Wat zijn cookies en hoe nuttig of gevaarlijk zijn ze?

© PXimport

Wat zijn cookies en hoe nuttig of gevaarlijk zijn ze?

Geplaatst: 29 januari 2017 - 06:07

Aangepast: 14 december 2022 - 14:28

Toon van Daele

Wanneer je een website (voor de eerste keer) bezoekt is de kans groot dat je een pop-up of een balkje ziet verschijnen met de vraag of je akkoord gaat met het cookiebeleid en met het aanvaarden van cookies. Maar wat zijn cookies eigenlijk? Zijn ze nuttig of zitten er ook schaduwkanten aan? Wat zegt de wet? En hoe beheer je al die cookies dan?

Wat gaan we doen?

Tip 01: Wall versus banner

Laten we beginnen met een klein experiment. Bezoek even www.emerce.nl en vervolgens ook www.cookierecht.nl. In beide gevallen stuit je op een melding rond het gebruik van cookies op de site. In het eerste geval krijg je af te rekenen met een zogenoemde cookiewall: pas wanneer je Ja, ik geef toestemming aanklikt kun je de site bezoeken. In het tweede geval krijg je een cookiebanner te zien: je kunt het pop-upvenstertje ook gewoon sluiten en je hebt zonder meer toegang tot de site. Hierbij geef je (impliciet) te kennen dat je akkoord gaat met het plaatsen van bepaalde cookies – net alsof je de knop Accepteren hebt ingedrukt. Overigens tref je in deze pop-up ook de knop Instellingen aan, waarna je specifiek kunt aangeven welk type cookies je toelaat. De sitebeheerder omschrijft deze drie types als: Strikt noodzakelijk, Statistiek en Extern (o.a. sociale media). Allemaal nogal verwarrend dus, zeker voor wie niet goed weet wat cookies precies zijn. Hoog tijd dus om daar wat helderheid in te scheppen.

Tip 01 Sommige sites laten de bezoeker zelf kiezen welke (types) cookies hij accepteert.

© PXimport

Cookies kunnen allerlei gebruikersgegevens vasthouden, bijvoorbeeld de inhoud van je winkelmandje

-

Tip 02: ‘Stateful’ sessies

Cookies zijn in feite weinig meer dan heel kleine tekstbestandjes die door een webserver op je computer worden geplaatst. Dat kan zeker nuttig zijn. Wanneer je browser namelijk een verbinding opzet met een webserver gebeurt dat via het http-protocol. Dit protocol is echter ‘stateless’, wat betekent dat gebruikersgegevens over de verschillende webpagina’s of sitebezoeken heen niet onthouden worden door de webserver. Dat houdt meteen in dat je bij elk nieuw bezoek opnieuw je voorkeuren (zoals taal of land) moet ingeven en dat is niet bepaald handig. Om nou die surfsessies toch ‘stateful’ te maken, zetten websites cookies in. Die kunnen namelijk allerlei gebruikersgegevens vasthouden, zoals je taalvoorkeur, je login-ID of de inhoud van je winkelmandje. Wanneer je later opnieuw die site bezoekt, wordt het bijhorende cookiebestand ingelezen en hoef je die gegevens niet opnieuw in te vullen op de site.

In Chrome bijvoorbeeld maakt je de (inhoud van de) cookies als volgt zichtbaar. Klik het knopje met de drie puntjes aan en kies Instellingen. Kies onderaan Geavanceerde instellingen weergeven, druk bij Privacy op de knop Instellingen voor inhoud en vervolgens op Alle cookies en sitegegevens. Dubbelklik op een cookie om de inhoud te zien. In Edge gaat dat als volgt: druk op F12 en ga naar het tabblad Foutopsporing. In het linkervenster vouw je vervolgens Cookies open.

Of je zet hiervoor een externe tool in als IECookiesView, MozillaCookiesView of ChromeCookiesView, allemaal hier te vinden. Zo’n tool opstarten volstaat om alle opgeslagen cookies van de bijhorende browser te zien.

Tip 02 Op deze manier maak je (de inhoud van) cookies zichtbaar in Chrome.

© PXimport

Tip 03: Functionele cookies

Het lijkt er dus op dat cookies alleen maar goed nieuws zijn voor de gebruiker, maar alle ophef, mede naar aanleiding van de opeenvolgende besluiten in de Europese wetgeving (zie kader ‘De wet’), doet wellicht al anders vermoeden. Zoals reeds aangegeven bestaan er namelijk verschillende types cookies. In tip 2 hadden we het eigenlijk alleen over functionele cookies, die nodig zijn om de gebruiker efficiënt een website te laten bezoeken, zoals dus het onthouden van taalvoorkeuren, login-ID of de inhoud van je winkelmandje. Vaak zitten hier trouwens zogenoemde sessiecookies bij, die automatisch verdwijnen zodra je de surfsessie beëindigt (in tegenstelling tot meer permanente cookies die in principe op je schijf blijven staan tot een ingestelde vervaldatum is bereikt). Voor functionele cookies hoeft volgens de (nieuwste) cookiewet geen expliciete toestemming aan de gebruiker gevraagd te worden.

Tip 03 (Functionele) cookies uitgeschakeld? Dan lukt aanmelden bij Google niet meer!

© PXimport

Tip 04: Analysecookies

Er bestaan echter ook analysecookies. Die zetten websitebeheerders in om inzicht te krijgen in het gebruik van hun site. Een bekend voorbeeld zijn de cookies afkomstig van het erg populaire Google Analytics, waarmee beheerders onder meer een goed beeld krijgen van hoe de gebruiker zich door de webpagina’s beweegt. Wat deze Google Analytics-cookies betreft: wil de sitebeheerder aan een verplichte expliciete toestemming van de gebruiker ontsnappen, dan moet hij onder meer voorkomen dat het volledige IP-adres van de gebruiker richting Google wordt gestuurd.

Tip 04 Ook het populaire Google Analytics maakt intensief gebruik van (analyse)cookies.

© PXimport

De wet

Een paragraaf (11.7a) uit de Telecommunicatiewet waarin regels staan over het gebruik van cookies.

© PXimport

Tip 05: Marketingcookies

Tot slot zijn er nog de marketingcookies en het is vooral dit type dat cookies een wat wrange nasmaak geeft. Deze cookies zijn er namelijk op gericht een bezoeker te volgen op internet en/of om die zoveel mogelijk persoonsgerichte reclame te kunnen tonen – denk aan cookies van Facebook of Twitter. Voor dit type cookies is het wettelijk verplicht de expliciete toestemming van de gebruiker te vragen.

In veel gevallen heb je hier bovendien met zogenoemde third party-cookies te maken, cookies van een derde partij dus. In de regel is het namelijk alleen mogelijk dat een webserver cookies inleest die van hetzelfde domein afkomstig zijn als de website die je op dat moment bezoekt. Zo’n restrictie is echter snel omzeild. Het volstaat dat bijvoorbeeld een of ander online marketingbedrijf, zoals Google DoubleClick, een banner of een (al dan niet zichtbaar) plaatje op een webpagina van een andere website plaatst – met instemming van de beheerders van die site – om zelf ook cookies uit hun eigen domein op je computer te kunnen plaatsen zodra je die webpagina bezoekt. Wanneer je dan naderhand een andere site bezoekt, waar datzelfde marketingbedrijf ook content heeft geplaatst, dan weet dit bedrijf dat het om dezelfde gebruiker gaat – of in ieder geval om dezelfde computer of browser. Op deze manier kan een surfprofiel van jou worden samengesteld en krijg je bijvoorbeeld reclame te zien die op je vermeende interesses is afgestemd. Zulke cookies worden daarom ook wel indirecte cookies of traceercookies genoemd.

Tip 05 Cookies van derden: in de meeste browsers kun je die blokkeren.

© PXimport

In de meeste browsers kun je tot op zekere hoogte cookies beheren

-

Tip 06: Traceercookies

Afhankelijk van de site die je bezoekt kun je (bepaalde) cookies al dan niet accepteren, maar sites als www.cookierecht.nl, waar je als bezoeker zelf kunt bepalen welke cookietypes je wilt toelaten, zijn zeldzaam. In de meeste browsers kun je tot op zekere hoogte cookies beheren. We kunnen ons wel voorstellen dat je niet meteen happig bent op traceercookies en die kun je eenvoudigweg blokkeren. In Chrome doe je dat via Instellingen / Geavanceerde instellingen weergeven / Instellingen voor inhoud, waarna je een vinkje plaatst bij Indirecte cookies en sitegegevens blokkeren. In Edge loopt dat eveneens over Instellingen / Geavanceerde instellingen weergeven, waarna je bij Cookies de optie Alleen cookies van derden blokkeren selecteert (andere opties zijn hier nog: Geen cookies blokkeren en Alle cookies blokkeren, maar met deze laatste blokkeer je dus ook functionele cookies waardoor sommige sites niet goed meer zullen werken).

Overigens tref je in beide browsers ook een ‘do not track’-functie aan, waarbij je browser de bezochte website zal verzoeken om geen traceercookies (en aanverwante technieken) te gebruiken. In Chrome vind je deze functie in de rubriek Privacy (Een verzoek voor niet bijhouden met je browseverkeer verzenden); in Edge in de rubriek Privacy en services (Do Not Track-aanvragen verzenden). Let wel, het gaat slechts om een verzoek; je hebt dus geen enkele garantie dat een site je verzoek inwilligt.

Tip 06 ‘Do not track-’functie: goedbedoeld, maar in de praktijk weinig effectief.

© PXimport

Tip 07: Verwijderen

Je kunt wel op elk moment cookies uit je browser verwijderen. In Chrome doe je dat als volgt. Klik de knop met de drie puntjes aan en kies Geschiedenis / Geschiedenis / Browsegegevens wissen. Zorg dat er een vinkje staat bij Cookies en andere site en plug-ingegevens, stel de gewenste periode in – om alle cookies te verwijderen stel je De volgende items verwijderen van in op het eerste gebruik. Bevestig met Browsegegevens wissen. Merk trouwens de opmerking boven aan het dialoogvenster op: “De volgende keer kan het handig zijn de incognitomodus (Ctrl+Shift+N) te gebruiken”. Inderdaad, wanneer je in deze modus surft worden alle cookies automatisch verwijderd zodra je de sessie afsluit – dat geldt bijvoorbeeld ook voor de ‘InPrivate navigatie-modus’ van IE of Edge.

Wil je dat Chrome altijd alle cookies automatisch wist zodra je de browsersessie stopzet, ga dan naar Instellingen / Geavanceerde instellingen weergeven / Instellingen voor inhoud en vink de optie aan: Lokale gegevens alleen bewaren totdat je je browser sluit.

Cookies wissen in Edge kan als volgt: ga naar Instellingen en klik op Kies wat u wilt wissen, waarna je hier Cookies en opgeslagen websitegegevens aanvinkt. Wil je dat Edge dat automatisch doet wanneer je de browser afsluit, zet dan de schakelknop bij Dit altijd wissen bij sluiten van browser op Aan.

Tip 07 Je kunt op elk moment cookies verwijderen (of dat automatisch laten doen bij het afsluiten van je browser).

© PXimport

Tip 08: Selectief beheer

Natuurlijk, wanneer je alle cookies in één klap wist, raak je ook de (vaak nuttige) functionele cookies kwijt. Nu kun je in principe wel vanuit een browser als IE, Firefox of Chrome aangeven van welke sites je cookies al dan niet wilt toelaten, maar dat werkt behoorlijk omslachtig. Voor selectief cookiebeheer zet je daarom beter een externe tool in. Een van de betere is de browser plug-in Ghostery, beschikbaar voor zowat alle bekende browsers. Het komt er in essentie op neer dat deze plug-in aangeeft welke trackers een bezochte website bevat, opgedeeld in Reclame, Site-analyse en Essentieel (lees: functioneel), waarna je met een paar muisklikken aangeeft welke trackers (cookies) je al dan niet accepteert, hetzij specifiek voor deze site, hetzij voor alle sites.

Er zijn ook nog andere goede cookiebeheerders, waaronder opensource-tool EditThisCookie (voor Chrome en Opera) en Firefox plug-in Advanced Cookie Manager. Beide tools zijn echter vooral bedoeld voor (wat gevorderde) gebruikers die het hele cookieverhaal in hun browsers nauwgezet willen volgen.

Tip 08 Ghostery ontmaskert alle trackers en geeft jou meer controle.

© PXimport

Er bestaan nog heimelijker en hardnekkiger varianten dan de klassieke http-cookies!

-

Tip 09: Nog meer cookies

Zonder het met zoveel woorden te zeggen hebben we ons in dit artikel vooral gefocust op klassieke http-cookies, die dus via het http-protocol worden uitgewisseld. Er bestaan echter ook nog een paar andere cookies of cookie-verwante technieken, die vaak nog hardnekkiger en heimelijker zijn. Zo zijn er bijvoorbeeld de Flash-cookies, ook wel LSO’s (Local Shared Objects) genoemd. In tegenstelling tot de klassieke http-cookies is hier geen vervaldatum ingebouwd en kunnen ze bovendien veel meer data bevatten: standaard 100 kB, in tegenstelling tot de bescheiden 4 kB van een klassiek cookie. Deze cookies belanden op je schijf via de Flash Player plug-in van je browser.

Verder zijn er nog cookies die gebruikmaken van ‘web storage’ oftwel DOM-storage (Document Object Model), afkomstig uit html5, en ook externe plug-ins als java en Silverlight laten lokale opslag toe. En wat dacht je bijvoorbeeld van ‘browser fingerprinting’: iedere browser bevat een hele reeks eigenschappen (zoals plug-ins, schermresolutie, systeemfonts, headers, user agent, enz.) en gecombineerd blijken die eigenschappen een browser een tamelijk unieke ‘fingerprint’ te geven. Ook op basis hiervan zou een webserver dus jouw browser kunnen identificeren. Voer zelf maar eens de test uit door hiernaartoe te surfen en de knop Test me in te drukken. Op het einde van de rit klik je dan op Show full results for fingerprinting. Slechts één op de 153.000 browsers bleek dezelfde fingerprint als de onze te hebben … Niet meteen een geruststellende gedachte.

Tip 09 Browsers blijken vaak te identificeren aan (een unieke combinatie van) een aantal eigenschappen.

© PXimport

Tip 10: Supercookie-aanval

Wil je ook op ‘supercookies’ als Flash en DOM-storage jagen, dan kun je eventueel een gratis tool als PrivaZer inzetten. Toegegeven, de interface oogt wat warrig, maar je kunt het als volgt aanpakken. Surf hiernaartoe en klik op Downloaden / Downloaden van de draagbare versie. Voer het programma uit en vink Ga naar hoofdmenu aan. Bevestig met Volgende. In het uitklapvenster kies je Internetactiviteiten, waarna je (alleen) een vinkje plaatst bij Cookies. Klik eventueel ook even Om te behouden aan: dan toont PrivaZer je van welke sites of domeinen cookies niet zullen verwijderd worden.

Vervolgens druk je op de knop Scan. Na afloop klik je Cookies – [x-aantal] aan. Klik de kolomtitel Type aan, zodat de cookies gesorteerd worden volgens type. PrivaZer herkent onder meer http-cookies en die van Flash, html5 en Silverlight. Je zet de opruimactie in gang met Schoon op.

Tip 10 PrivaZer: een warrige interface, maar wel een gehaaide cookie-jager.

© PXimport

Cookies bakken

Een eenvoudig scriptje volstaat om een blijvende cookie te creëren en weer in te lezen.

© PXimport

Deel dit artikel
Voeg toe aan favorieten