"SuperCookies" mogelijk door fout in Media Player

SecurityFocus waarschuwt voor een ontwerpfout in Windows Media Player waardoor surfende mensen die Internet Explorer gebruiken gevolgd kunnen worden, ongeacht hun instellingen met betrekking tot cookies en anonimiteit. In Windows Media Player zit namelijk een unieke code, die gebruikt kan worden voor SDMI toepassingen zoals het online kopen van muziek. Een bugjager genaamd Richard M. Smith heeft simpel stukje javascript geschreven waarmee hij aantoont dat dit nummer door iedere website zonder moeite opgevraagd kan worden. Eigenaars van sites kunnen dit trucje misbruiken om mensen online te volgen, op een veel betere manier dan met een cookie mogelijk is.

Als een website codenummers van Windows Media Player gaat verzamelen onstaat een database met "SuperCookies". Omdat het nummer van de PC steeds hetzelfde blijft en door iedere site kan worden opgevraagd, wordt het mogelijk dat bedrijven de gegevens die ze over hun bezoekers hebben opgeslagen combineren met die van anderen. Ook zou het mogelijk zijn om conventionele cookies terug te plaatsen als de surfer deze al lang heeft weggegooid. De site kan de bezoeker herkennen aan zijn nummer en de oude waarden weer instellen op de PC van de onwetende bezoeker.

Cookies Some of the other features of SuperCookies include:

- There appears to be no method of blocking SuperCookies from a Web site except to uninstall Windows Media Player or to turn off JavaScript.

- All Web sites get the same ID number so they can easily exchange information about a user much like third-party cookies are used today by ad networks and Internet marketing companies.

- Even if someone is using a cookie blocker add-in, SuperCookies will still work.

- If a user has deleted cookies from his or her computer to stop tracking, a Web site can restore an old cookie value from this ID number. Once the cookie value has been restored, new tracking data can be combined with tracking data that was previously collected by the Web site.

Wie een demonstratie van deze ontdekking wil kan hier terecht, en uitleg over de (relatief eenvoudige) oplossing voor het probleem kan hier bekeken worden. Bedankt voor de tip Vaevictis_.

Door Wouter Tinus

Feedback • 16-01-2002 18:56 66

16-01-2002 • 18:56

66

Bron: SecurityFocus

Lees meer

Websites gebruiken canvastekening voor trackingdoeleinden - update
Websites gebruiken canvastekening voor trackingdoeleinden - update Nieuws van 22 juli 2014
Techniek herstelt verwijderde cookies via Flash-plugin
Techniek herstelt verwijderde cookies via Flash-plugin Nieuws van 5 april 2005
EU wil het gebruik van cookies aan banden leggen
EU wil het gebruik van cookies aan banden leggen Nieuws van 12 augustus 2003
Javascript security bug in Opera
Javascript security bug in Opera Nieuws van 21 november 2001
Europees Parlement keurt cookies-verbod goed
Europees Parlement keurt cookies-verbod goed Nieuws van 14 november 2001
Fout van Internet Explorer zet cookies op de tocht
Fout van Internet Explorer zet cookies op de tocht Nieuws van 10 november 2001
Europees Parlement vergadert over cookies-verbod
Europees Parlement vergadert over cookies-verbod Nieuws van 1 november 2001
Internet Explorer krijgt cookie-waarschuwende patch
Internet Explorer krijgt cookie-waarschuwende patch Nieuws van 20 juli 2000
Meer producten en artikelen
Bedrijfsnieuws

Reacties (66)

-Moderatie-faq
66
60
36
7
1
0
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 16 januari 2002 19:44
Ik kan in XP in de mediaplayer deze unieke key gewoon uitzetten. Dat doe je bij tools/options - allow internetsites to uniquely indentify your player te disabelen. :)
In newer versions of WMP, there is an option on the "Tools | Options" Menu called "Allow Internet sites to uniquely identify your player". If this option is manually turned off, SuperCookies will also be disabled because Internet Explorer will generate a new player ID number each IE session.
wildhagen
@Verwijderd16 januari 2002 19:46
Dat kon ook al in Media Player 6.0 en hoger, is niet nieuw.

Maarja, dat niemand het uitzet... geen zin in ofzo?
RM-rf @Verwijderd17 januari 2002 14:22
I've set up a simple demo page that shows the
issue:
http://www.computerbytesman.com/privacy/supercookiedemo.htm

This demo stills works even if the WMP option "Allow Internet sites to uniquely identify your player" is turned off. This option controls when the WMP ID number is given out to Web sites when downloading streaming audio or video files, but does not appear to stop JavaScript programs from getting this number.
van http://www.securityfocus.com/archive/1/250363 (is de link uit het artikel) oftwel die optie werkt gewoon niet
Cowboy Henk 16 januari 2002 19:38
Voor win 2k gebruikers:

uitvoeren: regedit
ga naar: HKEY_CURRENT_USER/SOFTWARE/MICROSOFT/MEDIAPLAYER/PLAYER/SETINGS
èn
HKEY_USER/.DEFAULT/SOFTWARE/MICROSOFT/MEDIAPLAYER/PLAYER/SETINGS

En wijzig in "0".

