Je kent het waarschijnlijk wel: je gaat online op zoek naar een hotel in Madrid en in de dagen daarna word je op allerlei websites bestookt met aanbiedingen voor Madrileense hotels. Welkom in de wondere wereld van tracking. In een reeks artikelen bespreken we wat tracking precies is, hoe het werkt en wat je ertegen kunt doen. In dit vijfde deel maken we kenis met andere soorten cookies.

Dit is het vijfde deel van een serie over tracking. Het eerste deel vind je hier.

Supercookies

In het vorige deelHet vorige artikel over tracking ging over ‘gewone’ cookies. hebben we naar cookies gekeken. Met cookies kunnen websites informatie over jou opslaan in je browser en later weer opvragen. In de voorbije jaren zijn er nieuwe soorten cookies ontwikkeld. De oorspronkelijke, ‘gewone’ cookies die we in het vorige deel besproken hebben, worden ook wel HTTP-cookies genoemd. De nieuwere soorten cookies worden gezamenlijk meestal supercookies genoemd. Supercookies zijn veel minder bekend dan de gewone HTTP-cookies en vaak zij ze veel geniepiger. Flash-cookies zijn één van de verschillende soorten supercookies waar een aantal jaren veel om te doen was.

Flash-cookies

Flash is een browserplugin die websites meer multimediamogelijkheden biedt, zoals het afspelen van filmpjes. Flash was vroeger een belangrijk onderdeel voor veel websites, maar het raakt steeds meer in onbruik. Er worden namelijk steeds nieuwe veiligheidslekken in Flash ontdekt. Deze veiligheidslekken worden meer dan eens actief misbruikt door kwaadwillende hackers. Gelukkig zijn er moderne en betere alternatieven voor de Flash-plugin. Alle grote browsers zijn hun ondersteuning voor de Flash-plugin daarom aan het uitfaseren. Toch wordt Flash vandaag de dag nog door een klein aantal websites gebruikt en is het nog op veel computers geïnstalleerd.

Flash heeft een eigen soort cookies. Officieel heten ze Local Shared Objects (LSO’s), maar vaak worden ze gewoon Flash-cookies genoemd. Tot een paar jaar geleden vormden deze Flash-cookies een zorgwekkend privacygevaar.

Iedere website die Flash gebruikt, kan zo’n Flash-cookie op je computer zetten (als je de Flash-plugin geïnstalleerd hebt tenminste). Op zich is daar niets mis mee. Net als met de gewone HTTP-cookies zijn er genoeg legitieme redenen voor het gebruik van Flash-cookies, bijvoorbeeld om het geluidsvolume voor filmpjes te onthouden. Maar uiteraard kunnen Flash-cookies ook gebruikt worden voor trackingdoeleinden.

Er waren twee redenen waarom Flash-cookies zich goed leenden voor tracking. Ten eerste wisten de meeste mensen niet van het bestaan van Flash-cookies. Trackingbedrijven konden met Flash-cookies dus ongestoord hun gang gaan. Ten tweede waren Flash-cookies heel moeilijk te verwijderen. Als je dus al wist dat ze bestonden, dan was het lastig om je ertegen te beschermen. Je kon ze namelijk niet vanuit je browser verwijderen, zoals gewone HTTP-cookies. Het resultaat was dat Flash-cookies op veel computers lang bleven bestaan, en meestal zonder dat de gebruikers dat wisten.

Maar dit was niet alles. In 2009 ontstond grote ophef en verontwaardigingDe onderzoekers die het gebruik van Flash-cookies voor cookie respawning ontdekten, publiceerden hun bevindingen in dit artikel. toen werd ontdekt dat trackingbedrijven Flash-cookies gebruikten om verwijderde HTTP-cookies weer terug te zetten. Dit wordt cookie respawningEen artikel van Wired over cookie respawning. genoemd. Een website slaat dan twee cookies op je computer op: een gewone HTTP-cookie én een Flash-cookie. Als je in je browser je HTTP-cookies verwijdert, blijft de Flash-cookie bestaan. De website gebruikt de Flash-cookie om de verwijderde HTTP-cookie weer terug te zetten. Hierdoor is het voor trackers eenvoudig om je te blijven volgen, zelfs als je al je HTTP-cookies hebt verwijderd. Wat het nog erger maakt, is dat trackers dit stiekem deden. Je dacht dat je al je cookies verwijderd had, maar achter je rug om werden ze weer teruggezet, alsof ze nooit verwijderd waren.

