Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Websites gebruiken canvastekening voor trackingdoeleinden - update

Door , 173 reacties, submitter: Xaverius

Onderzoekers van de KU Leuven en Princeton University hebben een nieuwe manier van tracking op websites gevonden waarbij gebruikgemaakt wordt van canvastekeningen. Tal van websites gebruiken dit 'cookiealternatief', waaronder 32 websites met een .nl-domein.

De techniek wordt door de onderzoekers canvas fingerprinting genoemd. Daarbij wordt via de canvas-functie van de browser een onzichtbare afbeelding getekend waarna de getekende pixels via de canvas-api geanalyseerd worden. Aan de hand van unieke kenmerken van de computer, bijvoorbeeld de geïnstalleerde lettertypes, de tijd en browsergegevens, kan een gebruiker gevolgd worden, net als met cookies het geval is.

De onderzoekers troffen de canvastekeningen aan op tal van websites, waaronder YouPorn en Whitehouse.gov. Ook op 32 websites met een .nl-domeinnaam is deze trackingmethode gevonden, waaronder populaire sites als voetbalzone.nl, beslist.nl, buienradar.nl, flabber.nl, tvgids.nl en sbs6.nl, zo meldt De Correspondent.

Onder andere de firma AddThis maakt actief gebruik van deze trackingmethode. Het bedrijf claimt dat het gebruikersdata afkomstig van canvas fingerprinting alleen heeft gebruikt voor intern onderzoek en dus niet inzet om het surfgedrag van internetgebruikers in kaart te brengen. Verder meldt AddThis dat gebruikers de trackingmethode kunnen stoppen als zij een speciale cookie in hun browser plaatsen.

Het is voor eindgebruikers die zich zorgen maken over hun privacy, en bijvoorbeeld tracking cookies blokkeren en niet inloggen op diensten als Facebook, lastig om tracking via canvastekeningen tegen te gaan. Momenteel geeft de Tor-browser een waarschuwing als een site gebruikmaakt van canvas tracking, maar reguliere browsers doen dit niet.

Update, 12:15: Aantal namen van Nederlandse websites met omstreden trackingmethode toegevoegd.

Door Dimitri Reijerman

Redacteur

22-07-2014 • 09:46

173 Linkedin Google+

Submitter: Xaverius

Lees meer

Reacties (173)

Wijzig sortering
Ik begrijp de nieuwswaarde wel van dit bericht, maar niet de negatieve buzz hierover. Ik bedoel maar, gebruikers zijn al jaren te tracken zonder cookies. (en zonder deze canvas-api) Enkel en alleen door te kijken naar onder andere de user-agent string en alle andere gegevens die je browser doorgeeft en zodus zich identificeert. De Electronic Frontier Foundation heeft indertijd Panopticlick opgezet om dat te demonstreren, ga je gang, en controleer dat even? (indien je niet uniek bent op die site, ben je eigenlijk toch behoorlijk uniek ;) )

[Reactie gewijzigd door efari op 22 juli 2014 11:48]

Within our dataset of several million visitors, only one in 1,900 browsers have the same fingerprint as yours.

Currently, we estimate that your browser has a fingerprint that conveys 10.89 bits of identifying information.


Ook daar heb je addons tegen, in Firefox, althans.
Blender (addon) geeft je browser automatisch de op dit moment op het internet meest voorkomende userstring. Werkt overigens ook op Firefox mobile, maar dan krijg je op je mobiel wel desktop sites.

Dan gebruik ik nog: Adblock Edge, BetterPrivacy, Disconnect, HTTPS-Everywhere, NoScript, Privacy Badger, RequestPolicy en Self-Destructing Cookies
Zo zie je maar, privacy is wel mogelijk blijkbaar. Maar je moet er als gebruiker ferm naar zoeken. Ik zou al die add-ons liever ingebakken zien in de browsers, of liever nog in het OS
Dat klopt, maar niet alle addons werken prettig, een aantal in dat lijstje van me werken zeer gebruikersonvriendelijk (sites worden amper geladen totdat je uitzonderingen maakt) en kan ik niet iedereen aanraden.

En dan nog moet je inderdaad niet overal inloggen met je Facebook e.d. want dan heeft het nog steeds weinig nut, zelf heb ik geen social media, maar ik moet van het werk een smartphone hebben, links of rechtsom ben je nagenoeg altijd wel te tracken.
Maar dat betekent niet dat je dus alles maar moet opgeven ben ik van mening :)

[Reactie gewijzigd door E-PaiN op 22 juli 2014 11:45]

Die vereist Java, en laat ik nou nÚt geen java programma's accepteren via de browser ;)
Het werkt ook zonder Java. Naast Java wordt er informatie opgevraagd d.m.v. Flash, JavaScript en browser-headers. Ook zonder Java ben je uniek identificeerbaar.

Edit: Ik heb het ook over Panopticlick.

