus geen "deze data wordt gedeeld met onze partners". Dat is irritant voor gebruikers en dat is precies de bedoeling.
- Toestemming vragen moet "out of bound", dus niet via je webbrowser maar via een aparte e-mail of misschien zelfs wel met een papieren brief.

Al deze regels (het zijn losse voorstellen, ik zeg niet dat we ze allemaal moeten gaan doen) proberen er voor te zorgen dat gebruikers niet misleid of onder druk gezet worden om dingen te accepteren waar ze eigenlijk geen zin in hebben, en proberen om de last voor trackers zo te verhogen dat ze het vanzelf laten. Tegelijkertijd probeer ik te zorgen dat niks helemaal verboden wordt, alles blijft mogelijk als je bereid bent om wat extra moeite te doen, maar om het onaantrekkelijk te maken als het niet nodig is.

kimborntobewild @CAPSLOCK2000 • 6 maart 2020 13:55

Tegelijkertijd probeer ik te zorgen dat niks helemaal verboden wordt

Dat is nu net het probleem: we hebben de marktwerking en 'vrije handelsgeest' zodanig hoog in het vaandel staan, dat al die tracking-troep niet illegaal is. Al die gore klote-bende moet gewoon totaal verboden worden; klaar uit.
En commerciële partijen moet het ook volledig verboden worden om de lobbyen (voorbeeld: het moet een bedrijf dus verboden worden om te lobbyen bij politici om iets gedaan te krijgen. Als je als bedrijf zijnde iets gedaan wilt krijgen, moet je gewoon goede producten/diensten maken, en zonodig kan je de tevreden klanten eventueel vragen of ze op een bepaalde politieke partij willen stemmen die hun bedrijf gunstig gezind is. Verder moet het niet gaan. En dit zal voor velen al te ver zijn. Goed zo. Bedrijven horen niet met politici te praten).

[Reactie gewijzigd door kimborntobewild op 22 juli 2024 22:43]

CAPSLOCK2000

Privacy
Internet

@kimborntobewild • 6 maart 2020 14:05

Als het aan mij lag dan zou ik het inderdaad verbieden maar toch wil ik niet zo ver gaan.
a) er zijn mensen die zeggen dat ze het handig vinden dat de wereld alles van ze weet en dat ze bv liever gepersonaliseerde advertenties hebben dan algemene. Ik vind het dom, maar uiteindelijk is dat een persoonlijke keuze.
b) er zijn ook legitieme toepassingen van deze technieken. Helemaal verbieden zou te ver gaan. Wie een sporthorloge met GPS-tracker en webinterface koopt die wil gevolgd worden, dat is het doel. (Al kan je dan de vraag stellen toestemming vragen nog nodig is of dat er een andere grond is om het toe te staan).

kimborntobewild @CAPSLOCK2000 • 6 maart 2020 14:11

a)
De goeden hebben momenteel te lijden onder de kwaden.
b)
Dit lijkt me op te lossen door een inlogaccount - en ingelogd te zijn - verplicht te stellen?

Enfin:
Eerst die bende maar eens geheel verbieden.
Daarna pas kijken waar het spaak loopt, en zonodig lichtjes/gericht bijsturen, voor bijv. levensreddende functies.

[Reactie gewijzigd door kimborntobewild op 22 juli 2024 22:43]

bvdbos @kimborntobewild • 6 maart 2020 23:42

[...]
En commerciële partijen moet het ook volledig verboden worden om de lobbyen (voorbeeld: het moet een bedrijf dus verboden worden om te lobbyen bij politici om iets gedaan te krijgen. Als je als bedrijf zijnde iets gedaan wilt krijgen, moet je gewoon goede producten/diensten maken, en zonodig kan je de tevreden klanten eventueel vragen of ze op een bepaalde politieke partij willen stemmen die hun bedrijf gunstig gezind is. Verder moet het niet gaan. En dit zal voor velen al te ver zijn. Goed zo. Bedrijven horen niet met politici te praten).