KLAAR!

edit:

wildhagen, werken in je register is NIET moeilijk, het vergt evenveel handelingen als het vinkje uitzetten in WMP.
Sommige mensen zetten liever die waarde op nul zodat ze zeker weten dat het "0" is ipv elke keer een andere "random" waarde.

En ik ga er, als behulpzame tweaker, uiteraard(!) vanuit dat jou reactie onder mijn post, van algemene aard is, dus eigenlijk 1 is die onder de hoofdtopic hoort.
Omdat beiden informatief zijn aangaande het hoofdonderwerp. ((to be sure: no flame intended))
wildhagen
@Cowboy Henk16 januari 2002 19:49
Waaom zo moelijk? :?

Je kan ook via View -> Options -> Player gaan en dan de vink voor "Allow Internet sites to uniquely identify your player" weghalen...

Waarom zou je dan moeilijk in de registry gaan klooien?
Verwijderd @wildhagen17 januari 2002 13:37
Die opmerking stond hierboven ook al, en heeft (wederom) niets met een supercookie te maken
Wildfire 16 januari 2002 19:01
Die oplossing had ik zelf ook al bedacht... ik had die demonstratie gezien en heb toen gauw het ID opgezocht in het register en gewijzigd in {0}...

Works like a charm!
Verwijderd 16 januari 2002 18:59
It's not a bug , it's a feature! :)
AlterEgo @Verwijderd16 januari 2002 19:32
Uit de begeleidende text:
I originally notified Microsoft of this problem in March 2001
IE6 is ruim na die datum uitgebracht, en blijkbaar is door MS niet echt hard getracht een passende oplossing te vinden.
Naar de reden hiervoor is het slechts gissen, maar misschien heb je wel gelijk.
Dennis @AlterEgo16 januari 2002 19:46
Het gaat ook om Windows Media Player als je kunt lezen, en niet om IE.
Verwijderd @Dennis16 januari 2002 20:32
Dit is gewoon fijn uit te zetten, druk in media player op tools>options Tabblad player. en dan "allow indternet sites blaat blaat..." uitvinken

Dat gaat heel ergens anders over. De optie waar jij het over hebt is om een website of streamsite automatisch jouw Media Player versie te laten detecteren, zodat je naar het juiste mediabestand gestuurd kan worden.

Heeft dus niets met dit topic te maken.
Chatslet @Dennis16 januari 2002 19:55
Dit is gewoon fijn uit te zetten, druk in media player op tools>options Tabblad player. en dan "allow indternet sites blaat blaat..." uitvinken
AlterEgo @Dennis16 januari 2002 19:56
There is a significant privacy problem with Internet Explorer because of a design flaw in the Windows Media Player (WMP).
Een fix in IE was dus voldoende geweest, als je de moeite had genomen om het artikel te lezen.
Verwijderd @Dennis17 januari 2002 10:36
De optie waar jij het over hebt is om een website of streamsite automatisch jouw Media Player versie te laten detecteren, zodat je naar het juiste mediabestand gestuurd kan worden.
Sorry, maar jij hebt het bij het verkeerde eind. Lees de volgende uitleg maar even uit de help bestanden van mediaplayer... :
Allow Internet sites to uniquely identify your Player
Specifies whether you want Windows Media Player to allow Internet sites to uniquely identify your Player by using an identifier created by the Player. The identifier is used to uniquely identify your connection to a server and does not contain any identifiable information about you.

When you receive streaming media over the Internet, Windows Media Player sends a unique identifier to the server that is delivering the stream. The server uses this unique identifier to monitor your connection. By monitoring your connection, the server can make adjustments to increase the playback quality and to alert you about events that occur when receiving streams over the Internet. The unique identifier only serves to aid the server in identifying your computer and in differentiating it from other computers that may be accessing streaming media.

If you do not want a server to uniquely identify your computer when you are receiving streaming media, clear this check box .