[Reactie gewijzigd door Blaise op 22 juli 2014 16:22]

In welk opzicht een goede zaak voor jou mag ik vragen?
Het feit dat je browser als "uniek" wordt gezien maakt je (beter) trackbaar op het internet, als consument lijkt het me altijd (?) positief om juist geen unieke fingerprint te hebben!
En weer het zoveelste bericht waaruit blijkt dat er allerlij tracking zooi op alle sites zitten, vraag me af of ghostery deze canvastekening blokeert, volgens het bericht moet ik aannemen dat dit niet zo is?

Ik zou willen dat websites nou eens zouden stoppen met al dat tracking, dit is natuurlijk geen realistisch beeld, maar is wel zeer jammer.
In de echte wereld vinden we het de normaalste zaak van de wereld, maar online is het ineens heel slecht als sites iets over hun bezoekers willen weten.
Als ze iets over mij willen weten, dan moeten ze, net zoals in de echte wereld, mij dingen vragen.
Niet stiekem allerlei data van mij verzamelen.

Dat ik (vaak) niet bereid ben om te antwoorden is pech voor hun, maar geeft ze geen enkel recht om dan maar op slinkse manier aan dezelfde gegevens (die nu dus illegaal verkregen zijn) te komen.
Die wet hebben we. In de volksmond wordt dat de 'cookiewet' genoemd. In die wet komt het woord cookie niet voor, er staat in welke informatie websites niet mogen bijhouden zonder toestemming. Voor veel websites is dat helaas nogal onhandig en dus wordt er alles aan gedaan om het voor te doen komen of het een domme aanval op cookies is. Ik snap ook wel dat het behoorlijk ellendig is als je inkomstenbron zo onderuit wordt gehaald, maar eigenlijk doet de wet precies wat je als gebruiker wil: voorkomen dat websites zomaar alles over je opslaan en doorgeven.
In winkels wordt je al jaren geteld als je een winkel binnenloopt
Maar de IKEA weet daarmee nog niet dat ik vlak daarvoor bij de Mac geweest ben.
als je weer eens met je Bonuskaart aftrekent.
Die heb ik niet.
In de echte wereld vinden we het de normaalste zaak van de wereld
Jij vindt het de normaalste zaak van de wereld dat - om maar eens een real-world voorbeeld te gebruiken - elke winkel waar jij komt een sticker op jouw rug plakt, zodat precies bekeken kan worden waar jij allemaal wel niet geweest bent en wanneer en welke artikelen je daar bkeken hebt? En dat ze dat gewoon doen zonder te vragen? En als de wetgever zegt 'dat mag niet' dat ze er dan gewoon mee doorgaan op een andere manier?
Geteld worden en een paar algemene gegevens registreren is niet zo erg. Maar als winkels achter mij aan lopen om alles te weten van mij, om al mijn vorige bezoeken bij te houden EN te weten in welke winkels ik nog meer kom, wordt het behoorlijk creepy.

Zeker, fysieke winkels zijn dat nu ook aan het doen met wifitracking. En ja, dat vind ik dus behoorlijk creepy en dat gebeurt dan ook niet met mijn foon.

En ik probeer het verder inderdaad te voorkomen, door zo min mogelijk de bonuskaart te gebruiken, die ook geen toestemming heeft voor het delen van persoonlijke informatie - al zal ik niet durven zeggen dat 'ie anoniem is, en meestal contant te betalen, klantenkaarten te weigeren en zelden mijn gegevens op te geven.

Kortom: ik vind het offline niet de normaalste zaak van de wereld en online ook niet - alleen blijkt het online nog veel moeilijker te voorkomen te zijn dan offline.
Doet er niet toe. Het gaat ze niet aan, en ik zie niet in waarom we vrijwillig mee zouden werken aan surveillancenetwerken en dossieropbouw waar de USSR jaloers op geweest zou zijn. Zodat als er een of andere mafkees binnenvalt, die gegevens er gewoon niet zijn.
Ik vind het grappig dat we zo vallen over dat tracking op internet. Het is toch niet meer dan logisch dat dit bijgehouden wordt?
Nee.
In winkels wordt je al jaren geteld als je een winkel binnenloopt of worden al je gegevens bijgehouden als je weer eens met je Bonuskaart aftrekent.
Tellen is anoniem (1 bezoeker = 1 bezoeker, geen uniek identificerende kenmerken). Bonuskaart is opt-in en een eigen, vrijwillige keuze.
In de echte wereld vinden we het de normaalste zaak van de wereld, maar online is het ineens heel slecht als sites iets over hun bezoekers willen weten.
In de echte wereld vindt jij het de normaalste zaak van de wereld. Spreek niet voor mij.
Tellen is anoniem (1 bezoeker = 1 bezoeker, geen uniek identificerende kenmerken). Bonuskaart is opt-in en een eigen, vrijwillige keuze.

