Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Websites gebruiken canvastekening voor trackingdoeleinden - update

Door , 173 reacties, submitter: Xaverius

Onderzoekers van de KU Leuven en Princeton University hebben een nieuwe manier van tracking op websites gevonden waarbij gebruikgemaakt wordt van canvastekeningen. Tal van websites gebruiken dit 'cookiealternatief', waaronder 32 websites met een .nl-domein.

De techniek wordt door de onderzoekers canvas fingerprinting genoemd. Daarbij wordt via de canvas-functie van de browser een onzichtbare afbeelding getekend waarna de getekende pixels via de canvas-api geanalyseerd worden. Aan de hand van unieke kenmerken van de computer, bijvoorbeeld de geïnstalleerde lettertypes, de tijd en browsergegevens, kan een gebruiker gevolgd worden, net als met cookies het geval is.

De onderzoekers troffen de canvastekeningen aan op tal van websites, waaronder YouPorn en Whitehouse.gov. Ook op 32 websites met een .nl-domeinnaam is deze trackingmethode gevonden, waaronder populaire sites als voetbalzone.nl, beslist.nl, buienradar.nl, flabber.nl, tvgids.nl en sbs6.nl, zo meldt De Correspondent.

Onder andere de firma AddThis maakt actief gebruik van deze trackingmethode. Het bedrijf claimt dat het gebruikersdata afkomstig van canvas fingerprinting alleen heeft gebruikt voor intern onderzoek en dus niet inzet om het surfgedrag van internetgebruikers in kaart te brengen. Verder meldt AddThis dat gebruikers de trackingmethode kunnen stoppen als zij een speciale cookie in hun browser plaatsen.

Het is voor eindgebruikers die zich zorgen maken over hun privacy, en bijvoorbeeld tracking cookies blokkeren en niet inloggen op diensten als Facebook, lastig om tracking via canvastekeningen tegen te gaan. Momenteel geeft de Tor-browser een waarschuwing als een site gebruikmaakt van canvas tracking, maar reguliere browsers doen dit niet.

Update, 12:15: Aantal namen van Nederlandse websites met omstreden trackingmethode toegevoegd.

Door Dimitri Reijerman

Redacteur

22-07-2014 • 09:46

173 Linkedin Google+

Submitter: Xaverius

Lees meer

Reacties (173)

Wijzig sortering
Ik begrijp de nieuwswaarde wel van dit bericht, maar niet de negatieve buzz hierover. Ik bedoel maar, gebruikers zijn al jaren te tracken zonder cookies. (en zonder deze canvas-api) Enkel en alleen door te kijken naar onder andere de user-agent string en alle andere gegevens die je browser doorgeeft en zodus zich identificeert. De Electronic Frontier Foundation heeft indertijd Panopticlick opgezet om dat te demonstreren, ga je gang, en controleer dat even? (indien je niet uniek bent op die site, ben je eigenlijk toch behoorlijk uniek ;) )

[Reactie gewijzigd door efari op 22 juli 2014 11:48]

In de echte wereld vinden we het de normaalste zaak van de wereld, maar online is het ineens heel slecht als sites iets over hun bezoekers willen weten.
Als ze iets over mij willen weten, dan moeten ze, net zoals in de echte wereld, mij dingen vragen.
Niet stiekem allerlei data van mij verzamelen.

Dat ik (vaak) niet bereid ben om te antwoorden is pech voor hun, maar geeft ze geen enkel recht om dan maar op slinkse manier aan dezelfde gegevens (die nu dus illegaal verkregen zijn) te komen.
Die wet hebben we. In de volksmond wordt dat de 'cookiewet' genoemd. In die wet komt het woord cookie niet voor, er staat in welke informatie websites niet mogen bijhouden zonder toestemming. Voor veel websites is dat helaas nogal onhandig en dus wordt er alles aan gedaan om het voor te doen komen of het een domme aanval op cookies is. Ik snap ook wel dat het behoorlijk ellendig is als je inkomstenbron zo onderuit wordt gehaald, maar eigenlijk doet de wet precies wat je als gebruiker wil: voorkomen dat websites zomaar alles over je opslaan en doorgeven.
In winkels wordt je al jaren geteld als je een winkel binnenloopt
Maar de IKEA weet daarmee nog niet dat ik vlak daarvoor bij de Mac geweest ben.
als je weer eens met je Bonuskaart aftrekent.
Die heb ik niet.
In de echte wereld vinden we het de normaalste zaak van de wereld
Jij vindt het de normaalste zaak van de wereld dat - om maar eens een real-world voorbeeld te gebruiken - elke winkel waar jij komt een sticker op jouw rug plakt, zodat precies bekeken kan worden waar jij allemaal wel niet geweest bent en wanneer en welke artikelen je daar bkeken hebt? En dat ze dat gewoon doen zonder te vragen? En als de wetgever zegt 'dat mag niet' dat ze er dan gewoon mee doorgaan op een andere manier?
Geteld worden en een paar algemene gegevens registreren is niet zo erg. Maar als winkels achter mij aan lopen om alles te weten van mij, om al mijn vorige bezoeken bij te houden EN te weten in welke winkels ik nog meer kom, wordt het behoorlijk creepy.