For more information about Windows Media Player privacy, see the privacy statement on the Microsoft Web site, or on the Help menu, click Privacy Statement.
Het gaat dus wel degelijk om een optie die je zelf uit kunt schakelen. Overigens ben ik het geheel eens met een opmerking die ik hier las. Op straat is je privacy net zomin gegarandeerd als op internet. Ik heb niets te verbergen dus boeit die privacy op internet me niet eigenlijk. Als je dat wel boeit, tja, dan moet je een bivakmuts opzetten op internet...
Verwijderd @Dennis17 januari 2002 14:22
triple80,
Als je het artikel op SecurityFocus zou lezen had je kunnen zien dat die optie niet voorkomt dat een JavaScript de ID uitleest.
Verwijderd @Dennis17 januari 2002 14:37
Zodat niet allerlei mediagebruikers op het verkeerde been worden gezet en denken om van die supercookie af te zijn door dat vinkje uit te zetten.
Dat ben je dus wél dan. Één vinkje, en wmp genereerd iedere keer een compleet random GUID, dus ben je niet meer indentificeerbaar.

Over dat het een IE-bug zou zijn: Elke browser die een volledig werkende media-player aansturing heeft, geeft die GUID. Het probleem zit in de media-player, niet in de browser.

Overigens wel merkwaardig dat MS ervan uitgaat dat mensen default geen privacy willen.
Verwijderd @Dennis17 januari 2002 13:29
Sorry, maar jij hebt het bij het verkeerde eind. Lees de volgende uitleg maar even uit de help bestanden van mediaplayer... :


Dat is wat ik bedoelde.
Alleen probeerde ik dit uit te leggen in 1 regel, zonder in details te treden.
Die help file heeft iedereen. En wederom heeft dus niets met topic te maken. Daar ging het even om. Zodat niet allerlei mediagebruikers op het verkeerde been worden gezet en denken om van die supercookie af te zijn door dat vinkje uit te zetten.
Verwijderd @AlterEgo16 januari 2002 20:30
Wat maar weer duidelijk maakt dat het als "feature" bedoeld is. Spyware dus eigenlijk. Maar gelukkig wel uit te zetten.
Verwijderd @Verwijderd16 januari 2002 19:18
In this case the verdict is simple.. it's a volkswagen beatle with license plates <feature> ....

Bedrijven of individuen die dit gebruiken zijn in strijd met de wet en aanklaagbaar..

I wonder if microsoft....


hmm...

Toch maar blij dat ik xmms gebruik...
The Reeferman 16 januari 2002 19:08
hmm, bij versie 7 geen cliend ID in in het register op de aangegeven plek. Heeft iemand em al gevonden?

Thx voor de tips mensen, ik vind er wel 4 ofzo :?
maar goed allemaal op nul gezet.
MacroTough @The Reeferman16 januari 2002 19:13
ga naar de link waar het uitgelegd staat(heb je al gedaan). klik dan op 'this example page'. ctrl-c dan de opgegeven client ID en doe een search in regedit. vervang die waarde met een 0, klaar.
Het complete pad is:
[HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\General]
SilentStorm @The Reeferman16 januari 2002 19:17
Op die eerste pagina staat het idnummer voor je eigen computer. Zoek het reg eens af op dat nummer..
Hermanvh @The Reeferman16 januari 2002 19:19
Zoek maar op "Client ID" en je vindt er 2 :r

Deleten die hap > :)
Verwijderd 16 januari 2002 19:01
In hoeverre zijn dit soort meldingen 'bugs'?
Verwijderd @Verwijderd16 januari 2002 20:33
Inderdaad, meer een ongewenste feature. En wie komt er nou op het idee om een optie in de mediaplayer te gaan veranderen om z'n privacy in de browser te waarborgen. Beetje te ver doorgeschoten integratie als je het mij vraagt, alsof je thuis je video zou moeten herprogrammeren om je voordeur op slot te kunnen doen of zo :)
BadRespawn @Verwijderd16 januari 2002 19:44
zou het dan toch een feature zijn?
zou het de bedoeling zijn van MS om derden de mogelijkheid te geven jou surfgedrag te volgen zonder dat jij dat weet?
is het zo dat je dat zelf eigenlijk niet hoeft te weten?
wildhagen
@BadRespawn16 januari 2002 19:47
Zo geheim is het niet, het is gewoon een optie die je uit kan zetten in de Media Player... staat er zéér duidelijk.
Verwijderd @Dennizz16 januari 2002 19:59
Volgens concurrenten van MS hoort IE ook niet in t OS. Gaan we t dan meteen een bug noemen?

Maaruh... houdt t op met supercookies, of mogen we op termijn ook ultracookies verwachten? Dat zouden dan cookies zijn die van afstand ruiken/zien dat je je computer nadert en alvast eea op het scherm toveren... Aparte manier van inloggen.
iNSaNe-oNe 16 januari 2002 19:57
Hmm. Tis dan niet helemaal de definitie ervan, maar eigenlijk vind ik dit geval meer een Trojan dan een bug.

Stiekum onderwater info doorpassen naar lui op het internet die erom vragen, terwijl je het zelf niet weet. Bij een 'bug' denk ik meer aan het uitvoeren van (schadelijke) code, bij dit niet.