Goh, is boodschappen doen een vrijwillige keuze? En hoe zit dat met het openbaarvervoer (ov-chipkaart). En ook deze laatste is niet annoniem immers moet hem met je pin opladen.

Iedere supermarkt hangt VOL met camera's, (dus je bonuskaart redenatie kan je in je "boodschappen"-tas houden). Digi-d, zorgverzekeringen die van alles en nog wat verzamelen. De overheid die er vervolgens vrolijk aan mee werkt. Denk aan het elec. patienten-dosier. En hoe zat dat ook al weer met die poortjes over de snelwegen?

Beste The Zep Man, internet is een vrijwillige keuze. Zeker als de off- en online realiteit naast elkaar wilt leggen.

Neemt niet weg dat dit soort praktijken, in mijn optiek, goed in de gaten moeten worden gehouden. Maar niet dat men door slaat, zoals nu met de onzinnige cookie-wet. Helaas zij wij overgeleverd aan een minister die de batterijen van zijn VHC-afstandbediening nog niet eens zelfstandig kan vervangen.
Beste The Zep Man, internet is een vrijwillige keuze. Zeker als de off- en online realiteit naast elkaar wilt leggen.
Ik weet niet of dat nog waar is en over een paar jaar zeker niet meer.
Probeer maar eens belasting te betalen, je bankzaken te doen, een studie te volgen, een baan te zoeken of een uitkering aan te vragen zonder internet.

Natuurlijk, je hebt altijd nog de keuze om in een kartonnen doos onder de brug te gaan wonen maar voor de meeste Nederlanders is een normaal leven zonder internet eigenlijk niet meer mogelijk.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2014 17:39]

Volledig mee eens. Ik ben ook 100% afhankelijk van het internet.
Maar als je wil, kun je zonder. (vraag me aub. niet hoe...)

En uiteraard is dat een enkeltje zwart-reisende richting: stenen-tijdperk (geen ov-chip).
Natuurlijk, je hebt altijd nog de keuze om in een kartonnen doos onder de brug te gaan wonen maar voor de meeste Nederlanders is een normaal leven zonder internet eigenlijk niet meer mogelijk.
Het is inderdaad maar wat je gewend bent. Voor Nederlanders is dat iets anders dan iemand in Hoetsietoetsiestan of in de rimboe. Ik heb anderhalf jaar niet ge´nternet, behalve eenmalig belastingaangifte en dat was niet op mijn eigen pc.
Zelfs die aangifte had vermoedelijk nog op papier gekund. Het kan dus wel maar is afhankelijk van allerhande zaken. Dwangmatigheid, verslaving, gewoonte.
Mja het is niet heel raar dat ze bijhouden wie wat doet op de website. Het is gewoon een soort marketingtool. Een andere reden is vaak dat men moet weten wie wat doet zodat hetgeen in het winkelwagentje beland ook echt bij die persoon hoort. Nou gebeurt dat vaak wel via de server, maar het moet bijgehouden worden.

Je kunt je natuurlijk blijven verschuilen, maar op een gegeven moment hebben sites informatie nodig. Die is niet altijd even belangrijk en ze hebben ook niet overal recht op, maar je moet het internet dan ook als openbare ruimte behandelen. Ook daar ontkom je niet altijd aan het delen van informatie. Is het je auto ergens heen rijden, dan is het wel het afrekenen in de winkel.

Een cookie wet is dan ook een lapmiddel. Het zou eigenlijk moeten gaan over welke informatie men wel of niet mag hebben.
Iedere supermarkt hangt VOL met camera's, (dus je bonuskaart redenatie kan je in je "boodschappen"-tas houden). Digi-d, zorgverzekeringen die van alles en nog wat verzamelen. De overheid die er vervolgens vrolijk aan mee werkt. Denk aan het elec. patienten-dosier. En hoe zat dat ook al weer met die poortjes over de snelwegen?
Dat een bedrijf of instelling het doet betekent toch niet dat je het dan automatisch ook maar goed moet vinden?
[...]
Tellen is anoniem (1 bezoeker = 1 bezoeker, geen uniek identificerende kenmerken).
Zoals tweakers al eerder heeft aangegeven, is het tellen van bezoekers niet meer zo anoniem, wifi-tracking is een breed ingezette methode:
reviews: Wifi-tracking: winkels volgen je voetsporen
Kortom, zowel op internet als in het winkelcentrum gebeurt dit. @Bosmonster is dus blijkbaar niet de enige die dit de normaalste zaak van de wereld vind, diverse winkelketens zijn het met hem eens.
Kortom, zowel op internet als in het winkelcentrum gebeurt dit. @Bosmonster is dus blijkbaar niet de enige die dit de normaalste zaak van de wereld vind, diverse winkelketens zijn het met hem eens.
Dat het gebeurt betekent het nog niet dat het wenselijk is of dat mensen er geen bezwaar tegen hebben. Zoek de nieuwsberichten over Wif-tracking in winkels maar op, dan zie je ook dat er veel boze reacties zijn van mensen die zich in hun privacy aangetast voelen. In het artikel dat je zelf linkt zijn er genoeg te vinden.

