Big Brother is watching you, zeker op het internet. Wie op internet actief is, laat vaak onbewust allerlei sporen achter. Sites kunnen via cookies internetters traceren en analyseren. Weg privacy.
Deze schokkende constatering staat te lezen in de scriptie ‘Cookies: Sweeties, Smarties of Monsters?’ van de Groningse studente informatiekunde Nicoline Braat. Zij analyseerde 53 duizend cookies om te bepalen wat voor gegevens er precies worden verzameld en hoe er vervolgens met die informatie wordt omgesprongen.
Het beeld dat uit dat onderzoek naar voren komt, is weinig geruststellend. “De beheerder van een website heeft de mogelijkheid om gegevens te verzamelen over bezoekers”, schrijft Braat. “De meeste websites doen dit door gebruik te maken van het cookie-mechanisme, ofwel het Http State Management Protocol.”
Dat laatste is een mechanisme waarbij de server informatie kan opslaan en weer oproepen uit een tekstfile (een cookie) aan de kant van de cliënt, ook als de verbinding tussen de server en de cliënt verbroken is.
“Dit houdt in”, schrijft Braat, “dat de server op de computer van de internetbezoeker een tekstfile plaatst, die het mogelijk maakt om informatie over de bezoeker te behouden.” Zo kan ‘de server de gebruiker identificeren en diens gedrag analyseren’.
En dat alles zonder dat de internetter het weet, want doorgaans melden sites hem niet dat er privé-gegevens worden opgeslagen, waarvan door de slechte beveiliging ook derden gebruik kunnen maken.
Die beveiliging is volgens Braat zo slecht omdat het Http State Management Protocol niet ontworpen is om persoonsgegevens op te slaan. “Het mechanisme kan niet garanderen dat het mechanisme het lekken van informatie voorkomt. Daarbij slaat het mechanisme gegevens op geen enkele wijze beveiligd op. Deze tekortkomingen zijn zorgwekkend, omdat ze ernstige gevolgen kunnen hebben voor zowel de gebruiker als de gegevensverzamelaar.
De privacy is dus ver te zoeken. “Het cookie-mechanisme voldoet alarmerend slecht aan de gestelde privacy-eisen”, concludeert Braat. “Dit betekent dat iedere website elk gegeven kan verzamelen dat de gebruiker bloot geeft.”
Maar hoe vaak gebeurt dat daadwerkelijk? Uit Braats onderzoek blijkt dat ‘bijna een derde (31,97 procent) van de cookies in de database marketing-cookies zijn en gegevens verzamelen voor marketingdoeleinden. Daarnaast bestaat de database voor 12,10 procent uit preference cookies, die de persoonlijke instellingen van de gebruiker bijhouden’.
Zijn internetters overgeleverd aan de grillen van websitebouwers? Als je Braat mag geloven wel. “Het systeem biedt vooral voordelen aan gegevensverzamelaars en schendt op meerdere manieren de privacy van de internetgebruiker.” Vervolgonderzoek moet volgens haar uitwijzen dat het Http State Management Protocol moet worden aangepast om de privacy veilig te stellen.
www.rug.nl/let/scriptieBraat
Deze schokkende constatering staat te lezen in de scriptie ‘Cookies: Sweeties, Smarties of Monsters?’ van de Groningse studente informatiekunde Nicoline Braat. Zij analyseerde 53 duizend cookies om te bepalen wat voor gegevens er precies worden verzameld en hoe er vervolgens met die informatie wordt omgesprongen.
Het beeld dat uit dat onderzoek naar voren komt, is weinig geruststellend. “De beheerder van een website heeft de mogelijkheid om gegevens te verzamelen over bezoekers”, schrijft Braat. “De meeste websites doen dit door gebruik te maken van het cookie-mechanisme, ofwel het Http State Management Protocol.”
Dat laatste is een mechanisme waarbij de server informatie kan opslaan en weer oproepen uit een tekstfile (een cookie) aan de kant van de cliënt, ook als de verbinding tussen de server en de cliënt verbroken is.
“Dit houdt in”, schrijft Braat, “dat de server op de computer van de internetbezoeker een tekstfile plaatst, die het mogelijk maakt om informatie over de bezoeker te behouden.” Zo kan ‘de server de gebruiker identificeren en diens gedrag analyseren’.
En dat alles zonder dat de internetter het weet, want doorgaans melden sites hem niet dat er privé-gegevens worden opgeslagen, waarvan door de slechte beveiliging ook derden gebruik kunnen maken.
Die beveiliging is volgens Braat zo slecht omdat het Http State Management Protocol niet ontworpen is om persoonsgegevens op te slaan. “Het mechanisme kan niet garanderen dat het mechanisme het lekken van informatie voorkomt. Daarbij slaat het mechanisme gegevens op geen enkele wijze beveiligd op. Deze tekortkomingen zijn zorgwekkend, omdat ze ernstige gevolgen kunnen hebben voor zowel de gebruiker als de gegevensverzamelaar.
De privacy is dus ver te zoeken. “Het cookie-mechanisme voldoet alarmerend slecht aan de gestelde privacy-eisen”, concludeert Braat. “Dit betekent dat iedere website elk gegeven kan verzamelen dat de gebruiker bloot geeft.”
Maar hoe vaak gebeurt dat daadwerkelijk? Uit Braats onderzoek blijkt dat ‘bijna een derde (31,97 procent) van de cookies in de database marketing-cookies zijn en gegevens verzamelen voor marketingdoeleinden. Daarnaast bestaat de database voor 12,10 procent uit preference cookies, die de persoonlijke instellingen van de gebruiker bijhouden’.
Zijn internetters overgeleverd aan de grillen van websitebouwers? Als je Braat mag geloven wel. “Het systeem biedt vooral voordelen aan gegevensverzamelaars en schendt op meerdere manieren de privacy van de internetgebruiker.” Vervolgonderzoek moet volgens haar uitwijzen dat het Http State Management Protocol moet worden aangepast om de privacy veilig te stellen.
Comments are closed.