Zeker, fysieke winkels zijn dat nu ook aan het doen met wifitracking. En ja, dat vind ik dus behoorlijk creepy en dat gebeurt dan ook niet met mijn foon.

En ik probeer het verder inderdaad te voorkomen, door zo min mogelijk de bonuskaart te gebruiken, die ook geen toestemming heeft voor het delen van persoonlijke informatie - al zal ik niet durven zeggen dat 'ie anoniem is, en meestal contant te betalen, klantenkaarten te weigeren en zelden mijn gegevens op te geven.

Kortom: ik vind het offline niet de normaalste zaak van de wereld en online ook niet - alleen blijkt het online nog veel moeilijker te voorkomen te zijn dan offline.
Beste The Zep Man, internet is een vrijwillige keuze. Zeker als de off- en online realiteit naast elkaar wilt leggen.
Ik weet niet of dat nog waar is en over een paar jaar zeker niet meer.
Probeer maar eens belasting te betalen, je bankzaken te doen, een studie te volgen, een baan te zoeken of een uitkering aan te vragen zonder internet.

Natuurlijk, je hebt altijd nog de keuze om in een kartonnen doos onder de brug te gaan wonen maar voor de meeste Nederlanders is een normaal leven zonder internet eigenlijk niet meer mogelijk.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2014 17:39]

Sorry, ik had wat helderder moeten zijn.
Ik schaar mezelf niet onder de groep die dit de normaalste zaak van de wereld vind, maar gezien het gebeurt blijken er genoeg te zijn die er wel zo over denken.
Dat is een zeer gevaarlijke manier van denken waar bedrijven vaak misbruik van maken. Door herhaaldelijk proefballonnetjes omhoog te laten gaan is het mogelijk om de publieke opinie te wijzigen wanneer dit soort aannames wordt gedaan. Misschien is er niemand in de wereld die er zo over denkt anders dan het bedrijf dat het implementeert. Dat maakt het niet automatisch correct om het toch te doen.
Tsja, dan gaan we toch gewoon tracken op TCP fingerprinting? En als dat dan niet meer werkt, dan komt er vast een bedrijfje dat sensors in de grond stopt om je loop te detecteren. Nokia had dacht ik al research gedaan vroeger waarmee je met de manier waarop je loopt geīdentificeerd kon worden. En als dat niet genoeg is, dan komt er vast een methode om heel snel je DNA te lezen van al die dode huidcellen en haar die je maar lekker rondstrooit als mens. Of er komt een manier om op afstand je hartslag te meten en dan kan je aan de hand daar van weer herkend worden, want dat is ook uniek.

En stel dat alle tracking mogelijkheden uiteindelijk uitgeput zijn en alles te anonimiseren is, dan komt er wel een bedrijf dat verzint dat je alleen nog maar iets met je te maken willen hebben als je een tracker van ze accepteert en gebruikt.
Nee, de ING wou inderdaad betaalinformatie verkopen aan derden partijen.

Als jij via pin je boodschappen betaald staan jouw pasgegevens op de kassabon. Alles wat op de kassabon staat, staat ook in het systeem van de supermarkt. De betreffende supermarkt doet verder niets met bijvoorbeeld de naam van de klant, maar het rekeningnummer wordt wel gebruikt om profielen zoals 'welke producten worden gekocht door terugkerende klanten'..

Daarnaast staat op elke kassabon een unieke orderid. Dat orderid zie niet alleen jij gewoon op je bankafschrift, maar welke retailer welke pin betalingen accepteert. Banken bieden zakelijke regelingen eenvoudige exports aan waarin datum/tijd, klantnaam, woonplaats, rekeningnummer, orderid, terminalid, bedrag en de opmerkingen staan.

Omdat JIJ aangeeft met pin te willen betalen, geef je de retailer op dat moment toestemming om jouw gegevens te verwerken.

De supermarkt gebruikte het rekeningnummer ook om te achterhalen welke filialen regelmatig worden bezocht. Als een relatief grote groep naar twee verschillende filialen gaat, dan ging men kijken of misschien een derde supermarkt een optie was.

Het rekeningnummer wordt in de profiel modellen alleen gebruikt als groeperingssleutel. Men kijkt dus niet specifiek naar jouw nummers, maar naar alle nummers in het algemeen.

supermarkten combineren ontzettend grote data stromen om elk filiaal het beste product aanbod te geven. Daarin zit zelfs een voorspellend model, want zodra er mooi weer op komst in, krijgt de filialen automatisch vanuit de centrale magazijnen extra BBQ producten. Gaat het (flink) vriezen, dan is er extra voorraad voor stampotten en gebonden soepen.

Supermarkten zijn op dit vlak echt niet zoveel anders dan een Google. Het draait allemaal om process optimalisatie. En hoe beter (completer) je profielen, hoe beter je forecoasting werkt..
Ghostery detecteert in ieder geval wel de AddThis tracker op whitehouse.gov. Je kan hem dan ook blokkeren, dus dat beantwoord denk ik je vraag.

Los daarvan is het belachelijk dat je iets dergelijks moet installeren en gebruiken als je niet getraceerd zou willen worden.
Enigzins offtopic:

Handig om te weten is dat wanneer er een update van Ghostery is (althans bij mij) dat je zelf handmatig de instellingen (Trackers) steeds moet controleren of alles nog wel wordt tegen gehouden. Dit is mij de afgelopen maanden al een aantal keren ontschoten en kreeg weer een zooi ads te zien op vele sites. Na het opnieuw aanvinken van de categorieen was dat weer gefixed.

Heb even vluchtig op de website van Ghostery gekeken maar kon zo 1 2 3 niet veel vinden over canvas fingerprinting vinden behalve dit:
https://purplebox.ghostery.com/post/1016024218

Voor de zekerheid nog even de pagina zelf waar de pdf in het artikel gevonden kan worden:
https://securehomes.esat....car/persistent/index.html

Nog wat informatie hierover:
http://gizmodo.com/what-y...-new-online-tr-1608455771
voorkomen is beter dan achteraf genezen met schoonmaak tool;
- https://www.ghostery.com/nl/
- https://tails.boum.org/
- http://noscript.net/
etc
Wat verwijdert BleachBit dan? Je lettertypen?
Het idee van fingerprinting is dat je geen cookies nodig hebt die de gebruiker kan verwijderen. Je maakt gewoon een plaatje, vult die met teksten in alle fonts die je kan bedenken, en afhankelijk van de fonts die op de computer staan komt daar een ander plaatje uit. Vervolgens gooi je nog andere informatie die vrij beschikbaar is zoals de browser en operating system net zo lang totdat je een uniek plaatje hebt voor elke bezoeker.
Vervolgens maak je een hash van het plaatje, store je die op de server en de volgende keer dat de gebruiker langs komt zal hij hetzelfde plaatje aanmaken en weet de server dus dat het dezelfde gebruiker is.

De enige manier om dit te voorkomen is dus door iedere keer genoeg informatie te veranderen (installeren en deīnstalleren van font packs, veranderen van browser, etc.) zodat de server je niet meer kan herkennen. Of met z'n alle een browser gebruiken die alleen Comic Sans in canvas afbeeldingen rendert, zodat bijna iedereen hetzelfde plaatje krijgt.
is het niet zo dan dat je browser alleen de beschikking heeft over de web-safe fonts? of kunnen ze je hele font library uitlezen? .. dat lijkt me op zich al een probleem dan, toch? is niet echt iets wat ik via m'n browser beschikbaar wil hebben die informatie
web-safe fonts bestaan niet. Dat zouden dan fonts zijn, neem ik aan, die op elke computer/tablet enz .zijn geīnstalleerd? Je had ooit wel web-safe kleuren, maar dat is inmiddels achterhaald.
Je kunt inderdaad al je fonts uitlezen. Twee sites waar je kunt zien wat je browser zo allemaal doorstuurt (als JavaScript utistaat, wordt dat gelijk 'n heel stuk minder):
https://panopticlick.eff.org/index.php
http://browserspy.dk/
Niet uniek genoeg om voor trackingdoeleinden te gebruiken, maar voeg daar andere gegevens zoals in de link van goeroeboeroe staat (https://panopticlick.eff.org/index.php) dan wel.

Kijk voor de grap maar eens in je eigen C:/Windows/Fonts mapje, voeg de kolom 'Date modified' toe door met je rechtermuis op de kolomheader te klikken en sorteer daar op. Je ziet dan welke allemaal na je Windows install zijn toegevoegd. Dit kan gewoon door een windows update zijn, die niet iedereen uitvoert, maar ook door andere software zoals je zelf al aangeeft. Gare bloatware van je printer/scanner, Adobe Photoshop, Flash. Ik kwam er 1 tegen van een Joomla template die ik volgens mij niet bewust heb geīnstalleerd.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*