Zo kan het dat online advertenties je blijven volgen

Door: Toon van Daele | 27 juli 2022 08:57

How To

Stel, je googelt naar elektrische grasmaaiers en bezoekt een paar webwinkels. Daarna blijven de volgende dagen de grasmaaiers je koppig achtervolgen, op bijna iedere webpagina. Hoe kan dat en hoe voorkom je het? In dit artikel gaan we dieper in op browsertracking.

Webadverteerders willen maar al te graag weten wat je interesses zijn en in welke producten of diensten die interesses zich vertalen. Anders gezegd: ze willen uitvinden welke advertenties het meeste kans maken om door jou te worden aangeklikt, waarbij zo’n klik bij voorkeur uitmondt in een informatieaanvraag of zelfs een aankoop (de zogeheten conversie). 

Wanneer je dus googelt naar een grasmaaier bijvoorbeeld en je bezoekt een paar gerelateerde websites, dan is de kans reëel dat je zo’n apparaat wilt aanschaffen. Het gevolg is dat je op de meeste uiteenlopende sites een tijdlang hiervoor gerichte advertenties te zien krijgt (het zogeheten retargeting). Het waarom is hiermee duidelijk, maar het hoe blijkt wat complexer en schimmiger.

In dit artikel lichten we de belangrijkste methodes toe waarmee allerlei online advertentiebureaus je sporen op het web volgen en je proberen te profileren. Een tipje van de sluier opgelicht: waar het voorheen vooral draaide om cookies, komt nu meer en meer fingerprinting in beeld.

Cookies

Cookies bestaan al meer dan 25 jaar en zijn vooralsnog de meest gebruikte traceermethode. Het zijn kleine tekstbestandjes die een webserver op je pc kan achterlaten wanneer je een pagina op die site bezoekt. In zo’n tekstbestand kan bijvoorbeeld je voorkeurstaal of de inhoud van je winkelwagen worden opgeslagen (functionele cookies) of ze vertellen de webserver wanneer en hoelang je bepaalde webpagina’s op die site hebt bezocht (analytische cookies). 

Zulke cookies zijn op zich vrij onschuldig. Eigenlijk, ze kunnen ze zelfs helpen om je surfervaring efficiënter en/of comfortabeler te maken. Daar is dus weinig mis mee, ook omdat webservers in principe alleen cookies kunnen inlezen die ze zelf op je systeem hebben achtergelaten. Website B kan dus niet de cookies zien die website A heeft geplaatst. Niks aan de hand, lijkt het, maar dat is buiten de trackingcookies gerekend.

In Chrome kun je via de Instellingen bekijken welke cookies er allemaal op je computer geplaatst zijn.

Tracking cookies

Stel, je bezoekt website A en die heeft een deal gesloten met website B, en die houdt in dat website B op website A advertenties of zelfs zogeheten webbugs mag plaatsen. Dit zijn voor de internetgebruiker onzichtbare webelementen, zoals een minuscuul transparant plaatje, een stijltag of een script. Als site B iets op de webpagina van site A heeft geplaatst, kan site B zijn eigen cookies nu ook op jouw systeem achterlaten én weer inlezen, iedere keer als je site A bezoekt. Dit zijn dus cookies van een derde partij (naast jezelf en site A), waar je je als internetgebruiker meestal niet echt bewust van bent. 

Ga je ervan uit dat site B een groot webadvertentiebureau is dat op vele duizenden sites advertenties of webbugs heeft geplaatst, dan begrijp je wel dat dit advertentiebureau via al die cookies kan achterhalen welke die sites je allemaal bezocht hebt. Op deze manier kan het van jou een mooi internetprofiel samenstellen en dit bijvoorbeeld aan adverteerders of schimmiger instanties doorverkopen.

Zulke ‘cross-site tracking’ cookies worden door menigeen verafschuwd en dus worden ze door steeds meer browsers standaard geblokkeerd, onder meer door Firefox, Safari en Brave. In Chrome moet je dat zelf instellen. Tik daarvoor chrome://settings/privacy in de adresbalk in, selecteer Cookies en andere sitegegevens en activeer Cookies van derden blokkeren.

Firefox blokkeert standaard trackingcookies van derde partijen.

Traceer mij niet!

In principe is het niet eens zo moeilijk het tracken te stoppen, want in bijna alle browsers zit al jaren een ‘do not track’-functie. Dit houdt in dat je browser websites duidelijk maakt dat je niet gevolgd wilt worden. Helaas trekken de meeste websites zich daar niets van aan. Met GPC (Global Privacy Control) kwam er vanaf 2020 een nieuwe poging. Ook hier gaat het om een ‘traceer mij niet’-signaal dat door je browser kan worden uitgestuurd, maar dit initiatief wordt ook door de AVG, oftewel GDPR, ondersteund. 

Het is op dit moment nog steeds de vraag of GPC veel zal uithalen. In de browser Brave is dit signaal in ieder geval alvast standaard ingeschakeld. In Firefox moet je dat zelf nog even doen. Tik about:config in op de adresbalk en zoek naar globalprivacycontrol. Vervolgens zet je privacy.globalprivacycontrol.enabled en privacy.globalprivacyocontrol.functionality.enable op True.

Controleer of het GPC-signaal goed doorkomt door naar www.globalprivacycontrol.org te surfen (bovenaan de pagina zie je dan een groen of rood lampje branden). Voor browsers als Chrome en Edge zijn er extensies beschikbaar als Disconnect, OptMeowt en Privacy Badger.

Baat het niet, dan schaadt het niet: zet het GPC-signaal in Firefox aan.

Sluw DOM

Via (tracking)cookies kunnen websites dus in beperkte mate data op je systeem bewaren en later weer inlezen. Helaas blijken cookies niet de enige weg waarlangs websites data kunnen opslaan en gebruiken. Het gebeurt ook met het zogeheten html5 web storage, ook wel DOM-storage (Document Object Model) genoemd.

Een klein experiment met Chrome verduidelijkt dit. Surf naar www.youtube.com en druk op Ctrl+Shift+I. In het venster Hulpprogramma’s voor ontwikkelaars klik je bovenaan op de dubbele pijlknop en kies je App, waarna je zowel (de tijdelijke) Sessiesopslag als (de vaste) Lokale opslag opent. Je kunt nu zien dat YouTube ook langs deze weg allerlei data bewaart. En dat is nog veel meer dan via de klassieke cookies (circa 10 MB versus 4 kB). Op www.kwikr.nl/domstor kun je meer lezen over deze vorm van lokale opslag.

Ook deze data kun je verwijderen: klik in het linkerpaneel met rechts op de url en kies Wissen. Wil je in één keer alle lokale opslag uit je browser verwijderen, druk dan op Ctrl+Shift+Delete, plaats een vinkje bij Cookies en andere sitegegevens, stel Periode in op Alles en bevestig met Gegevens wissen. Hierdoor worden meteen ook alle cookies uit Chrome verwijderd.

Cookies zijn (lang) niet meer de enige manier voor websites om data lokaal op te kunnen slaan.

Ip-adres

Zelfs zonder een vorm van lokale opslag, of dat nu om cookies of DOM-opslag gaat, verraadt je browser best veel over je systeem. Zo geeft je browser het ip-adres door aan elke bezochte webserver. Logisch, want deze moet wel weten waar hij de gevraagde webpagina naartoe moet sturen.

Surf maar eens naar www.iplocation.net: die vertelt je onder meer met welk publiek ip-adres je surft. De kans is groot dat je met een ip-adres surft dat door je internetprovider dynamisch is toegekend, maar dit volstaat om je land en vaak ook de regio van herkomst te bepalen. Wie weet gebruikt een webwinkel deze informatie wel om je net wat duurdere prijzen voor te schotelen of om jou de toegang tot de bepaalde diensten op de website te ontzeggen, zoals bij www.bbc.co.uk/iplayer.

Wil je je eigen publieke ip-adres onzichtbaar maken, dan kun je met Tor Browser via een anoniem netwerk surfen. Dit kan trouwens ook met Brave, via de sneltoets Alt+Shift+N, of je zet een VPN-service in.

Een Tor-sessie binnen Brave maskeert je eigen publieke ip-adres.

Referer

Een webserver kan niet alleen je eigen ip-adres loggen, maar ook het webadres van de site van waaruit je naar die webserver hebt doorgeklikt. Probeer het gerust uit, bijvoorbeeld met Chrome. Surf naar www.google.nl, zoek hier naar computer totaal en klik op de link die naar de website van Computer!Totaal voert. Druk op Ctrl+Shift+I en ga in het paneel naar Console, waar je in het witte venster document.referrer intikt: er verschijnt nu ‘https://www.google.nl/’. Oftewel: je browser verraadt van welke site je komt.

Om deze zogeheten gerefereerde informatie te blokkeren, kun je een extensie als Referer Control installeren, maar deze oplossing is wel vrij bewerkelijk.

Fingerprinting

Cookies, DOM-opslag, ip-adressen, referers … Wie dacht dat hiermee het arsenaal aan trackingmethodes is uitgeput, heeft het verkeerd. Webservers nemen namelijk steeds vaker hun toevlucht tot zogeheten fingerprinting-technieken. Onder het kopje ‘Ip-adres’ vertelden we al dat browsers doorgaans behoorlijk loslippig zijn, maar naast je ip-adres en de referer geven ze nog allerlei andere (systeem)informatie door, zoals de gebruikte browserversie (‘user agent’), de geïnstalleerde browserextensies, je besturingssysteem, de geïnstalleerde fonts, het gebruik van DNT of GPC, je taal en tijdzone enzovoort. Al deze elementen samen vormen een unieke vingerafdruk die maakt dat je systeem over verschillende sites heen kan worden geïdentificeerd.

Om te weten in hoeverre je eigen browsers aan zo’n fingerprint herkenbaar zijn, hoef je maar te surfen naar een site als https://amiunique.org/fp, www.deviceinfo.me of https://coveryourtracks.eff.org te surfen. Surf ook even naar www.browserleaks.com/canvas. Deze site controleert of je browser herkenbaar is aan de manier waarop die een onzichtbare figuur tekent via html5 - zogeheten canvas-fingerprinting - want zelfs dit blijkt vaak voldoende om een browser te identificeren!

Altijd al gedacht dat ik uniek was. Helaas blijkt dat te kloppen …

Anti-fingerprinting: browser

Fingerprinting wordt steeds meer ingezet en dus is de vraag: hoe kunnen we ons hiertegen verdedigen? In de ideale wereld beschermt de browser ons tegen zulke technieken, en met browsers als Firefox en vooral Brave komen we aardig in de buurt.

Laten we beginnen met Brave. Surf naar een willekeurige site, klik op het schildicoon rechts van de adresbalk en kies Geavanceerde instellingen / Algemene standaardinstellingen. In principe kun je alle instellingen zo laten staan. Merk wel op dat je Fingerprinting blokkeren van Standaard in Strikt, kan websites doen stukgaan kunt wijzigen, maar je het moge duidelijk zijn dat hier nadelen aan kunnen zitten. Ook zie je dat Cookies blokkeren hier standaard op Alleen cross-site staat ingesteld, dat lijkt ons prima.

In Firefox ga je als volgt te werk: ga naar Instellingen en kies Privacy & Beveiliging, waar je Browserprivay instelt op Standaard of eventueel op Streng of Aangepast. In het laatste geval kun je zelf aangeven waartegen de browser je moet helpen beschermen: Cookies (en welke), Volginhoud, Cryptominers en/of Fingerprinters. Schuw je het experiment niet, dan kun je de beveiliging nog wat aanscherpen. Tik about:config in de adresbalk in en zoek naar privacy.resistFingerprinting, waarna je deze optie op True instelt.

Brave heeft wel een solide, maar helaas (nog) geen waterdichte beveiliging tegen fingerprinting.

Resultaten

We gingen na welke resultaten de beschermingstechnieken van Brave en Firefox opleverden, zowel via AmIUnique als bij Cover Your Tracks. De resultaten zijn helaas niet eenduidig. Bij Firefox gaven beide diensten aan dat onze browser uniek was, ongeacht of we de standaard of de strikte fingerprint-beveiliging activeerden en ongeacht of we dat vanuit de privémodus deden. Bij Brave gaf AmIUnique eveneens aan dat onze browser uniek was, zowel in de strikte modus als in incognitomodus, met of zonder Tor. 

Cover Your Tracks gaf in alle gevallen aan dat onze browser over een ‘randomized fingerprint’ beschikte en dat zowel trackingadvertenties als onzichtbare trackers werden geblokkeerd. In incognitomodus mét Tor bleek het aantal detecteerbare eigenschappen ook iets lager (16.71 informatiebits versus 17.71 zonder Tor).

Wat fingerprinting betreft blijkt Brave dus iets beter en veiliger dan Firefox, maar is ook niet ‘waterdicht’. We vermoeden overigens dat de controle bij AmIUnique iets anders – of grondiger – verloopt dan bij Cover Your Tracks. 

Verder maakt het, althans voor de technieken die door de twee controlesites worden getest, niet zo veel uit of je de standaardbescherming of de strikte variant gebruikt. De incognitomodus maakt al helemaal geen verschil, en dat is niet verbazingwekkend, omdat die modus vooral gericht is op het afschermen van je surfsporen tegen lokale pottenkijkers.

Ironisch genoeg wordt ook het DNT-signaal als een onderscheidend kenmerk door fingerprinters ingezet.

Anti-fingerprinting: extensies

Chromium-browsers als Chrome en Edge lopen momenteel wat achter als het op ingebouwde beveiliging tegen fingerprinting aankomt. Wel kun je voor extra beveiliging zorgen in de vorm van browserextensies.

Zo probeert de extensie Trace allerlei trackers te blokkeren en tot op zekere hoogte ook fingerprinting tegen te gaan. Maar helaas bleken zowel Chrome als Edge ook met de ingeschakelde Trace-extensie nog altijd ‘uniek’ in de ogen van zowel AmIUnique als Cover Your Tracks. Het is niet zo dat de extra bescherming daardoor meteen helemaal waardeloos is, maar wel dat deze geen absolute garanties biedt.

Vermeldenswaardig is de extensie Privacy Badger (zie het kader ‘Traceer mij niet!’). Deze extensie heeft het vooral op trackers en advertenties gemunt, maar zou ook canvas-fingerprinting moeten tegengaan, net als de extensie Canvas Fingerprint Defender. Beide extensies bleken op onze twee testsites evenmin een merkbaar verschil te geven.

Wie wil weten hoe de fingerprint van zijn browser eruitziet, ook over verloop van tijd, en een notificatie wil ontvangen zodra deze wijzigt, kan de browserextensie AmIUnique installeren (beschikbaar voor Chromium en Firefox).

Alles bij elkaar ziet het ernaar uit dat op dit moment de browser Brave over de beste verdedigingstechnieken tegen fingerprinting beschikt.

De extensie Trace beschikt over een indrukwekkend instellingenpaneel, maar echt effectief is de tool vooralsnog niet.

FLoC flopt

Google heeft al langer door dat gebruikers niet blij zijn met trackingcookies en dat deze methode langzamerhand achterhaald wordt door technieken als fingerprinting. Daarom kondigde het bedrijf enige tijd geleden, binnen het project Privacy Sandbox, groots aan dat trackingcookies binnenkort vervangen zouden worden door een alternatieve techniek: FLoC (Federated Learning of Cohorts). Het komt erop neer dat gebruikers worden opgedeeld in gedragsgroepen (cohorten), gebaseerd op hun sitebezoek en interesses. Dit profiel wordt uitsluitend lokaal berekend, in de browser zelf en dus niet langer op externe servers.

Maar FLoC stuitte op flink wat weerstand, zowel bij privacyvoorvechters als bij adverteerders. Zodanig zelfs dat Google inmiddels een aangepaste techniek heeft voorgesteld, met de naam Topics. Interesses van de gebruiker worden hierbij bepaald op basis van het zoekgedrag van de afgelopen week en het geheel wordt slechts drie weken bewaard, waarna het opnieuw wordt berekend. In tegenstelling tot bij FLoC wordt bij Topics geen ID gecreëerd: de adverteerders krijgen alleen te weten wat de actuele interesses zijn, op basis waarvan ze dan advertenties kunnen tonen.

Hoe dan ook, als het van Google afhangt, zijn trackingcookies tegen eind 2023 voorgoed verleden tijd.

Cookies (links) versus Topics (rechts) - zoals Google het voor zich ziet.

Meer weten over het beschermen van je online privacy? Check de cursus Beveiliging en Privacy.

0 Reactie(s) op: Zo kan het dat online advertenties je blijven volgen

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.