Ik stuit in mijn dagelijks werk op wetten die verbeterd kunnen worden of waarin simpelweg fouten staan, mag ik dat dan niet meer aankaarten? En mogen bestuurder en politici niet geïnformeerd worden over voortschrijdende inzichten?

Superstoned @bvdbos • 8 maart 2020 23:09

Inderdaad, je zal als politicus eens wat willen vragen aan bedrijven maar ze mogen van de wet geen antwoord geven... En ja, dat is lobbyen - met politici praten. Doen charitatieve instellingen trouwens ook- zoals Greenpeace. En belangenbehartigers van verschillende groepen, van artsen en brandweerlieden tot, ja, bedrijven in sectoren als de landbouw en petrochemie.

Er moet transparantie zijn zodat je weet wie met welke politicus voor hoe lang waar en wanneer praat, maar verbieden, dat is gewoon domme praat, dan snap je de wereld niet. Waarom zou je politici dom willen houden? Je wilt weten naar wie ze luisteren, dan weet je wat er gaande is.

[Reactie gewijzigd door Superstoned op 22 juli 2024 22:43]

topio2 @CAPSLOCK2000 • 6 maart 2020 18:13

Toestemming vragen.

Daar is nu alles mee gelegaliseerd. Elke keer weer als er privacy problemen waren, was de oplossing toestemming vragen. Nu zijn we hier aangeland en ja dat was vantevoren bekend c.q. uit te rekenen.

AVG is niet veel anders. Ook dat is grotendeels legalisatie van het gebruik van persoonlijke gegevens.

Privacy draait om persoonlijke gegevens. Als persoon bepaal je dus wat jouw privacy is. Dat is helemaal weg met al die wetgeving. Er wordt voor jou aan alle kanten bepaald wat jouw privacy is, wanneer het geldt en wanneer niet.

En we zijn nog lang niet op de bodem, kun je ook zien aan de manier hoe gedacht wordt..

robvanwijk

Privacy

@CAPSLOCK2000 • 6 maart 2020 23:20

Toestemming vragen is namelijk de uitzondering in de AVG/GDPR. Als je iets wil doen wat eigenlijk verboden is dan kun je de gebruiker om toestemming vragen. Dat zou uitzonderlijke moeten zijn. Als al die sites gebruik maken van de uitzondering dan gaat er duidelijk iets niet goed.

Waar haal je dat vandaan!? Jouw baas stelt een heleboel eisen aan jou (en jij aan hem, zoals salaris krijgen) die je normaal gesproken helemaal niet zou mogen stellen; de enige reden dat dat mag is omdat jullie daarvoor wederzijds toestemming hebben gegeven (door middel van het ondertekenen van een arbeidscontract). Het is verboden om zomaar andermans spullen mee te nemen, maar het hele idee van winkels is dat ze je (in ruil voor geld) toestemming geven om dat te doen. Dus nee, "als je er toestemming voor moet vragen, dan is het evil" gaat echt totaal niet op.

Daarnaast zijn de voorstellen die je doet gruwelijk onhandig en volkomen onrealistisch. Als je voor toestemming een papieren brief wil vereisen, heb dan het lef om gewoon eerlijk toe te geven dat je het volledig verbiedt, want we weten allebei dat dat het effect zou zijn.

CAPSLOCK2000

Privacy
Internet

@robvanwijk • 7 maart 2020 12:27

Dus nee, "als je er toestemming voor moet vragen, dan is het evil" gaat echt totaal niet op.

Je trekt het te ver door, zo bedoel ik het niet. Ik heb het alleen over toestemming vragen voor het verzamelen van persoonlijke informatie. Dat het uitzonderlijk zou moeten zijn om op grond van de AVG toestemming te vragen heb ik niet bedacht, dat is de intentie van de "cookie wet". Toen politici hier over nadachten was hun idee niet dat je op iedere website een pop-up zou krijgen die om toestemming vraagt. Hun idee was dat dit zeer uitzonderlijk zou zijn. Of dat realistisch was of dat ze de huidige situatie hadden moeten voorzien is een andere vraag. Dit was niet de bedoeling.

