Protocol internet cookies deugt niet

27 januari 2005, 13:06

Onderzoek van de Groningse studente Informatiekunde Nicoline Braat naar het verzamelen van persoonlijke gegevens op internet, levert schokkende resultaten op. Het protocol voor het gebruik van internet cookies blijkt zo lek als een mandje en overtreedt alle binnen de EU geldende privacy-regels.

Cookies zijn tekstbestanden met informatie over de gebruiker die websites opslaan op de computer van de gebruiker. Er bestaat veel onduidelijkheid over het gebruik van cookies. Een internetgebruiker heeft geen idee welke gegevens en hoeveel gegevens websites over hem verzamelen. Daarnaast is het niet duidelijk wat er met deze informatie gebeurt en wie daar inzage in heeft. Studente Nicoline Braat analyseerde 53.000 cookies om in kaart te brengen welke gegevens websites verzamelen. Daarnaast toetste zij hoe geschikt het protocol is om op grote schaal persoonlijke gegevens te verzamelen.

Privacy

Uit de resultaten blijkt dat het cookie-mechanisme alarmerend slecht aan de wettelijke privacy eisen voldoet. Het protocol geeft namelijk geen enkele informatie aan de gebruiker en controleert de gegevensverzamelaar en de verzamelde gegevens niet inhoudelijk. Dit betekent in de praktijk dat iedere website elk gegeven kan verzamelen dat de webgebruiker bloot geeft. Het protocol biedt vooral voordelen aan gegevensverzamelaars en schendt op meerdere manieren de privacy van de internetgebruiker. Vervolgonderzoek zal moeten uitwijzen hoe men het protocol kan aanpassen om wel te voldoen aan de wetgeving.

Veiligheid

Ook schiet het protocol ernstig tekort wat betreft de veiligheidseisen. Het kan niet garanderen dat het lekken van informatie aan derden wordt voorkomen. Ook treft het cookie-mechanisme geen beveiligingsmaatregelen bij het opslaan van de informatie. Dit betekent dat deze gegevens inzichtelijk zijn voor iedereen. Dat kan zelfs leiden tot het misbruik van inlognamen en wachtwoorden. Ten slotte worden deze gegevens onnodig lang bewaard: 30% wordt vijf tot twaalf jaar bewaard en 24% zelfs 30 tot 37 jaar.

Lees verder:

http://odur.let.rug.nl/alfa/scripties/NicolineBraat.html

Marco Derksen
Partner bij Upstream

Oprichter/partner Upstream, Marketingfacts, Arnhem Direct, SportNext, TravelNext, RvT VPRO, Bestuur Luxor Live, social business, onderwijs, fotografie en vader!

Categorie
Tags

17 Reacties

    Anders

    Het protocol schiet tekort? Wat een ontiegelijke onzin. Dat is hetzelfde als stellen dat videocamera’s alarmerend slecht aan de wettelijke privacy-eisen voldoen.

    Natuurlijk is er wat aan te merken op de manier waarop je via cookies allerlei gegevens kunt verzamelen en koppelen (bezoekgegevens aan ingevulde naw-gegevens in formulieren, bijvoorbeeld) zonder dat de gebruiker dat doorheeft. Maar met een camera kun je ook veel gegevens verzamelen. Is het dan terecht om je pijlen te richten op het de technische werkwijze van camera’s, in plaats van op degene die ‘m opereert?


    27 januari 2005 om 13:19
    media

    Anders, een protocol is geen techniek of product (zoals een videocamera) maar een werkwijze (zoals je zelf aan eind ook opmerkt). En op de werkwijze mbt cookies is inderdaad nogal wat aan te merken.


    27 januari 2005 om 13:26
    Arnout Veenman

    Dit is echt onzin! Cookies bevatten informatie, het is een informatie drager en daarbij bevat het protocol ervoor dus het systeem om ze aan te maken, verwijderen, lezen, schrijven en de toegangsrechten er voor. Echter is een cookie enkel een locatie/website gebonden informatie drager en de informatie die er door wordt gedragen wordt niks over gezet.

    De informatie een cookie zou je ook kunnen versleutelen, of je zou zelfs enkel een unieke code in een cookie kunnen zetten om de gebruiker in een later stadium te kunnen identificeren en alle informatie verder centraal in een database opslaan, in dat geval lijkt me dat cookies ineens wel voldoen aan de gestelde privacy eisen.