De 'normaalste zaak van de wereld' is dan ook maar een slecht argument. Dat kinderarbeid in grote delen van de wereld voorkomt is misschien wel 'de normaalste zaak van de wereld' maar ik ben er nog steeds tegen. Dat grote winkelketens weinig op hebben met ethisch gedrag is ook wel bekend. Het ene kwaad is geen argument om het andere kwaad goed te keuren.
Sorry, ik had wat helderder moeten zijn.
Ik schaar mezelf niet onder de groep die dit de normaalste zaak van de wereld vind, maar gezien het gebeurt blijken er genoeg te zijn die er wel zo over denken. Voor een wifi-tracking setup heb je toch minimaal een ontwikkel team, een sales team en winkel eigenaren die dit willen nodig. Dat is minimaal zo'n 20 personen die dit normaal moeten vinden.
Sorry, ik had wat helderder moeten zijn.
Ik schaar mezelf niet onder de groep die dit de normaalste zaak van de wereld vind, maar gezien het gebeurt blijken er genoeg te zijn die er wel zo over denken.
Dat is een zeer gevaarlijke manier van denken waar bedrijven vaak misbruik van maken. Door herhaaldelijk proefballonnetjes omhoog te laten gaan is het mogelijk om de publieke opinie te wijzigen wanneer dit soort aannames wordt gedaan. Misschien is er niemand in de wereld die er zo over denkt anders dan het bedrijf dat het implementeert. Dat maakt het niet automatisch correct om het toch te doen.
Sorry, ik had wat helderder moeten zijn.
Ik schaar mezelf niet onder de groep die dit de normaalste zaak van de wereld vind, maar gezien het gebeurt blijken er genoeg te zijn die er wel zo over denken.
Dat is de wereld waarin we al tijden leven. Voor elke groep die een actie bedenkt is er wel een andere groep die er tegen is. En een groep die het niet weet, niet interesseert of niet kan of wil begrijpen.
Kwestie van je wifi uitzetten buitenshuis. Voor Android heb je daar Wifi OFF maar ook andere apps voor die wifi uitzet als je buiten bereik van een verbonden router komt.
Pry-Fi van onze eigen Chainfire kan MAC-adressen e.a. spoofen, opdat je niet meer getrackt kunt worden door de Wifi op je telefoon, terwijl je je Wifi wel gewoon aan kunt laten staan. Hij is alleen even gestopt met de ontwikkeling, en de huidge bŔta werkt niet voor iedereen even goed:
http://forum.xda-developers.com/showthread.php?t=2631512
Tsja, dan gaan we toch gewoon tracken op TCP fingerprinting? En als dat dan niet meer werkt, dan komt er vast een bedrijfje dat sensors in de grond stopt om je loop te detecteren. Nokia had dacht ik al research gedaan vroeger waarmee je met de manier waarop je loopt ge´dentificeerd kon worden. En als dat niet genoeg is, dan komt er vast een methode om heel snel je DNA te lezen van al die dode huidcellen en haar die je maar lekker rondstrooit als mens. Of er komt een manier om op afstand je hartslag te meten en dan kan je aan de hand daar van weer herkend worden, want dat is ook uniek.

En stel dat alle tracking mogelijkheden uiteindelijk uitgeput zijn en alles te anonimiseren is, dan komt er wel een bedrijf dat verzint dat je alleen nog maar iets met je te maken willen hebben als je een tracker van ze accepteert en gebruikt.
Maar dat wil niet zeggen dat camera's een ander persoon gaan zien. In theorie is het mogelijk je te volgen vanaf het moment dat je de auto uit stapt, tot aan de kassa en weer terug de auto in. Ook al draag je dezelfde verhullende kleding.

Vooropgesteld dat er nergens blind-spots zijn natuurlijk, maar theoretisch is het ook mogelijk om zonder wifi oid je helemaal te volgen. Misschien niet met koppeling van adres en persoonsgegevens, maar wel wie waar loopt, wat doet en wat koopt.
De situatie in een echte winkel is niet te vergelijken. Op een content site (zoals bijv Tweakers) consumeer je al direct door in de "winkel" te zijn. Het produkt is namelijk de content. Tegenover die content staat een betaling, geen financiele, maar via gegevens, die weer leiden tot ads.

Overigens ben je ook met tracking nog steeds grotendeels anoniem. Het advertentiesysteem weet niet wie je bent. Het heeft alleen doelgroep informatie, zoals je interesses e.d.
Het heeft alleen doelgroep informatie, zoals je interesses e.d.
Dat is tevens een nadeel. De kans is groot dat ik door die tracking vooral ads krijg passend bij mijn vermoedelijke interesses. Maar niet bij mijn niet-bekende interesses.
En vermoedelijk ook geen nieuwe uitdagingen, want niet bekend en te algemeen.
Tellen is prima, het ongevraagd bijhouden een tweede. Een Bonuskaart werkt enkel als je toestemming geeft immers, waar een electronisch oog enkel het aantal passanten kan bijhouden zonder verdere gegevens op te slaan.