Daarnaast zijn de voorstellen die je doet gruwelijk onhandig en volkomen onrealistisch. Als je voor toestemming een papieren brief wil vereisen, heb dan het lef om gewoon eerlijk toe te geven dat je het volledig verbiedt, want we weten allebei dat dat het effect zou zijn.

Dat klopt. Ik wil het eigenlijk helemaal verbieden. Zie ook CAPSLOCK2000 in 'nieuws: DuckDuckGo publiceert dataset met duizenden trackers... waar ik dat letterlijk zeg.
Dus ja, ik wil het tracken van mensen zoals dat nu gebeurd helemaal verbieden. De papieren brief is er voor die paar gevallen waar de gebruiker zelf wil dat z'n informatie verzameld wordt. Ik denk dat bv aan een fitness tracker. Ik denk dat die situatie zo uitzonderlijk is dat het niet erg is om een wat hogere barriere op te werpen. De meldingen die we nu op allerlei websites krijgen vind ik in ieder geval een te lage barriere.
Maar zo'n papieren brief is inderdaad het meest extreme voorstel en gaat misschien een beetje te ver. De kerngedachte is dat het nu te makkelijk is om voor alles en nog wat toestemming te geven met een enkele muisklik.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 22:43]

Superstoned @CAPSLOCK2000 • 8 maart 2020 23:15

Nou ja de cookie wet was dom. Elke site met een login heeft natuurlijk cookies nodig en elke site die wil weten hoeveel bezoekers een bepaalde pagina krijgt heeft koekjes nodig en dat zijn alle bij compleet redelijke dingen. Dat je toestemming moet geven wanneer iemand data van gebruikers wil verkopen is weer compleet redelijk en de gdpr is hier wel slim in - als je doel legitiem is hoef je niets te vragen, alleen te informeren.

Spijtig genoeg zijn veel sites onredelijk moeilijk "voor de zekerheid". Niet handig ja. En veel sites willen natuurlijk inderdaad lelijke dingen doen met je data maar ze dwingen het wel af dat je ja zegt (Facebook, google) terwijl het de pest is voor nieuws sites die het al moeilijk hadden...

CAPSLOCK2000

Privacy
Internet

@Superstoned • 9 maart 2020 09:36

Nou ja de cookie wet was dom.

Pas op voor propaganda van tegenstanders, want de "cookiewet" is helemaal geen verbod op alle cookies, net als in de GDPR mag je gewoon cookies gebruiken als daar de juiste redenen voor hebt.

Elke site met een login heeft natuurlijk cookies nodig

Voor die cookies hoef je dan ook geen toestemming te vragen.

en elke site die wil weten hoeveel bezoekers een bepaalde pagina krijgt heeft koekjes nodig en dat zijn alle bij compleet redelijke dingen.

Daar heb je geen cookies voor nodig.

Spijtig genoeg zijn veel sites onredelijk moeilijk "voor de zekerheid". Niet handig ja. En veel sites willen natuurlijk inderdaad lelijke dingen doen met je data maar ze dwingen het wel af dat je ja zegt (Facebook, google) terwijl het de pest is voor nieuws sites die het al moeilijk hadden...

Strict genomen mag het niet eens volgens de wet. Je mag geen toestemming afdwingen en je moet duidelijk en eerlijk uitleggen wat je met de data gaat doen. In praktijk komt daar niet zo veel van terecht.

Superstoned @CAPSLOCK2000 • 24 maart 2020 11:04

Ok, dus de implementatie was dom, net zoals bij de GDPR. Spijtig...

Cerberus_tm

@CAPSLOCK2000 • 7 maart 2020 02:37

Je kunt toch wel dit soort cross-domain-dingen in de browser blokkeren, tenzij de gebruiker het specifiek wil toestaan? Ik doe zoiets via Umatrix. Ik wil in principe geen inhoud van Adyen op een andere site laden, tenzij ik op dat moment op die site wil betalen via Adyen. Dan sta ik het tijdelijk toe. Enz.

aldieaccounts @Cerberus_tm • 9 maart 2020 19:56

Ik doe hetzelfde. Maar heb niet de illusie dat het echt helpt.