Verscheidene trackingbedrijven bleken zich aan deze achterbakse praktijken schuldig te maken en werden voor de rechter gesleept. Eén van hen, trackingreus Quantcast, schikteDetails over de schikking van Quantcast. uiteindelijk voor 2,4 miljoen dollar.

Ook Adobe, de maker van Flash-plugin, kreeg kritiek. Waarom hadden zij het zo lastig gemaakt om Flash-cookies te verwijderen? Kort daarna heeft Adobe aanpassingen doorgevoerd waardoor Flash-cookies nu wel verwijderd worden vanuit je browser: als je nu je in je browser je ‘gewone’ cookies verwijdert, worden al je Flash-cookies ook verwijderd. Flash-cookies zijn dus gelukkig nu niet meer zo’n groot gevaar. Bovendien wordt dat gevaar steeds minder omdat het gebruik van Flash op zijn retour is. Toch blijft het incident relevant als indicatie van de werkwijze en mores van trackingbedrijven.

ETags

Flash-cookies zijn niet de enige soort supercookies. Zogeheten ETagsHet Wikipedia-artikel over ETags. worden ook als supercookies gebruikt. Een ETag is een soort ID-code die gebruikt wordt om een specifieke versie van een webpagina (of een onderdeel van een webpagina, zoals afbeeldingen) te identificeren. ETags zijn bedoeld om het web sneller te maken en dataverkeer te verminderen. Ze worden door de webserver meegestuurd (als HTTP-header) met de opgevraagde webpagina. Als je browser een eerdere versie van een webpagina in zijn cache heeft, checkt hij eerst of de ETag van die webpagina is veranderd voordat hij ’m opnieuw opvraagt. Als de ETag niet is veranderd, hoeft de browser de webpagina niet opnieuw te downloaden.

ETags kunnen echter ook gebruikt worden om bezoekers te tracken. Iedere bezoeker krijgt dan een unieke ETag toegestuurd. Als je de website dan later weer bezoekt, stuurt je browser die ETag weer terug om te checken of de website ondertussen veranderd is. Hierdoor kan de website jou identificeren. Op deze manier lijken ETags dus erg op de bekende HTTP-cookiesEen demonstratie van de werking van ETag-tracking..

In 2011 werd de trackingtechiek ontdektThe Register berichtte ook over de ontdekking van ETag-tracking. op een aantal sites. Microsoft bleek de techniek te gebruikenTechnische details over het gebruik van ETag-tracking op Microsoft-sites. om bezoeker-ID’s uit te wisselen tussen zijn sites, waaronder bing.com en msn.com. Na de ontdekking wilde Microsoft er niet veel over zeggen, maar verwijderde uiteindelijk wel de trackingcode van zijn websitesMeer over Microsofts ETag-tracking..

Tegen tracking met ETags kun je je niet eenvoudig beschermen. Het beste wat je kunt doen, is regelmatig de cache van je browser legenDeze site heeft instructies voor het legen van de cache., bijvoorbeeld iedere keer dat je je browser afsluit.

Evercookies

Evercookies (ook wel zombiecookies) gaan nog een stapje verder. Deze cookies combineren verschillende soorten cookies om informatie op te slaan. Als je je cookies op één plek hebt verwijderd, kunnen de overgebleven cookies worden gebruikt om die cookie weer terug te zetten. Evercookies maken gebruik van zo’n tien verschillende soorten cookies. De gebruikte soorten varieert: de ontwikkeling van nieuwe webtechnologieën, of kwetsbaarheden in de bestaande, maken nieuwe soorten cookies mogelijk. Het is dus bijzonder lastig om een evercookie helemaal te verwijderenDeze website demonstreert de werking van evercookies. Je kunt er zelf ervaren hoe moeilijk het is om van een evercookie af te komen..

Er zijn tot op heden geen websites ontdekt waar evercookies daadwerkelijk worden gebruikt voor trackingdoeleinden. Maar het is natuurlijk niet ondenkbaar dat evercookies – of wellicht een afgezwakte variant – wel degelijk op die manier gebruikt worden. Evercookies hebben in ieder geval de interesse van de NSA gewekt. Uit de Snowden-documenten bleek dat de NSA overwoog evercookies te gebruikenEvercookies werden genoemd in deze presentatie van de NSA. om Tor-gebruikers te volgen.

Naast al deze soorten cookies is er een geheel andere manier om internetters te volgen: device fingerprinting. Hierbij kijken trackers naar allerlei details van je laptop of smartphone en leiden daar een unieke ‘vingerafdruk’ uit af. Hoe dat precies werkt, is het onderwerp van het volgende artikel.

Dit was het vijfde deel van een serie over tracking. Het eerste deel vind je hier.