Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 50 reacties

Een Facebook-ontwikkelaar ontkent dat het bedrijf met behulp van tracking-cookies uitgelogde gebruikers blijft volgen. Volgens de sociale-netwerksite worden de geplaatste cookies onder andere ingezet om gebruikersaccounts te beschermen.

Hacker Nik Cubrilovic schreef in het afgelopen weekend dat Facebook gebruikers blijft volgen, ook al zijn die gebruikers van de sociale-netwerksite uitgelogd. Hij kwam tot deze conclusie nadat hij de cookies had geanalyseerd op zijn computer. Pas na het handmatig verwijderen van deze cookies zou de sociale-netwerksite niet meer in staat zijn om het surfgedrag in kaart te brengen.

Inmiddels heeft Facebook-ontwikkelaar Arturo Bejar gereageerd op de aantijgingen van Cubrilovic. Hij ontkent niet dat Facebook cookies plaatst die actief blijven na het uitloggen van een gebruiker. De sociale-netwerksite zou deze echter niet inzetten om het surfgedrag van een Facebook-gebruiker in kaart te brengen. De cookies zouden nodig zijn om spammers en phishers te identificeren, of om aanvallen op Facebook-accounts te voorkomen. Ook worden volgens Bejar cookies ingezet om te voorkomen dat minderjarigen alsnog proberen om met een andere geboortedatum een Facebook-account aan te maken.

Facebook stelt ook in zijn Help Center dat het geen informatie doorverkoopt en dat het verzamelde gebruikersgegevens na negentig dagen uit zijn databases verwijdert. Facebook heeft nog geen officiële verklaring over de kwestie doen uitgaan. ZDnet-blogger Emil Protalinski meldt inmiddels dat Cubrilovic samen met Facebook bekijkt of de geplaatste cookies de privacy kunnen schaden.

Moderatie-faq Wijzig weergave

Reacties (50)

ze zullen ook echt niet gaan zeggen ja dat doen we :)
dit zal wel weer een verhaal worden zoals google had opgemaakt, dat ze zich er niet van bewust waren gegevens van mensen te verzamelen (wifi spots). Erg jammer dat zulke grote bedrijven zo werken, begrijp het wel dat ze meer en meer geld willen en enkel dat kunnen krijgen door mensen te volgen en meer op hun surf gedrag in te spelen, maar dit is een kwestie van privacy...slechte zaak hoop dat er wat aan gedaan wordt!!
Er zijn twee verschillende uitleggen mogelijk de ene gaat er van uit dat deze persoon (er zijn nog geen andere onderzoekers tot de zelfde conclusie gekomen) gelijk heeft en Facebook een evil empire is. De andere optie is dat Facebook inderdaad de cookies met een ander doel achterlaat en dat ze inderdaad bijvoorbeeld proberen op deze manier je te beschermen tegen misbruik van je account en minderjarigen buiten de porten te houden...

Persoonlijk denk ik dat in deze het feit dat een cookie achterblijft geen reden tot paniek of aanname van misbruik door een multinational is. Ik zou zeggen dat de uitleg van Facebook dat het enige doel het beter beschermen van gebruikers en minderjarigen is nog helemaal niet zo'n gek verhaal is.
Daar naast is de opmerking van deze onderzoeker dat het verwijderen van deze cookies dit gedrag stopt erg raar. Immers als deze cookies gebruikt zouden worden om je te volgen dan zouden ze op nieuw moeten worden aangemaakt, anders hebben ze weinig nut. Schijnbaar is dit niet het geval dus hoe wordt ik dan gevolgd?
Ook zijn argument dat 3rd party cookies uitschakelen dit voorkomt is een schattig idee maar dat zou dus ook weer aangeven dat zijn eerste verhaal niet klopt. Immers de coockies zouden opnieuw aangemaakt moeten worden.

Als privacy bewuste gebruiker van welke browser dan ook zet je natuurlijk 3rd party cookies uit, er is totaal geen reden waarom een andere site dan de website die je bezoekt gegevens op jouw systeem weg schrijft. Zelfs als Facebook misbruik zou maken van het feit dat het 3rd party cookies kan gebruiken om je te volgen na dat je de site hebt verlaten dan is dat dus simpel weg niet meer mogelijk als je 3rd party cookies niet meer toestaat.

Ik kan niets anders zeggen dat op basis van de uitleg van deze "onderzoeker" de conclusie dat Facebook mensen volgt na dat ze de site hebben verlaten nog al veel op een broodje aap verhaal lijkt in plaats van een op waarheid berustend idee.
[...]
Daar naast is de opmerking van deze onderzoeker dat het verwijderen van deze cookies dit gedrag stopt erg raar. [...]
Als privacy bewuste gebruiker van welke browser dan ook zet je natuurlijk 3rd party cookies uit, er is totaal geen reden waarom een andere site dan de website die je bezoekt gegevens op jouw systeem weg schrijft.
[...]
Ik kan niets anders zeggen dat op basis van de uitleg van deze "onderzoeker" de conclusie dat Facebook mensen volgt na dat ze de site hebben verlaten nog al veel op een broodje aap verhaal lijkt in plaats van een op waarheid berustend idee.
Zelf ben ik geen cooky-expert, maar ik krijg de volgend indruk mede n.a.v. volgendartikel.
Na uitloggen op FaceBook blijven er (in- uitlog)cookies achter, met je FB-ID. Vervolgens ga je naar andere website en klik je op de "FB I like" knop. Hierna kijkt de "I like knop" of er een (inmiddels 3rd party) cooky is met je FB-ID en stuurt, indien aanwezig, je FB-ID met wat "I like website gegevens" naar FB. Privacy na verlaten FB website door FB geschonden. Bij uitzetten 3rd party cookies zal dit mogelijk niet meer kunnen.
Als het inderdaad zo werkt, is het geen broodje aap, denk ik.
"Persoonlijk denk ik dat in deze het feit dat een cookie achterblijft geen reden tot paniek of aanname van misbruik door een multinational is."

1) Facebook is bewezen evil. De afgelopen jaren is er geen maand geweest waarin er geen privacy-issues met Facebook in het nieuws stonden. Het zou bijzonder naief zijn om nu nog te denken dat Facebook dit soort dingen niet opzettelijk doet.

2) Facebook heeft toegegeven de cookies te plaatsen maar noemt als reden het beschermen van het account en het checken van leeftijd.
In beide gevallen zou het onnodig zijn om op websites van anderen de cookie te checken, wat wel gebeurt.
Het is dus een drogreden en men kan aannemen dat Facebook niet spontaan non-evil is geworden en dus moeten we aannemen dat het surfgedrag van hun gebruikers gewoon gevolgt wordt.

Zoals je mischien al gehoord hebt ben je geen klant van facebook, maar het produkt.
Zij verdienen aan het verkopen van informatie over hun gebruikers.
Hoe kun je controleren dat ze je niet volgen?
Kun je niet.
Dan maar blind vertrouwen in een multinational die de grenzen keer op keer opzoekt?
Denk niet dat het heel verstandig is, gezien hun praktijken de laatste jaren.
Tja het is natuurlijk wel mogelijk om die 3rd party cookies te omzeilen. Je kan natuurlijk gewoon vrolijk een JS bestandje van je eigen server oppikken die de button genereert, maar ook meteen even een cookie uitleest en die gegevens meestuurt. Het .js bestandje komt dan vrolijk van de server van Facebook en mag dus bij de Facebook cookies. Daarnaast kan het scriptje ook gewoon vrolijk de URL van de getoonde site meesturen.

Als je de code van de like-knop bekijkt, lijkt dat ook de methode te zijn die gebruikt wordt om de button te genereren:

<div id="fb-root"></div>
<script>(function(d, s, id) {
var js, fjs = d.getElementsByTagName(s)[0];
if (d.getElementById(id)) {return;}
js = d.createElement(s); js.id = id;
js.src = "//connect.facebook.net/en_US/all.js#xfbml=1";
fjs.parentNode.insertBefore(js, fjs);
}(document, 'script', 'facebook-jssdk'));</script>

<div class="fb-like" data-href="www.blaat.nl" data-send="true" data-width="450" data-show-faces="true"></div>

M.a.w. zolang er cookies zijn, kun je pagina's koppelen aan facebook user IDs. Zonder heb je alleen het IP adres zoals hierboven beschreven is. Als je dan de suggestie wekt dat uitloggen alle cookies verwijdert waardoor je niet meer te traceren bent terwijl dat in feite niet waar is, ben je in mijn ogen niet heel betrouwbaar bezig...

[Reactie gewijzigd door Morrar op 26 september 2011 16:37]

Erg jammer dat zulke grote bedrijven zo werken, begrijp het wel dat ze meer en meer geld willen en enkel dat kunnen krijgen door mensen te volgen en meer op hun surf gedrag in te spelen, maar dit is een kwestie van privacy...slechte zaak hoop dat er wat aan gedaan wordt!!
Niet zo gek eigenlijk, als je je bedenkt dat Facebook, Google, en andere grote sites overeenkomsten zijn tussen een aanbieder en adverteerders. Wij als klant zijn eigenlijk een derde partij die maar zijdelings meedoet - we hebben in ieder geval erg weinig invloed op wat en hoe informatie over ons gedeeld en verspreid wordt. Je ziet hetzelde ook buiten internet toepassingen, b.v. in grote sportevenementen zoals de olympische spelen, WK voetbal en dergelijke. Veel woorden over dat het "voor de mensen" is, maar het zijn allemaal keiharde afspraken tussen duistere clubs in Zwitserland en adverteerders, en als puntje bij paaltje komt gaan de belangen altijd boven onze privacy belangen. Er worden hoogstens mooie persberichten de wereld ingeslingerd dat het zo allemaal niet bedoeld was, maar het gebeurt opnieuw en opnieuw...

@HerrPino & wouterwouter2: ja, dat bedoelde ik eigenlijk duidelijk te maken.

[Reactie gewijzigd door durian op 26 september 2011 12:47]

Wij als klant zijn
Wij zijn helemaal geen klant van Facebook of Google :) Wij zijn het product van Facebook en Google, de klanten zijn de advertentie afnemers.

Dit plaatje zegt eigenlijk alles: http://i.imgur.com/WiOMq.jpg

Verder vind ik het niet opmerkelijk dat Facebook en Google zijn product volgt ... een boer wil ook graag weten waar zijn koeien zijn. F en G weten dat als ze hun vee maar genoeg voeren en vaak genoeg laten denken dat ze 'belangrijk' zijn dat ze niet gaan klagen en netjes een paar maal per dag de stal binnen lopen.

[Reactie gewijzigd door HerrPino op 26 september 2011 12:13]

Geen derde partij, jij bent het product dat verkocht wordt.
Aan de andere kant doe je nu net of grote bedrijven geen fouten kunnen maken, lijkt me een vrij onzinnig statement...

Probleem is dat je nooit zal weten of het een fout is of iets bewust is wat onder een fout geplaatst wordt...

[Reactie gewijzigd door watercoolertje op 26 september 2011 11:42]

nou facebook 'leeft' van die data-stroming, lijkt me stug dat zo'n professioneel bedrijf dit 'perongelijk' doet.

Immers lees de oude berichten er maar op na, smoelenboek leeft volgens eigen regeltjes;
nieuws: Duitse privacywaakhond: Facebook overtreedt privacywetten
nieuws: Facebook-bug gaf toegang tot details afgeschermde video's
nieuws: 'Facebook blijft gebruikers ook na uitloggen nog volgen'

geloof je werkelijk dat zulke 'features' fouten zijn :X :F
Nouja, tot op zekere hoogte. Ik vraag me af of ze deze gegevens ook echt actief aan het minen zijn geweest. Immers, als ik niet ben ingelogd en ik bezoek een website met een like-button, dan heeft Facebook er niks aan om dat aan mijn profiel te koppelen. Immers, als ik het niet 'like', weten adverteerders nog steeds niet of ik wel of niet in de bijbehorende doelgroep pas. En dŕt is de kern van hun hele businessmodel.
Maar Facebook zou wel in staat zijn te bepalen op welke websites je geweest bent vanwege de "like"-knoppen die erop staan, of je er nu op klikt of niet.
Mijn ervaring is dat dit soort discussies vaak stranden in definitie-kwesties.
  • Is iets een virus, of een utility ?
  • Wanneer is iets shareware en wanneer freeware ?
  • "Dit stuk software is gratis !" (ook die ongewild geďnstalleerde toolbar !)
  • Is het opslaan van een locatie van een wifi-netwerk privé -informatie of niet ?
  • Is een IP-adres privé -informatie of niet ?
  • Wanneer Facebook je foto's ongemerkt default met de rest van de wereld gaat delen, maar je kan het uit zetten, zijn ze dan braaf, of zo lek als een mandje ?
Bedrijven die leven van dit soort informatie maken vaak hun eigen definitie waarbij ze net aan de goede kant van de streep vallen. Dat het grote publiek er een andere definitie op na houdt is niet hun probleem.

In het geval van Facebook zou je dus eerst moeten vragen: "Wat is de definitie van 'niet volgen' ?"

Immers zij volgen je niet actief. De browser is immers de gene die namens de argeloos surfende internetter van allerlei data opstuurt naar FB. Dat FB al die kado gekregen data voor de gebruiker opslaat om ze een "nog betere service" te kunnen leveren, dat is toch alleen maar aardig van die jongens !

Gaat u verder maar rustig slapen...
Immers zij volgen je niet actief. De browser is immers de gene die namens de argeloos surfende internetter van allerlei data opstuurt naar FB.
Moeten we dan ook maar bijv. Firefox/IE verantwoordelijk stellen voor alle hacks die de laatste tijd zijn gedaan? De browser heeft het immers mogelijk gemaakt dat de hacks uitgevoerd konden worden.

De browser stuurt heus niet zomaar gegevens naar Facebook, daar hebben ze zelf een stuk code/cookie voor geschreven.

Ik ben wel benieuwd hoe dit gaat eindigen.
'tuurlijk vinden jij en ik FB daar verantwoordelijk voor !

Maar mijn bewering is nu juist dat partijen als facebook altijd proberen zich er met een creative definitie onderuit proberen te kletsen. Om zich vervolgens, hoe krom dan ook, an DIE definitie te houden. Dat jij en ik het niet eens zijn met die definitie, dat is niet het probleem van FB.

Met mijn voorbeeld probeer ik alleen maar een voorbeeld te geven hoe ze dat zouden kunnen doen.
Nou als ik ergens uitlog mag ik ervan uitgaan dat de cookies mij niet meer gaan lopen tracken. Nu volgt het alleen sites met de like knoppen, maar stel mijn bank heeft ook een like knop, nou dan ik je zeggen dat het hek van de dam is.

Het punt is jij logt uit en zij loggen vrolijk door.
Ik meen ergens gelezen te hebben dat het "I like" icoontje eigenlijk geen echte jpeg of png zou zijn maar een server side script dat een jpeg of png image genereert.
Naast dit genereren zou er dus ook data worden opgeslagen zoals bv de url.
Je hebt dan wel niet op de like knop gedrukt van die website, maar je bent naar die website gesurfd.
De kans is redelijk groot dat jij die website dan toch interessant vindt.
Anders had je er immers niet naar toe gesurfd ?
Klopt, het icoontje staat hier, maar zoals je ziet zit er wel een php page tussen die vanalles kan doen.
Ook zonder .php in de URL kan het van alles doen hoor :P

Ik kan jou http://mijn-domein-naam.nl/afbeelding.png laten bezoeken en exact evenveel doen als afbeelding.php, afbeelding.html of zelfs afbeelding.piemel

Het is enkel de request URI die je aan de server doorstuurt. Wat de server ermee doet is volledig te configureren. Het kan cookies meesturen/ontvangen, het kan afbeeldingen terugsturen, het kan HTML terugsturen, het kan niets terugsturen, het kan machine-code terugsturen, het kan attachments meegeven en als download aanbieden, etc.

[Reactie gewijzigd door Gamebuster op 26 september 2011 12:44]

Op zich bewijst het voorkomen van "php" in een url niet dat er een php script draait, net zoals het ontbreken ervan (bv. example.com/image.png) niet garandeert dat je naar een statische file kijkt.
Aan de ene kant blokkeert chrome de cookies niet, terwijl 3th party cookies filtering aan staat.

Aan de andere kant kunnen ze surf gedrag natuurlijk gemakkelijk bijhouden door de vele sites die facebook plugins gebruiken bijv. om comments te plaatsen.
Het gemak om die gegevens te loggen, als er via een externe site de facebook api gebruikt is erg groot, je hebt namelijk meestal gewoon je facebook sessie open staan...

Het blijft natuurlijk zo dat facebook op deze manier veel winst kan maken, niet op persoonlijke gegevens door te verkopen, maar om deze in te zetten voor reclame en dergelijke.
Mag dat op die manier? ik vind van niet.
Google het zelfde, alleen is dit dan wel beperkt tot hun eigen services zover ik weet. :)
Daarom zou iedereen standaard Ghostery als addon moeten installeren. Is voor vrijwel elke gangbare browser beschikbaar en je bent er zeker van dat Facebook je niet kan volgen :)
Daarom zou iedereen standaard Ghostery als addon moeten installeren. Is voor vrijwel elke gangbare browser beschikbaar en je bent er zeker van dat Facebook je niet kan volgen :)
Helaas valt Ghostery onder privacy-wetgeving van de Verenigde Staten en is hierom net zo min betrouwbaar als de netwerken waar zij informatie over en opties voor geven.

Uit hun privacy verklaring:
Ghostery is operated from the United States and strives to comply with U.S. privacy and data protection laws. If you are visiting Ghostery.com from outside the U.S., you agree to any processing of any personal information you provide through Ghostery.com according to this policy.
Natuurlijk zijn er ook alternatieven voor Ghostery. Zo heb je bijvoorbeeld de verschillende lijsten van Fanboy voor Adblock Plus die 'trackers' en 'annoyances' blokkeren.

[Reactie gewijzigd door The Zep Man op 26 september 2011 15:39]

Bedankt voor de tip. Ik had al WOT en adblock maar deze kende ik nog niet! :)
Het feit dat jij WEL op die website zit maar het NIET liket, is natuurlijk OOK nuttige informatie voor facebook ...
Ja, dan gebruik je toch OOK de facebook API?
Ik zeg ook "bijv." om een voorbeeld te noemen, dat wil niet zeggen dat ik alleen DAT bedoel.
Nou dit zijn wel erg grote fouten hoor. Net alsof een systeem alles uit zichzelf doet. Mensen moeten toch aangeven bij het programmeren van: doe dit en dat. Een systeem doet dat echt niet vanuit zichzelf.

Dus nu mensen erachter zijn gekomen moeten ze het wel ontkennen anders gaat het weer flink centjes kosten. Nadeel is alleen van dit soort statements: meeste mensen geloven ook nog hun excuus.

Ze willen gewoon alles weten van je, daar komt het op neer. Ook al durven ze dit niet te zeggen. Facebook is met een klein idee begonnen, maar toen mensen de macht roken die ze ermee konden creeeren is het steeds verder gegaan.
Of dit een bug of een feature is, dat zal uiteindelijk alleen facebook zelf zéker weten.

Maar dat het per ongeluk gebeurt kan zijn, dat is zeker mogelijk !

Tegenwoordig wordt lang niet elke regel code meer door de programmeur zelf ingetypt.
Er wordt zwaar geleund op reeds bestaande libraries waar van allerlei functionaliteit generiek is opgenomen. Die libraries kunnen door andere programmeurs en zelfs bij andere bedrijven gebouwd zijn voor compleet andere doeleinden.

Vanwege het generieke karakter ervan is er vaak meer functionaliteit opgenomen in zo'n routine dan het deel wat de programmeur die die specifieke routine aanroept feitelijk wil gebruiken. Vaak is hij zich niet eens volledig bewust van de rest van de opties die zo'n routine heeft.

Wanneer je als programmeur dan zo'n routine aanspreekt kan het dus zijn dat er veel meer gebeurt dan wat je eigenlijk bedoelt, of zelfs maar gebruikt.

Of dat goed of slecht is, dat is een andere discussie. Het is echter een feit dat dit de praktijk van alle dag is.
Precies, er wordt ook nauwelijks opgetreden tegen dit soort gevallen! Als er een boete wordt uitgedeeld dan is het misschien eentje van een miljoen; dat is echt een schijntje voor Facebook, Google of andere grote bedrijven. Dan betalen ze die boete maar dan hebben ze toch al alle gegevens over je surfgedrag.

Het doet ze gewoon helemaal niks en er zou veel harder moeten worden opgetreden maar ik weet niet bij wie dit soort kwesties liggen.
Zo'n boete is geen afkoopsom, er zitten ook voorwaarden bij als "data wissen" en "nooit weer doen".
Ze moeten toch wat zeggen. Als die ontwikkelaar ECHT beschermend zou werken zou dit ook aan de gebruikers medegedeeld moeten worden en niet zo stiekum.
Ik ga er gewoon vanuit dat facebook die data in eigenbelang verzameld en niet voor "bescherming tegen phisers/spammers"
Het is hilarisch om te zien dat ze dit proberen goed te praten onder het mom van "bescherming tegen spam en phishing", in de hoop dat de schending van privacy dan opeens toegestaan is.
Het meest grappige is dat een ontwikkelaar reageert.

Geen lid van de directie of zo.. Complete deniability:(
Cookies zijn niet het enige probleem, controleer zelf maar eens je browser fingerprint:

http://panopticlick.eff.org/
In ruil voor je data hoef je niet te betalen voor de toepassing die je gebruikt, in dit geval Facebook.

Als 3e partijen op basis van surfgedrag dan gericht banners etc van hun producten kunnen tonen, is dat dan zo levensbedreigend? Je bent nog altijd niet verplicht om iets met die reclame te doen. Je krijgt geen kilo's papier in je brievenbus, en je hebt ook geen volgespamde mailbox. Ik voel me er niet direct door bedreigd.

Misschien moet alles wel explicieter gemaakt worden waarin mensen mogen kiezen om ofwel zelf te betalen voor het gebruik van een toepassing, ofwel reclame opgestuurd te krijgen, ofwel de hele santenboetiek gewoon direct buiten te gooien.
Een optie om deze cookies aan en uit te zetten in de privacy opties van Facebook zou toch moeten volstaan in dit geval? Standaard zou dit uit kunnen staan. Ja, het is nu even goed mis voor mensen die hun privacy op prijs stellen, maar om nou meteen te roepen dat dit er compleet uit moet... nah. Waarom zou je, als het later ook blijkt te kunenn helpen? (phishing e.d. tegen gaan) Zo kan het mij persoonlijk niet schelen welke adverteerders weten naar welke sites ik ga. Mag ik dan de keus niet hebben om deze cookies to te staan?

Zelf maak ik me momenteel meer zorgen om de nieuwe newsfeed en de werkelijk onbruikbare chat sidebar. Die cookies kunnen me gestolen worden tot deze gefixed zijn. Ook dit is natuurlijk maar mijn eigen mening, maar daar is dit toch een forum voor, of niet dan? In plaats van een mening keihard af te kraken en afdoen als "onzin", kom eens met wat argumenten! :)
Tja logisch ook iedereen denkt dat ze het ook meteen doen als het kan, ik kan ook iedereen/iemand in volgen (in real life dan) nu ik een auto heb maar doe ik toch ook niet (daar is de benzine ook te duur voor :P)?

(en nee ik ben geen fan van FB, in tegendeel zelfs, maar je bent toch altijd onschuldig tot het tegendeel bewezen is)
Goh, deze reactie had ik niet zien aankomen zeg! Ik ben benieuwd wat ze hier intern mee gaan doen. Ze geven wel aan het niet actief te volgen, maar inactief dus wel :X
De beschuldigingen lijken mij toch niet volkomen verzonnen... |:(
Het begint wel een hype te worden he wie nou wie volgt,
maargoed moet inderdaad wel wat aan gedaan worden, ik geloof niet dat facebook je echt volgt met wat je doet, de reactie van facebook is ook vrij plausibel

We zullen het wel horen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True