-Browser fingerprinting is makkelijk en wordt door jan en alleman gedaan, dus cookies wissen helpt iig niet.
- Er zijn zo ontzettend veel van die sneaky domeinen , die je vaak wel moet whitelisten omdat een site anders gewoon niet werkt (cdn-dit, cdn-dat, ytimg etc etc etc).

Ik heb in umatrix default alles dicht staan, maar merk toch dat ik erg vaak dingen (tijdelijk) toesta omdat de site die ik wil bezoeken anders niet werkt.

Maar goed, ik wordt dan als het goed is iig niet bij suf websurfen getracked, want dan gaat alles wat niet wil laden gewoon meteen dicht.

Cerberus_tm

@aldieaccounts • 9 maart 2020 20:06

Ik doe het hetzelfde. Maar ik gebruik ook Ublock om in principe alle Javascript te blokkeren; ik sta echt per ,js-bestand toe dat het mag draaien (witte lijst). Wel veel werk, maar als het volg- of vingerafdrukgebeuren niet in de noodzakelijke .js-bestanden staat, zal het niet draaien. En sowieso er is een enorm verschil tussen Adyen toestaan op een handjevol sites, en dan alleen nog tijdelijk, op het moment dat je iets wil kopen, enerzijds, en anderzijds alles van Adyen overal toestaan. Maar zoiets zei je al.

GeoBeo @CAPSLOCK2000 • 7 maart 2020 10:27

[...]
Het probleem van internet in een notendop. We zitten met z'n allen enorm klem omdat zo'n beetje alle grote sites aan tracking doen en je eigenlijk geen normaal leven kan hebben als je daar niet aan mee doet.

Ik moest hier even van lachen. Quick reminder: miljarden mensen ter wereld met een normaal leven maken geen gebruik van die websites, want miljarden mensen ter wereld met een normaal leven hebben geen internet.

En dan heb ik het nog niet eens over de Chinezen die wel internet hebben, maar niet bij veel van die sites kunnen.

Klein beetje perspectief kan geen kwaad

[Reactie gewijzigd door GeoBeo op 22 juli 2024 22:43]

CAPSLOCK2000

Privacy
Internet

@GeoBeo • 7 maart 2020 13:04

Ik moest hier even van lachen. Quick reminder: miljarden mensen ter wereld met een normaal leven maken geen gebruik van die websites, want miljarden mensen ter wereld met een normaal leven hebben geen internet.

Dat ligt maar aan je definitie van een normaal leven en je standaarden. Er zijn meer mensen die internet hebben dan stromend water. Je zou toch ook niet zeggen dat je een normaal leven hebt als je geen stromend water hebt? Of dat het 'normaal' is om onderdrukt te worden omdat de meeste mensen niet in een vrije rechtstaat wonen? Dan kun je al je rechten wel inleveren.

KopjeThee @CAPSLOCK2000 • 7 maart 2020 12:17

[...]
Je mag je dan niet verschuilen achter groepen of tussenpersonen, dus geen "deze data wordt gedeeld met onze partners".

Het is onduidelijk wat een partner is.

Als deze partner een opdracht uitvoert voor het bedrijf dat toestemming vraagt (bedrijf V), dan valt die verwerking volledig onder verantwoordelijkheid van V. Dan kan V zich ook niet verschuilen bij datalekken e.d.

Als een partner zelfsstandig verwerkingen uitvoert, die niet in opdracht van V zijn, dan is het een ander verhaal. Dan is deze partner verantwoordelijk. Deze wijze van doorsluisen (verkopen?) zou wat mij betreft echt verboden moeten worden. Het zou niet eens mogelijk moeten zijn hier toestemming voor te geven. Die verklaringen zouden nietig moeten zijn.