    Samengevat zijn cookies enkel een middel om informatie over een gebruiker op te slaan en deze ook gedurende een later stadium te kunnen identificeren. Enkel het gebruik/de implementatie van het cookie protocol/mechanisme kan niet voldoen aan de regels, niet het cookie protocol/mechanisme opzichzelf.


    27 januari 2005 om 14:20
    media

    Lekkere spraakverwarring hier 😉 Volgens mij zijn we het met elkaar eens dat niet het cookie of het cookiemechanisme niet deugt, maar de wijze waarop hier mee wordt omgegaan. Alhoewel ook op het mechanisme verbeteringen denkbaar zijn waarmee de betrouwbaarheid kan worden verbeterd.


    27 januari 2005 om 14:30
    Stefan

    Niks nieuws onder de zon, waarom zouden anders programma’s als Ad-Aware een groot aantal cookies in hun databestanden hebben staan?

    Ze schrijft: “Websites gebruiken het cookie mechanisme dus voornamelijk voor geavanceerde toepassingen. Daarbij slaan zij deze gegevens hoofdzakelijk in een database op de server op.”

    Het feit dat ik NU mijn naam zie staan in het ‘name’ vakje geeft dus aan dat je een geavanceerde toepassing gebruikt Marco, knap hoor!!

    Raar dat niet ingaat op het gebruik van cookies en de koppeling aan IP adressen. Dáár zit nou net het enige verschil in, alle overige informatie kan zowel clientside als serverside worden opgeslagen.


    27 januari 2005 om 14:40
    media

    Stefan, dat is nu juist het punt; er is ook niets nieuws onder de zon. Het zorgwekkende is dat slechts weinigen weten wat er nu precies gebeurt met een cookie. Ik heb haar scriptie nog niet gelezen maar het zou inderdaad interessant zijn als ze schrijft over de koppeling van cookie aan IP-adres of nog verder, de koppeling van cookie, IP-adres en telefoonnummer (dit laatste is wat Klipping/Cendris doet).


    27 januari 2005 om 14:50
    Ronald

    Wat me opvalt bij dit bericht is dat bijna alle media (nu.nl, planet, telegraaf) het bericht plaatsen zonder de naam van de studente maar wel met de naam van de hoogleraar. Het persbericht is dus blijkbaar de deur uitgegaan zonder daarin de naam van de studente!?


    27 januari 2005 om 16:34
    Evert Jan

    Waar ik benieuwd naar ben is naar schrijnende voorbeelden van Privacy overtredingen o.b.v. cookies.

    Iemand?


    27 januari 2005 om 21:29
    Peter

    Bij alle spyware van tegenwoordig lijkt mij eventueel misbruik van cooky’s een verwaarloosbaar probleem.


    27 januari 2005 om 21:50
    media

    @EJ: Denk niet dat die er zijn; waar het (voor zover ik het heb gelezen) om gaat is dat de internetgebruiker onvoldoende op de hoogte is van de gegevens die van hem (of haar) (kunnen) worden vastgelegd. En dat daar goede afspraken over moeten worden gemaakt die er al wel op Europees niveau zijn, maar die blijkbaar in Nederland nog steeds niet zijn geimplementeerd.

    @Peter: Zoals eerder gezegd ligt het gevaar ook niet bij cookies alleen; het gaat om de combinatie van gegevens die worden vastegelegd.


    27 januari 2005 om 22:01
    Evert Jan

    Welke afspraken op europees niveau zijn er Marco?

    Dat is toch de basis zou je zeggen.


    27 januari 2005 om 22:15
    Peter

    Cookie: een briefkaartje dat wel eens in verkeerde handen zou kunnen vallen.

    Spyware: ’s nachts, als je ligt te slapen, dringt er een mannetje je huis binnen, doorzoekt al je laden en kasten, en fotografeert alle documenten die hij kan vinden.

    Waarom zou je je druk maken om cookies? Het is alsof je broodkorsten uit een biobak eet en je afvraagt of de bakker wel de juiste voorschriften m.b.t. hygiëne heeft gevolgd.


    27 januari 2005 om 22:20
    media

    Yep, geen hond die het leest maar het staat er in ieder geval wel 🙂


    27 januari 2005 om 22:30
    Evert Jan

    Een zogenaamd ‘redactiestatuut’ Marco.