For what it's worth... my 2 €-cents... :Y)
Hennie-M @iNSaNe-oNe17 januari 2002 16:45
dan zeg je het hier ook verkeerd.

een bug hoeft helemaal niet per definitie een fout in het programma te zijn waardoor je code uit kan voeren op een hulpeloze pc.

Een bug kan ook een fout in een spel zijn waardoor hij vast loopt onder bepaalde voorwaarden.

Ik zou het meer een "security Glitsch"of een "Oops" van microsoft noemen :)

Maar ik geloof dat de term Exploit luid :)
Verwijderd 16 januari 2002 20:20
Vind het ver gezocht. Een hele lading internetters surft met een statisch IP (bv. @home is ook een statisch IP) welke veel makkelijker te loggen is.

Begin me steeds meer te ergeren aan al die wilde privacy verhalen. Je moet het internet gewoon vergelijken met 'buiten'. Zodra jij je huis uit gaat kunnen andere mensen ook zien waar je naar toe gaat en wat voor kleren je draagt e.d. Op internet is dat niet anders.

Natuurlijk is privacy een hoog goed, maar overdrijven is ook een vak.
Roland684
@Verwijderd17 januari 2002 16:35
Leuke vergelijking, maar hij is wat scheef...
Andere mensen kunnen inderdaad zien wat jij 'buiten' doet, maar dat is nog heel iets anders dan wanneer er iemand zodra jij buiten komt achter je aanloopt en noteert wat jij allemaal ziet en doet. (neem nou doubleclick met hun tracking via de banners op veeel sites, dat is gewoon virtuele stalking.)

Maar zelfs dat is nog niet het probleem, "je mag alles van me weten, behalve mijn pincode".
Het echte probleem begint pas wanneer bedrijven die informatie gaan gebruiken. Stel nu dat de Konmar een stalker in dienst neemt die alles wat jij in supermarkten ziet/doet noteert en vervolgens meeloopt naar de Edah en voordat jij binnenloopt de Edah even verteld waar jij naar op zoek bent, wat jij daarvoor over hebt en welke andere aanbiedingen je al gezien hebt, zodat de Edah de prijzen van die produkten nog even snel kan verhogen? Die stalker/tracker kan doorgeven dat jij op zoek bent naar een goedkope tandenborstel zodat de Edah de "Jordan pro action, met indicatorstreep en powerball van 3,95 nu voor maar 2,95" vooraan in het schap moet zetten en de Edah huismerk borstel van 2,50 op een onopvallende plek moeten neerzetten? (ze hebben hem wel, maar je moet even in het magazijn vragen omdat het schap 'toevallig' leeg is)

Ze bouwen stieken een heel profiel over je op (hoe je bent, wat je interesses zijn, wanneer jij op een aanbod ingaat en wanneer niet) en dat doen ze echt niet om jou beter van dienst te kunnen zijn, dat doen ze puur en alleen om jou meer geld uit je zak te kloppen. Steeds maar weer overspoeld worden met aanbiedingen van produkten die volgens de winkelier jou zullen interesseren is nog relatief onschuldig, maar het gebeurt ook al dat de produkten die jij te zien krijgt geprijst zijn op een op jou afgestemd prijsniveau.
Het is geen fictie, het gebeurt dagelijks, ook in Nederland!

Je moeder/oma koopt straks een breedbeeldTV die ze eigenlijk helemaal niet nodig had, maar voor 750 euro van wel 10 kanten kreeg aangeboden en dat een aanbod was wat ze eigenlijk niet kon weigeren. Terwijl jij juist op zoek bent naar precies diezelfde TV maar hem om een misterieuze reden nergens onder de 1000 euro kunt vinden.

Daarom is de zo onbeduidend lijkende privacy juist wel belangrijk!

edit:
waar veel getypt wordt worden veel typfouten gemaakt
Geertje 17 januari 2002 09:36
Ik heb die fix zitten bekijken (0 in ClientId zetten), maar kun je juist niet iets anders ervan maken, zodat er iedere keer een nieuwe GUID gegenereerd wordt.
Zo hebben de verzamelende bedrijven een steeds groter groeiende, niets zeggende database...
-C-
Roland684
@Geertje17 januari 2002 16:36
als iedereen dat ID op 0 zet hebben ze er nog veel minder aan, dan hebben ze 1 gebruiker die 100.000 verschillende dingen per uur doet... maak daar maar eens een profiel van :+
Wildfire @Roland68417 januari 2002 19:51
*lol*

:)
HellRaver 16 januari 2002 19:41
Nou als ik op die site ga dan zie ik lekker nix gewoon ff zoeken op Client ID in je reg en die op nul zetten en zoeken op de sleutel van die site en die weg halen (Die heet anders ook iets met ID) en dan als het goed is krijg je nix meer te zien (Onder XP dan)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq