Innovatie

Supercookies: het nieuwe gevaar?

0

Ze kwamen opeens in de media een paar dagen geleden: de supercookies! Waar je volgens Tweede Kamerleden al moest vrezen voor gewone cookies (‘digitale spionnetjes met gleufhoeden’) zijn er nu dus ook supercookies, waar, naar verluidt, de KGB bleekjes bij afsteekt. Brrr, eng! Het verhaal ging als volgt: Wall Street Journal kopte dat MSN en Hulu.com supercookies gebruiken waar je niet meer vanaf komt, en die heel moeilijk te detecteren zijn.

Dat klopt wel, maar journalisten die het bericht overnamen, lieten hun fantasie de vrije loop. Cookies konden bij wijze van spreken je bankrekening plunderen of besmeurd met modder midden in de nacht in je slaapkamer staan. Supercookies zijn een handig trucje. Niet netjes, maar ook niet meer dan dat. Het is vooral vervelend als je had gehoopt niet meer herkend te worden bij een site door simpelweg je cookies te wissen.

Hoe werken ‘gewone’ cookies?

Veel websites weten dankzij cookies dat je dezelfde bezoeker bent als vorige keer. Chatte je vorige keer bij MSN over een Lexus, dan kan MSN bij je volgende bezoek bannervertoningen aan Lexus verkopen voor meer geld dan aan ‘gewone’ bezoekers. Om te weten dat je diezelfde-over-Lexus-chattende bezoeker bent als de vorige keer, krijg je een cookie; een klein bestandje met een uniek nummer erin. Maar gooi je je cookies weg, dan weet MSN bij het volgende bezoek niet meer dat je dezelfde bent, die eerder belangstelling had voor een Lexus. Omdat je geen historie hebt kunnen ze de bannerruimte voor veel minder geld verkopen, want je bent weer ‘zomaar iemand’.

Wat is het verschil met supercookies?

Weinig mensen weten dat Flash (en nog heel wat andere browser plugins), zelf ook cookies kan bijhouden. Maar wis je je cookies, dan wis je alleen de cookies van je browser, níet de cookies van Flash! Elke plugin, dus ook Flash, heeft zijn eigen “cookie-pot” waar de browser zich niet mee bemoeit. En dáár zit de truc.

Dus plaatst MSN op de site 2 cookies:

  • eentje in de browser zelf,
  • eentje in een Flash-animatie op de pagina.

Stel, de bezoeker heeft zijn cookies gewist en komt terug op de site. Dan is het ID van MSN weg uit de browser cookie-pot, maar zit er in de Flash cookie-pot wél een MSN-ID. Deze wordt naar de cookie van de browser terug gekopieerd. En hopla, de bezoeker die zijn cookies gewist had, is gewoon weer bekend. Effect: elke keer als je cookies wist en je gaat weer naar MSN, is als bij toverslag dat MSN-ID cookie weer terug. Deze techniek is niet nieuw, banneraars doen het al heel lang. Banners zijn bijna altijd Flash-animaties, dus het ligt voor de hand om er gebruik van te maken.

Dat is toch raar?

Waarom worden Flash-cookies niet gewist als je je browsercookies wist? Simpel: dat is nu eenmaal de afspraak in browserland. Browsers ‘bemoeien’ zich niet met de plugins die erop geïnstalleerd zijn. Browsers geven geen privacy-commando’s aan plugins. Browsers vragen de plugins niet wat ze aan data hebben bijgehouden. Het is onontgonnen terrein.

Voor je privacy betekent dat het volgende: voor een site ben je een nummer. Of preciezer gezegd: je browser is een nummer. Een site weet pas wie er achter die browser zit, als je zelf die informatie geeft. Bijvoorbeeld door iets te bestellen, een profiel aan te maken en daar je NAW-gegevens achter te laten, of berichtjes te posten en daarin je naam en mail-adres te geven. Als je jezelf eenmaal bekend hebt gemaakt, blijf je bekend bij de site, ook al gooi je je cookies weg. Je blijft ‘plakken’ in de site, terwijl je dat niet had verwacht. Het is niet zo dat via supercookies privacy-informatie van de ene aanbieder bij de andere terecht komt. Althans, niet via Flash supercookies.

Hoe zit het met de “cookiewet” in deze?

De Telecommunicatiewet, die na het zomerreces naar de Eerste Kamer gaat, dekt ook supercookies. Je moet er toestemming voor vragen, net als voor gewone cookies. De wetgever heeft er rekening mee gehouden dat cookies lang niet de enige manier zijn om gegevens bij te houden. De nieuwe Telecommunicatiewet schakelt namelijk álle manieren van gegevens bijhouden gelijk, of dat nou gewone cookies, Flash cookies, supercookies, browser profiling of een toekomstige techniek is. Is er ongevraagde communicatie, zoals reclamebanners, dan moet de aanbieder daar vooraf  toestemming voor vragen en uitleg bij geven.

Tenzij het gaat om gevallen waarbij de (super)cookie ‘noodzakelijk’ is voor de werking. En dat maakt het vaag. Want de aanbieder vindt natuurlijk veel meer ‘noodzakelijk’ dan de consument of de privacy-activist. Dat wordt nog voer voor juristen. De voorbeelden die de parlementariërs zelf gaven in het Tweede Kamerdebat zijn voer voor discussie: winkelmandjes zijn noodzakelijk en lettergrootte aanpassen ook. Dat laatste valt te bezien.

De wet is niet te handhaven, en al helemaal niet als bijvoorbeeld een Nederlander gebruik maakt van een Belgische site die zich op Vlaanderen richt. Buitenlandse aanbieders zonder vestiging in Nederland gaan natuurlijk niet hun site aanpassen, want daar is de Nederlandse wet niet van kracht.

Wat is de oplossing ?

Voor de korte termijn zijn er speciale privacy-programmaatjes die zorgen dat zowel de browser als de meest bekende plugins hun cookies weggooien. Een ideale oplossing is het niet. Je moet als consument die plugins installeren op je browser, en niet vergeten ze te gebruiken.

In een ideale situatie zou een browser tegen de plugins moeten kunnen zeggen: “Beste plugins, mijn gebruiker wil geen cookies of soortgelijke dingen, respecteer dat!” Vervolgens moeten al die plugins, zoals Quicktime, Acrobat, Windows Media Player enzovoort, ‘begrijpen’ wat het voor hen betekent en de bedoelde gegevens weghalen. Zo ver zijn we helaas nog lang niet. Browsers en plugins doen daar gewoon niet aan. Browsers zullen daar het voortouw in moeten nemen. En als dat er is, moeten upgrades van die plugins naar zo’n bevel gaan luisteren. Dat upgraden gaat jaren duren.

Moeten we de makers van Flash een halt toeroepen?

Heeft het zin om via een publieke hetze de maker van Flash (Adobe) te dwingen om de cookie-instellingen van de bezoeker te respecteren? Nee. Niet echt. Stel dat ze daar gehoor aan geven? Dan heb je het hooguit ietsje lastiger gemaakt, en duurt het vervolgens nog een hele tijd voordat iedereen zijn Flash geüpgraded heeft. En ook dan nog zijn er nog zo veel andere manieren om bezoekers uit elkaar te houden:

  • In bijna alle plugins is het mogelijk op de één of andere manier een bezoekers-ID terug te lezen, vaak zonder dat zo’n plugin zelf kan zien dat het om een supercookie gaat. Sommige kunnen zelf bestandjes lezen en schrijven, bij andere kan het ID in een bestandsnaam verpakt worden.
  • Vrijwel alle moderne bestandstypen hebben toegewezen plekken voor metagegevens, bedoeld om willekeurige tekst (bijvoorbeeld een ID) in op te slaan.
  • Elke browser heeft een cache. Daar worden eerder opgehaalde afbeeldingen en webpagina’s opgeslagen, waardoor het laden van pagina’s veel sneller gaat. Elk gecached bestand kan gebruikt worden om supercookies in te verpakken. Cookies wegggooien en cache leeg gooien zijn op de meeste browsers twee verschillende handelingen.
  • Hyperlinks naar eerder bezochte sites kunnen van kleur verschieten (meestal van blauw naar paars). Die verkleuring kan uitgelezen worden, en daar kan dus ook supercookie informatie in verstopt worden.
  • En de allernieuwste: HTML5 biedt de mogelijkheid om complete, grote databases op je computer bij te houden, met onbegrensde mogelijkheden, met name op mobiele apparaten.

Dit is slechts een kleine greep uit vele mogelijkheden.

Wat is de moraal van het verhaal?

Er zijn te veel manieren om supercookies te maken om je tegen te wapenen. De geest is allang uit de fles. Tegen de tijd dat een lek zoals Flash supercookies de media bereikt, is men al met een alternatief bezig, en het wordt alleen maar minder zichtbaar. En wie een nieuwe manier verzint, houdt natuurlijk zijn mond en hoopt dat het niet ontdekt wordt. Zoals MSN tot voor kort deed.

De gemiddelde burger wil er liever niet over nadenken. Dat voelt veel te ongemakkelijk. De werkelijkheid is: je bent volstrekt overgeleverd aan de integriteit van degene waar je je gegevens achterlaat. Niet anders dan wanneer je in een restaurant volkomen achteloos je creditcard aan de ober meegeeft.