GuNNiX @sjhgvr • 7 maart 2020 13:44

Interessant gegeven dat duckduckgo.com hier zelf tussen staat. Wat moet ik hieruit opmaken?

Wouterie @GuNNiX • 9 maart 2020 10:52

En wikipedia en nog een paar sites die juist aangeven tegen dit soort trackers te zijn. Is er dan niet goed gemeten of wat moeten we inderdaad hieruit opmaken?

gitaarwerk @sjhgvr • 6 maart 2020 13:14

dat is inderdaad een lekkere simpele.
https://github.com/gitaar...ties-to-pi-hole-blacklist

Hier zelf een kleine versie van gemaakt. Maar ongetest. En gaat 'm niet worden door hoop TLD's die we gewoon dagelijks gebruiken. Dus denk dat jouw pi-hole list voorlopig beter is

mjl @sjhgvr • 6 maart 2020 21:46

Kwestie van machine learning in te zetten om het verkeer naar deze domeinen te sorteren maar tracking en nuttige content...

Nou net een toepassing die en zoeken met deze publicatie...

dss58 6 maart 2020 11:58

Ik heb zelf een lijst met domains gemaakt op de volgende manier:
git clone https://github.com/duckduckgo/tracker-radar.git
dan ga je naar /tracker-radar/domains
ls -l | awk '{print $9}' >trackers
ik had niet in de gaten dat er nog overal .json achter staat

, dat moet er wel af natuurlijk
cat trackers | rev | cut -c6- | rev >trackers2
en hoppa, klaar, alle domains in 1 file

git clone was ik vergeten

[Reactie gewijzigd door dss58 op 22 juli 2024 22:43]

sjhgvr @dss58 • 6 maart 2020 13:22

[php]
file_put_contents("ddg.txt", implode(array_keys(json_decode(file_get_contents("https://u.nu/h781d"), true)), "\r\n"));
[/php]

[Reactie gewijzigd door sjhgvr op 22 juli 2024 22:43]

djiwie 6 maart 2020 10:38

Hoe betrouwbaar is dit? Ik zocht naar Nederlandse sites in de lijst (waren er niet zoveel) en vond deze:
https://github.com/duckdu...r/domains/123accu.nl.json

De resource die hier een tracker zou moeten zijn is gewoon een image van een groene check icon: https://www.123accu.nl/images/green_icon.jpg Lijkt me niet helemaal te kloppen

TheGhostInc @djiwie • 6 maart 2020 11:17

Dat komt door een stukje knip/plak werk van een developer

Op 123inkt.nl is (per ongeluk gok ik) de green_icon.jpg van 123accu.nl gebruikt. Alle andere plaatjes op het andere domein linken wel naar de eigen images map.
Hierdoor wordt dit plaatje op meerdere domeinen gebruikt die op een andere IP draaien en lijkt het op een tracking plaatje. Aangezien ik vrij zeker weet dat dit dezelfde bedrijven zijn, kunnen ze ook prima de access log's combineren, die hoeven niks te tracken

raptorix @TheGhostInc • 6 maart 2020 13:34

Ik betwijfel dat, access logs over elkaar heen leggen is nog best een werkje, en er zijn veel betere en eenvoudigere manieren om dit te doen, de cookie die dit plaatje zet expired ook direct, en houd verder niets bij. Kortom ik ga mee in het verkeerd knippen en plakken verhaal.

OmegaII @djiwie • 6 maart 2020 10:43

Hangt er vanaf. De JPG kan evengoed achterliggend een script zijn wat eerst je info bijhoud en dan pas de JPG weergeeft. Klassieke tracking methode. En voor de JPG container is dat prima. Hij heeft uiteindelijk de data die hij wil.

Wel geen idee hoe ze dit te weten kunnen komen. Want dit gebeurd allemaal achterliggend. De webserver zelf levert netjes af wat er gevraagd wordt.

P_Tingen @djiwie • 6 maart 2020 11:10

Er zijn genoeg sites die je met enkel een pixel tracken. Het plaatje wordt van de server gehaald en tegelijk wordt allerlei informatie over jou naar binnen gehengeld.

