Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Sander van Voorst

Nieuwsredacteur

Advertentiealternatief of malware?

Cryptocoins verdienen met andermans cpu

Door , 277 reacties

Is het draaien van een miningscript legaal?

Het gebruiken van de cpu van bezoekers brengt juridische en ethische vragen met zich mee. Laten we vooropstellen dat een aantal interessante gebruiksscenario's denkbaar is, zoals de vervanging van advertenties of als een soort captcha. Die scenario's zijn volledig afhankelijk van een transparante en eerlijke implementatie.

Het gebruiken van de cpu van een bezoeker van een site is niet zonder gevolgen voor die bezoeker. Zo wordt er veel van de processor gevergd en neemt het verbruik toe, wat elektriciteitskosten met zich meebrengt. Beveiligingsbedrijf Trustwave nam de proef op de som en liet een standaard desktopcomputer een dag lang Monero delven op een site die was voorzien van de standaard Coinhive-miner. Het verbruik nam toe met ongeveer 1,2kWh ten opzichte van het normale verbruik, wat niet veel is. Toch is het zonder toestemming inzetten van een JavaScript-coinminer bezwaarlijk, omdat de bezoeker geen keuze wordt gelaten.

Website-eigenaren kunnen in principe zelf de toegangseisen voor hun website bepalen

Dan is er nog het juridische aspect, wat ook terugkwam in een blogpost van ict-jurist Arnoud Engelfriet. Hij stelt dat website-eigenaren in principe zelf de toegangseisen voor hun website kunnen bepalen. Dus als ze daar een coinminer voor willen gebruiken, dan is dat toegestaan. De Nederlandse Telecommunicatiewet, waarin de 'cookiewet' is verankerd, eist echter dat toestemming wordt gevraagd als 'informatie wordt opgeslagen op of toegang wordt verkregen tot randapparatuur van een gebruiker'. Daarover moet ook de nodige informatie worden verstrekt. Dit heeft geleid tot de huidige 'cookiemuren', maar het is ook door te trekken naar het uitvoeren van het Coinhive-script, dat aan de kant van de gebruiker wordt uitgevoerd. Er zijn uitzonderingen, bijvoorbeeld als de opslag of toegang nodig is om een bepaalde dienst te leveren of als anders geen communicatie mogelijk is. Die lijken hier echter niet van toepassing. Het wetsartikel in kwestie was oorspronkelijk bedoeld om spyware en dergelijke software tegen te gaan en kan in dit geval bescherming bieden.

Dat het Coinhive-script voor gebruikers negatieve effecten heeft, concludeerden naderhand ook adblockers en beveiligingsbedrijven. Zo schreef Malwarebytes dat het de Coinhive-code gelijkstelt met drive-by-downloads, waarbij bezoekers van een site ongevraagd een bestand downloaden. Inmiddels blokkeren veel van deze partijen Coinhive en zijn er bovendien speciale browserextensies te vinden die hetzelfde effect hebben. Het team achter de coinminer realiseerde zich wellicht iets te laat dat het niet standaard inbouwen van een opt-in-mogelijkheid een verkeerde beslissing was, die ertoe leidde dat sites hun bezoekers niet over de aanwezigheid van de code informeerden.

Daarom kwam het team korte tijd na de introductie van Coinhive met een alternatief onder de naam AuthedMine. De techniek erachter is dezelfde, behalve dat er nu om toestemming wordt gevraagd. Geeft de gebruiker eenmaal zijn toestemming voor het draaien van de code, dan blijft die 24 uur geldig. Het team claimt dat het niet mogelijk is om de opt-in te omzeilen. In de blogpost vroeg het adblockers en beveiligingsbedrijven om deze variant niet te blokkeren, maar tegen die tijd waren er al voldoende met Coinhive vergelijkbare projecten ontstaan.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*