    Dat jij zegt dat niemand het leest zegt niets over de waarde.

    Het is daarentegen wel een waardevol voorbeeld hoe bedrijven hiermee omgaan.

    Jammer dat je er geen antwoorden uit haalt op de vragen die je hierover hebt.

    Het blijkt toch dat het gaat om regeltjes, en niet om het technische proces?


    27 januari 2005 om 22:45
    Evert Jan

    @Anders. Treffende cijfers!

    Zeer interessant.


    27 januari 2005 om 22:53
    tifkap

    De studie is zo flawed als maar kan .. ik zou hier niemand op laten slagen.

    Foute assumpties / idiote statements :

    * Een cookie word opgeslagen in een text-file, en is dus leesbaar voor iedereen.

    Je kan ook cookies opslaan in een encrypted DB. Sterker nog, een text-file is de minst voor de hand liggende manier om cookies in op te slaan, omdat je dan geen index hebt, wat nogal langzaam wordt als je 1000’en cookies hebt. Natuurlijk zijn ‘alle bets off’ als anderen toegang tot je systeem hebben! Hoe moeilijk is het te begrijpen dat je geen gevoelige data moet opslaan op een systeem waar iedereen bij kan?

    * Cookie-ID’s geven geen inzicht in de informatie die bijgehouden wordt in de server over een gebruiker, en zijn dus slecht voor de privacy.

    Dit is iets wat totaal los staat van de cookies. Je bent ook in staat om aan de hand van de userid (basic auth), of combi IP-adress+user-agent bij te houden wat iemand uitspookt op jouw site. De correcte probleemstelling zou in dit geval moeten zijn dat het uniek kunnen tracken van een user op een site slecht is voor de privacy.

    * Quote: Cookies .. ‘zijn ontworpen als methode om bij te houden welke producten een gebruiker wil aanschaffen op het internet’.

    Dat is onzin. Quote van rfc2965 : ‘This document specifies a way to create a stateful session with Hypertext Transfer Protocol (HTTP) requests and responses.’

    * Quote ‘Door het informeren over te laten aan de internet browser wordt de betrokkenen inadequaat geinformeerd en de rechten van de gebruiker niet volledig beschermd’ .

    Bescherm tegen wie? Tegen sites die de privacy schenden!

    Laten we deze zin even herschijven :

    ‘Doordat sites die informatie verzamelen het informeren over te laten aan de internet browser wordt de betrokkene inadequaat geinformeerd en de rechten van de gebruiker niet volledig beschermd’

    nogmaals :

    ‘Sites die de privacy schenden en het informeren daarover overlaten aan de browser beschermen de rechten van de gebruiker niet adequaat.’

    nogmaals :

    ‘Sites die de gebruiker een poot uitdraaien, en dat niet vertellen aan de gebruiker, draaien de gebruiker een poot uit.’

    * Cookies verhinderen een site om de gebruiker te vertellen dat gegevens verzameld worden, en/of te vertellen welke gegevens dat zijn.

    Dit is weer onzin, omdat er geen enkele reden is waarom een site met een webapp die een cookie zet niet eerst de gebruiker informeerd waarom de cookie gezet wordt.

    * Quote : ‘het RFC document geeft geen aanwijzingen over het soort gegevens dat de gegevensverzamelaar wel of niet mag verzamelen’

    Stel dat de RFC had gezegt: Je mag geen surfgedrag bijhouden. Hoe had de rfc dat willen afdwingen? Surfgedrag bijhouden is gebruik van een technologie, en net zo min af te dwingen als zeggen dat je een hamer niet mag gebruiken om iemand de kop in te slaan.

    * Quote : ‘In de RFC’s is geen waarschuwing te vinden dat het mogelijk is om de wet te verbreken’

    ROTFL


    31 januari 2005 om 17:00
    Hoa

    Men heeft mij gezegd om cookies regelmatig te verwijderen van je pc om zo je pc te vrijwaren van overtollige dingen. Kan men cookies verwijderen en hoe doe ik dat? Is het wel veilig om dat te doen aangezien ik volgens verschillende teksten hier lees dat het om persoonlijke gegevens gaat.


    26 maart 2005 om 19:59

Marketingfacts. Elke dag vers. Mis niks!