Verwijderd @djiwie • 6 maart 2020 12:11

Je moet ook rekening houden dat nog geen afgewerkt product is.

Riwe89 6 maart 2020 10:12

Zou mooi zijn als ik deze in PiHole kan zetten en hem automatisch kan laten kijken of er nieuwe wordt toegevoegd. Super dat DuckDuckGo dit doet!

Niemand_Anders @Riwe89 • 6 maart 2020 13:34

Ik heb een scriptje geschreven welke elke dag op mijn computer naar de Ghostery folder gaat en het bugs.json bestand kopieert naar mijn fileserver.

Op basis van de domeinen in het bugs.json bestand worden er djbdns 'zones' aangemaakt in het 'dada' bestand waaruti de data.cdb database wordt gecompileerd en alle requests doorstuurd naar localhost.

Ik had eerst een script elke iptables set tables (ipset extension) gebruikte om de domeinen te blokkeren, maar dan moet je ook eerst een lookup doen om de A/AAAA records op te halen welke een stevige belasting betekende voor mijn fileserver. Daarnaast benaderd mijn fileserver dan de (authoritive) DNS server van die partij en die kan ook DNS queries loggen. Calls welke wel een query doen op de DNS, maar niet naar de webserver zijn in veel gevallen een indicatie deze machines requests filteren. Door mijn eigen dns server (welke normaal alleen een 'local' domain host) in te zetten, gaat er helemaal geen verzoeken naar die servers en zijn de dig lookup queries ook niet meer nodig..

Ruadhan @Riwe89 • 6 maart 2020 10:20

https://www.reddit.com/r/...duckduckgo_tracker_radar/

Blijkbaar kijkt het PiHole team ook de kat uit de boom tot een blocklist maintainer het doet.

Riwe89 @Ruadhan • 6 maart 2020 10:43

Er is ook een discussie al gaande daar of dit wel voor PiHole is, of voor extensies in browsers. Ik hoop nog steeds dat een handige harry hem omzet voor PiHole zodat dit een KISS oplossing wordt. Even de Reddit in de gate houden

Verwijderd @Riwe89 • 6 maart 2020 12:18

Als je doelt op de domeinen die voorbij komen is dit zo te fixen.

Het is echter de vraag of je dit wel wil.
Als google.com bijv een tracking jpg oid dergelijks gebruikt kun je met PiHole maar twee dingen:
- google.com blokkeren
- google.com niet blokkeren

Uiteindelijk gaat het om de DNS-aanvraag die gedaan wordt.
(Dit heb ik kunnen exporteren van de domein lijst https://github.com/Boding...master/trackersoutput.txt)

Verwijderd @Ruadhan • 6 maart 2020 13:04

Bij nextdns importen ze deze in hun systemen

well0549 @Verwijderd • 7 maart 2020 10:19

Next dns is top

Verwijderd @well0549 • 7 maart 2020 12:30

Met de goede ad Block lijsten helemaal goed idd

antubus @Riwe89 • 6 maart 2020 10:15

Het is open source dus je zou het zelf kunnen integreren, of wachten tot een ander het doet

Riwe89 @antubus • 6 maart 2020 10:17

Gezien mijn kennis in programmeren beperkt is; Optie 2

raptorix @Riwe89 • 6 maart 2020 13:38

Je kunt ze in je hostfile zetten en verwijzen naar 127.0.0.1

Core2016 @raptorix • 8 maart 2020 12:50

Zorg wel dat die file niet te groot word.

Hulliee @antubus • 6 maart 2020 10:23

Op de link op GitHub staan de url’s verpakt in json files. Niet zomaar even in pinhole te zetten helaas.

Webgnome @Hulliee • 6 maart 2020 13:11

Je zou een script kunnen maken die die json uitleest. Domeinen toevoegd aan de blocklist en dan een pihole -g uitvoert. Theoretisch

Hulliee @Riwe89 • 6 maart 2020 10:17

Ook mijn eerste gedachten. Maar wat doe je er tegen als je gegevens naar de cloud worden gestuurd en vervolgens worden doorgestuurd naar 1 van deze trackers. Dat blokkeert pihole dan niet.