Het probleem is dat het interessant is maar dat het je als gebruiker ook volgt over een langere periode.
Supermarkten koppelen je boodschappen ook andere aan je bankrekening als je met pin betaal. Een pinpas behoort uniek te zijn en je mag hem zelfs eigenlijk nog niet eens aan een ander geven. Bonuskaarten worden vaak door een huishouden gedeeld.

Verschillende winkels doen ook aan Wifi tracking. OOK als je de winkel niet betreed maar er gewoon langs loopt... En wat zegt de organisatie (CBP) welke onze privacy moet beschermen? Dan moet je Wifi op je telefoon maar uit zetten. Dat is de wereld op zijn kop!

Gisteren stond hier een artikel over spyware via banner netwerken en dat om spyware te voorkomen je eigenlijk bijna een adblocker moet gebruiken. Hoe lang denk je dat het gaat duren voordat men massaal overgaat naar javascript blokkers..
Nee, de ING wou inderdaad betaalinformatie verkopen aan derden partijen.

Als jij via pin je boodschappen betaald staan jouw pasgegevens op de kassabon. Alles wat op de kassabon staat, staat ook in het systeem van de supermarkt. De betreffende supermarkt doet verder niets met bijvoorbeeld de naam van de klant, maar het rekeningnummer wordt wel gebruikt om profielen zoals 'welke producten worden gekocht door terugkerende klanten'..

Daarnaast staat op elke kassabon een unieke orderid. Dat orderid zie niet alleen jij gewoon op je bankafschrift, maar welke retailer welke pin betalingen accepteert. Banken bieden zakelijke regelingen eenvoudige exports aan waarin datum/tijd, klantnaam, woonplaats, rekeningnummer, orderid, terminalid, bedrag en de opmerkingen staan.

Omdat JIJ aangeeft met pin te willen betalen, geef je de retailer op dat moment toestemming om jouw gegevens te verwerken.

De supermarkt gebruikte het rekeningnummer ook om te achterhalen welke filialen regelmatig worden bezocht. Als een relatief grote groep naar twee verschillende filialen gaat, dan ging men kijken of misschien een derde supermarkt een optie was.

Het rekeningnummer wordt in de profiel modellen alleen gebruikt als groeperingssleutel. Men kijkt dus niet specifiek naar jouw nummers, maar naar alle nummers in het algemeen.

supermarkten combineren ontzettend grote data stromen om elk filiaal het beste product aanbod te geven. Daarin zit zelfs een voorspellend model, want zodra er mooi weer op komst in, krijgt de filialen automatisch vanuit de centrale magazijnen extra BBQ producten. Gaat het (flink) vriezen, dan is er extra voorraad voor stampotten en gebonden soepen.

Supermarkten zijn op dit vlak echt niet zoveel anders dan een Google. Het draait allemaal om process optimalisatie. En hoe beter (completer) je profielen, hoe beter je forecoasting werkt..
In de echte wereld kun je dit tegengaan door geen bonus- of actiekaarten te gebruiken en contant te betalen. Ik doe niet aan zgn "voordeelpasjes" omdat ik niet geloof dat ik er uiteindelijk beter van word.

Ik vind het zeker niet de normaalste zaak van de wereld, en dat zal voor veel mensen die online tracking blokkeren ook gelden. Ik werk ook bij een bedrijf dat tracking toepast op hun websites en mijn ervaring is ook dat de sites hier veel trager door worden (voor de gebruiker). Nog een reden al die poespas te blokkeren.
Dat is al zo. De wet zegt niet dat je geen cookies moet gebruiken. In de wet staat dat je toestemming moet vragen als je gebruikers volgt. Welke techniek je daar voor gebruikt doet er niet toe. Of je nu cookies, canvastekeningen of post-it velletjes voor gebruikt maakt geen verschil.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2014 17:38]

Ik vind het niet meer dan logisch dat het NIET wordt bijgehouden. Blijkbaar verschillen wij daarin van mening.

Mijn bonuskaart is niet aan mij gelinkt. Ik heb een anonieme kaart, die ik deel met meerdere mensen. Als er dus al gegevens vanaf gehaald worden, dan zijn die niet meer alleen op mij te herleiden.

Ik vind het in de echte wereld net zo'n slechte zaak als online.
In de echte wereld vinden we het de normaalste zaak van de wereld,
Wacht effe, ¨¨WE " ?? IK niet hoor. Er zijn mensen doe op hun privacy gesteld zijn en dus ook tegen die handelingen van winkeliiers zijn. Het is lastig om alles te voorkomen maar ik heb geen bonuskaart, airmiles, kortingskaart of pinpas. Ik kom niet in zaken waar ik niet contant kan betalen. En zo nog wat acties. Geen facebook en soortegelijke.
Ghostery detecteert in ieder geval wel de AddThis tracker op whitehouse.gov. Je kan hem dan ook blokkeren, dus dat beantwoord denk ik je vraag.

Los daarvan is het belachelijk dat je iets dergelijks moet installeren en gebruiken als je niet getraceerd zou willen worden.
Dat helpt niet omdat er met deze techniek nooit wat opgeslagen wordt op je systeem.
Enigzins offtopic:

Handig om te weten is dat wanneer er een update van Ghostery is (althans bij mij) dat je zelf handmatig de instellingen (Trackers) steeds moet controleren of alles nog wel wordt tegen gehouden. Dit is mij de afgelopen maanden al een aantal keren ontschoten en kreeg weer een zooi ads te zien op vele sites. Na het opnieuw aanvinken van de categorieen was dat weer gefixed.

Heb even vluchtig op de website van Ghostery gekeken maar kon zo 1 2 3 niet veel vinden over canvas fingerprinting vinden behalve dit:
https://purplebox.ghostery.com/post/1016024218

Voor de zekerheid nog even de pagina zelf waar de pdf in het artikel gevonden kan worden:
https://securehomes.esat....car/persistent/index.html

Nog wat informatie hierover:
http://gizmodo.com/what-y...-new-online-tr-1608455771
Klopt. Als je nu op de 'all trackers' optie klikt in de instellingen krijg je bovenin je scherm een balkje waarin gevraagd wordt of nieuwe trackers ook geblokkeerd moeten worden. Het is semi-transparant dus je kijkt er zo overheen.
Maar de beste manier is nog altijd InPrivate browser & varianten, of als je privacy echt belangrijk vindt gewoon de browsercache leeg maken bij afsluiten. Alles is dan weg, dus bij de volgende sessie is er niets te 'tracken'
En juist dat is bij het opstellen van de fingerprints waar het hier over gaat niet het geval. Deze zijn gebaseerd op jouw browser zelf en op instellingen van of geinstalleerde zaken op jouw OS.
Ik dacht dat dit "html5-cookies" waren? Evenzo, dit krijg ik wel weg met bijv. BleachBit, mocht iemand daar interesse voor hebben.
voorkomen is beter dan achteraf genezen met schoonmaak tool;
- https://www.ghostery.com/nl/
- https://tails.boum.org/
- http://noscript.net/
etc
Als het over HTML5 cookies gaat, gaat het meestal over HTML5 Local Storage. Dat is een cookie alternatief die tenminste niet de data zelf steeds naar de server stuurt. Ook is het makkelijk voor de gebruiker om de local storage te legen.

Dit gaat over tracking door kenmerken van de PC van de gebruiker (wel met een nieuwe HTML5 techniek idd (canvas), maar ik geloof niet dat het over het algemeen HTML5 cookies worden genoemd), zoals aanwezigheid van bepaalde fonts enzo. Ik weet ook niet hoe BleachBit daar tegen wil gaan beschermen?

[Reactie gewijzigd door Benji87 op 22 juli 2014 09:53]

Wat verwijdert BleachBit dan? Je lettertypen?
Het idee van fingerprinting is dat je geen cookies nodig hebt die de gebruiker kan verwijderen. Je maakt gewoon een plaatje, vult die met teksten in alle fonts die je kan bedenken, en afhankelijk van de fonts die op de computer staan komt daar een ander plaatje uit. Vervolgens gooi je nog andere informatie die vrij beschikbaar is zoals de browser en operating system net zo lang totdat je een uniek plaatje hebt voor elke bezoeker.
Vervolgens maak je een hash van het plaatje, store je die op de server en de volgende keer dat de gebruiker langs komt zal hij hetzelfde plaatje aanmaken en weet de server dus dat het dezelfde gebruiker is.

De enige manier om dit te voorkomen is dus door iedere keer genoeg informatie te veranderen (installeren en de´nstalleren van font packs, veranderen van browser, etc.) zodat de server je niet meer kan herkennen. Of met z'n alle een browser gebruiken die alleen Comic Sans in canvas afbeeldingen rendert, zodat bijna iedereen hetzelfde plaatje krijgt.
is het niet zo dan dat je browser alleen de beschikking heeft over de web-safe fonts? of kunnen ze je hele font library uitlezen? .. dat lijkt me op zich al een probleem dan, toch? is niet echt iets wat ik via m'n browser beschikbaar wil hebben die informatie
web-safe fonts bestaan niet. Dat zouden dan fonts zijn, neem ik aan, die op elke computer/tablet enz .zijn ge´nstalleerd? Je had ooit wel web-safe kleuren, maar dat is inmiddels achterhaald.
Je kunt inderdaad al je fonts uitlezen. Twee sites waar je kunt zien wat je browser zo allemaal doorstuurt (als JavaScript utistaat, wordt dat gelijk 'n heel stuk minder):
https://panopticlick.eff.org/index.php
http://browserspy.dk/
Maar is je verzameling fonts dan zo uniek? Ik doe nooit iets met fonts, ik zou verwachten dat ik dezelfde verzameling fonts zou hebben als de meeste andere windows 7 gebruikers die nooit iets met fonts doen. Of installeren andere programma's geregeld fonts mee als ze zelf ge´nstalleerd worden?
Niet uniek genoeg om voor trackingdoeleinden te gebruiken, maar voeg daar andere gegevens zoals in de link van goeroeboeroe staat (https://panopticlick.eff.org/index.php) dan wel.

Kijk voor de grap maar eens in je eigen C:/Windows/Fonts mapje, voeg de kolom 'Date modified' toe door met je rechtermuis op de kolomheader te klikken en sorteer daar op. Je ziet dan welke allemaal na je Windows install zijn toegevoegd. Dit kan gewoon door een windows update zijn, die niet iedereen uitvoert, maar ook door andere software zoals je zelf al aangeeft. Gare bloatware van je printer/scanner, Adobe Photoshop, Flash. Ik kwam er 1 tegen van een Joomla template die ik volgens mij niet bewust heb ge´nstalleerd.
Na een check op panopticlick zie ik dat ik redelijk identificeerbaar ben aan de hand van m'n browser-plugins, 1 op de 4,3miljoen computers hebben dezelfde plugins dus de kans dat ik het niet ben is ook klein.

M'n bankplugin ga ik op "ask to activate" zetten in elk geval, erg handige app maar elke website kan in principe zien bij welke bank ik bankier.

[Reactie gewijzigd door SiGNe op 23 juli 2014 04:37]

Inderdaad, bij mij is dat hetzelfde. Alleen het is nog iets erger, er staat dat je uniek bent in de 4,3 miljoen tot nu toe geteste browsers op die site, dus het kan best zijn dat de kans dat je iemand met dezelfde configuratie treft nog veel kleiner is.
Mijn fonts zouden volgens die site 1 op 1442283,33 zijn, dat is die 4,3 miljoen gedeeld door drie, oftewel er zijn pas 2 keer eerder systemen geweest die die test gedaan hebben met dezelfde font configuratie als ik... bizar! :X
Als ik al die factoren met elkaar vermenigvuldig dan kom ik ergens in de duizend miljard miljard. Zo simpel zal het wel niet liggen (sommige factoren correleren waarschijnlijk), maar toch illustreert het inderdaad vrij duidelijk hoe ik met deze informatie uniek identificeerbaar ben...
Of regelmatig je browser agent te veranderen: die gebruiken ze ook om hun fingerprint op te baseren. En Noscript blokkeert standaard Javascript van Addthis, ook als je Javascript van het domein van de website waar je op bent wel toestaat, dus dan werkt het ook niet. Daar zouden ze wel weer op kunnen anticiperen, maar voorlopig doen ze dat niet en kun je je privacy enigszins beschermen.
Dit zijn zoals SkyStreaker al zegt geen cookies, maar wat javascript zonder opslag. Hij test of je pak-em-beet Arial hebt geinstalleerd, de combinatie van al dit soort features is goed genoeg om personen individueel te kunnen tracken.
Er zijn zoveel manieren om cookies "vast" te zetten... geen idee waarom iedereen zich zo druk maakt om het verwijderen, maar probeer deze site eens om te kijken of jouw tool alles aan kan http://samy.pl/evercookie/

Ik vind het eigenlijk best slim wat ze allemaal bedenken :)
Ik heb Javascript toegestaan voor die site, maar toch blijft hij hangen bij *creating...*. Ook als ik "click to rediscover" klik blijft hij hangen bij *checking...*. Dus ik vermoed dat evercookies niet werken in mijn Firefox, mogelijkerwijs door Noscript.
Hmm, ik begrip het niet helemaal. Hoe kan een gebruiker via een getekende afbeelding gevolgd worden? Dit wordt toch clientside getekend? Of wordt de image telkens geŘpload en dan vergeleken met elkaar?

**EDIT**
OK, volgens onderstaande tekst uit het verslag, gebruiken ze de image niet zelf, maar een tekstuele voorstelling hiervan.
When a user visits a page, the fingerprinting script
first draws text with the font and size of its choice and adds
background colors (1). Next, the script calls Canvas API's
ToDataURL method to get the canvas pixel data in dataURL format (2), which is basically a Base64 encoded representation of the binary pixel data.

[Reactie gewijzigd door SanderL op 22 juli 2014 10:03]

Hmm, ik begrip het niet helemaal. Hoe kan een gebruiker via een getekende afbeelding gevolgd worden? Dit wordt toch clientside getekend? Of wordt de image telkens geŘpload en dan vergeleken met elkaar?
De gebruiker wordt niet direct gevolgd. Diens computer wordt uniek ge´dentificeerd, wat vaak voldoende is om de gebruiker uniek te identificeren en te volgen. Een voorbeeld.

[Reactie gewijzigd door The Zep Man op 22 juli 2014 09:59]

Dus - in combinatie met m'n edit van m'n voorgaande post - kunnen ze me uniek identificeren en de unieke identifier opslaan in pakweg m'n local storage, voorzien door HTML5.

Wanneer ik dan andere pagina's bezoek, kunnen zij m'n local storage opvragen en dus ook de unieke identifier, en weten ze dat ik het ben. Maar... wat dan? Dan weten ze puur dat ik op dat moment die pagina bezoek? Of zit er nog wat meer achter?

**EDIT
OK, hebbes, thanks all ;)

Om het tegen te gaan, kan je dan misschien best het uploaden blokkeren. Het blokkeren van het canvas element, heeft meer nadelen dan voordelen, lijkt me.

[Reactie gewijzigd door SanderL op 22 juli 2014 11:00]

Dat is een bijzonder onveilig systeem.
Het is maar hoe je het bekijkt. Is de mogelijkheid om cookies op te slaan een kleiner risico dan mogelijk kwetsbaar zijn voor een session-id hijack? Sinds Assange en Snowden is "beveiligingstechnologie" een wat bredere term geworden. We hebben meer vijanden dan alleen hackersgroeperingen.

[Reactie gewijzigd door blorf op 22 juli 2014 10:11]

want? graag wat onderbouwing :)
Volgens mij is veiligheid helemaal niet z'n doel. Of het 'onveilig' is is dus irrelevant.

De vraag is hoe betrouwbaar het is. Wat is de kans op clashes? Clashes zijn niet ondenkbaar maar als die onder een acceptabel niveau blijven kan het best een aardig alternatief zijn. Als ze laag genoeg zijn is het misschien wel betrouwbaarder dan reguliere cookies.

[Reactie gewijzigd door Maurits van Baerle op 22 juli 2014 10:10]

Ja, alleen is dat totaal niet handig als iemand op school in een Mediatheek zit, op kantoor waar iedereen dezelfde systemen gebruikt of de bibliotheek. Allemaal hetzelfde IP, en vaak ook dezelfde OS en Browser.
Maar in die gevallen is die canvas-tekening toch ook nutteloos?
Als alle machines dezelfde software draaien en zelfde fonts hebben e.d. binnen 1 netwerk? Of zie ik dat verkeerd?
Ook de tijd wordt geregistreerd in zo'n tekening. Als de tijd in de tekening niet overeenkomst met wat zij (waarschijnlijk) in hun DB hebben opgeslagen, klopt de fingerprint niet. Nu is dit uiteraard ook niet 100% waterdicht... Maar cookies zijn ook niet waterdicht.
Je hebt gelijk, maar ik maakte de website's niet voor derde, en ik gaf ook netjes aan dat het niet toegestaan was om aangemelden op een school of bedrijfs netwerk.
html 5 cookies zijn op "local storage" gebaseerd en daar kun je veel meer informatie in opslaan dan in een normale cookie.
Ik hoop dat er software komt wat dat tegenhoud.. het wordt wel steeds gekker.
Maar hiermee valt 'in-private browsing' dus ook om. Want de 'cookies' worden niet verwijderd nadat je de sessie sluit.
Het bedrijf claimt dat het gebruikersdata afkomstig van canvas fingerprinting alleen heeft gebruikt voor intern onderzoek en dus niet inzet om het surfgedrag van internetgebruikers in kaart te brengen
Je gaat mij niet wijsmaken dat trackingtechnieken op whitehouse.gov louter gebruikt worden om intern onderzoek te plegen, tenzij profiling bij de NSA als 'intern' beschouwd wordt.

Wat zijn de gevaren van dit canvas? Het lijkt er niet op dat er iets op de bezoekende machine gezet wordt (cookies, temp files, etc) dus hoe zit het met het risico van malware verspreiding via deze methode?
Ik snap het niet helemaal. Een cookie gebruik je om wat waardes in op te slaan. In geval van een tracking cookie dus een tracking code. Daarmee is de hele vergelijking met cookies ook klaar aangezien cookies hele andere toepassingen hebben.

"ge´nstalleerde lettertypes, de tijd en browsergegevens". Mijn geinstalleerde lettertypes veranderen dagelijks, de tijd nonstop en browsergegevens ook. Dan krijg je toch iedere keer een nieuwe 'handtekening'?

Vind het trouwens wel een omslachtige methode om die gegevens eerst naar een afbeelding te zetten. Waarom niet gewoon direct hashen? Je kunt de extra variables zoals kleur ed gewoon meenemen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*