Riwe89 @Hulliee • 6 maart 2020 10:19

Heb hier standaard PiHole icm Privacy Badger draaien. Daarnaast in Firefox ook nog Firefox Multi-Account Containers aan staan, dus dat vangt al een hoop af

Lampiz @Riwe89 • 6 maart 2020 10:49

Ik heb een soortgelijke inrichting, maar dan met uBlock Origin erbij, zit niet altijd thuis met een PiHole.

Jivebunny @Lampiz • 6 maart 2020 13:20

Ik heb er nog een vpn via wireguard bovenop gezet en zit daarmee thuis, maar verder hetzelfde ingericht als jou zo te zien.

The Eagle @Riwe89 • 6 maart 2020 10:16

Dat was ook mijn eerste gedachte. Even PiHole in de gaten houden, dat lijkt me een kwestie van tijd namelijk

gitaarwerk @The Eagle • 6 maart 2020 10:53

Volgens mij kun je gewoon regelmatig een git pull doen, met npm een script bouwen die een complete directory importeerd, en de standaard structuur uitlezen (const newList = allFiles.map(item => item.source)) oid doen). Dan opslaan als nieuw bestand, en weer je lijst publiceren ergens op een git repo :-) volgens mij is dit redelijk gemakkelijk te doen.

Misschien leuk projectje voor vanmiddag

Blaise @Riwe89 • 6 maart 2020 13:14

Daarvoor is het niet geschikt denk ik. Er zitten domains tussen van websites die je waarschijnlijk niet wil blokkeren op DNS-niveau, websites als appspot.com, baidu.com, etc.

beerse 6 maart 2020 10:14

Begrijp ik het nu goed, is dit een open-source-tracker voor trackers die de trackers verzameld in een open-source database? En dat dan met het doel om trackers om de tuin te leiden of te blokkeren?

Of ben ik gewoon nog niet wakker?

Verwijderd @beerse • 6 maart 2020 10:18

Vanuit het privacy oogpunt van DuckDuckGo zou het nooit voedsel zijn voor de trackers, het is een tool om trackerinfo te verzamelen om het tegen te houden.

beerse @Verwijderd • 6 maart 2020 10:28

Ik bedoelde eigenlijk te zeggen dat de tool op zich ook een tracker genoemd kan worden

zion @beerse • 6 maart 2020 10:38

Ja, dit is dus een snorkel-eter-eter

https://mooizijndiedingen...orkeater_Eater_Attack.gif

michielRB 6 maart 2020 10:20

Is dit dan net zo iets als wat Exodus privacy is voor Android apps? https://reports.exodus-privacy.eu.org/en/
Het zou mooi zijn als van apps en websites standaard al die trackers met een siimpele addon geblocked of naar /dev/null of localhost) gestuurd kunnen worden.

CAPSLOCK2000

Privacy
Internet

6 maart 2020 10:21

Haha! Goed bezig daar! Geef ze een koekje van eigen deeg!

Dit voelt als een uitnodiging aan beveiligers, privacyactivisten en informatica-studenten om op gelijke voet terug te vechten tegen de tracker-industrie die met automatische middelen de hele wereldbevolking probeert te volgen.

Ik ben benieuwd wat mensen bedenken om met deze data te doen. Zelf ga ik kijken of ik het kan integreren in mijn anti-spam systeem om e-mails te screenen.

well0549 @CAPSLOCK2000 • 7 maart 2020 10:37

Nextsdns

winos 6 maart 2020 10:23

Zo, op gelijke manier terugvechten!
Ben benieuwd waar ze nu weer mee komen.

Op dit item kan niet meer gereageerd worden.

DuckDuckGo publiceert dataset met duizenden trackers en maakt code open source

Lees meer

IT-banen

Reacties (60)

Sorteer op:

Weergave: