Protocol internet cookies deugt niet

Protocol internet cookies deugt niet

Onderzoek van de Groningse studente Informatiekunde Nicoline Braat naar het verzamelen van persoonlijke gegevens op internet, levert schokkende resultaten op. Het protocol voor het gebruik van internet cookies blijkt zo lek als een mandje en overtreedt alle binnen de EU geldende privacy-regels.

Cookies zijn tekstbestanden met informatie over de gebruiker die websites opslaan op de computer van de gebruiker. Er bestaat veel onduidelijkheid over het gebruik van cookies. Een internetgebruiker heeft geen idee welke gegevens en hoeveel gegevens websites over hem verzamelen. Daarnaast is het niet duidelijk wat er met deze informatie gebeurt en wie daar inzage in heeft. Studente Nicoline Braat analyseerde 53.000 cookies om in kaart te brengen welke gegevens websites verzamelen. Daarnaast toetste zij hoe geschikt het protocol is om op grote schaal persoonlijke gegevens te verzamelen.

Privacy
Uit de resultaten blijkt dat het cookie-mechanisme alarmerend slecht aan de wettelijke privacy eisen voldoet. Het protocol geeft namelijk geen enkele informatie aan de gebruiker en controleert de gegevensverzamelaar en de verzamelde gegevens niet inhoudelijk. Dit betekent in de praktijk dat iedere website elk gegeven kan verzamelen dat de webgebruiker bloot geeft. Het protocol biedt vooral voordelen aan gegevensverzamelaars en schendt op meerdere manieren de privacy van de internetgebruiker. Vervolgonderzoek zal moeten uitwijzen hoe men het protocol kan aanpassen om wel te voldoen aan de wetgeving.

Veiligheid
Ook schiet het protocol ernstig tekort wat betreft de veiligheidseisen. Het kan niet garanderen dat het lekken van informatie aan derden wordt voorkomen. Ook treft het cookie-mechanisme geen beveiligingsmaatregelen bij het opslaan van de informatie. Dit betekent dat deze gegevens inzichtelijk zijn voor iedereen. Dat kan zelfs leiden tot het misbruik van inlognamen en wachtwoorden. Ten slotte worden deze gegevens onnodig lang bewaard: 30% wordt vijf tot twaalf jaar bewaard en 24% zelfs 30 tot 37 jaar.

Lees verder:
http://odur.let.rug.nl/alfa/scripties/NicolineBraat.html


Geplaatst in

Delen



Er zijn 22 reacties op dit artikel

  • Het protocol schiet tekort? Wat een ontiegelijke onzin. Dat is hetzelfde als stellen dat videocamera's alarmerend slecht aan de wettelijke privacy-eisen voldoen.

    Natuurlijk is er wat aan te merken op de manier waarop je via cookies allerlei gegevens kunt verzamelen en koppelen (bezoekgegevens aan ingevulde naw-gegevens in formulieren, bijvoorbeeld) zonder dat de gebruiker dat doorheeft. Maar met een camera kun je ook veel gegevens verzamelen. Is het dan terecht om je pijlen te richten op het de technische werkwijze van camera's, in plaats van op degene die 'm opereert?

    geplaatst op
  • Anders, een protocol is geen techniek of product (zoals een videocamera) maar een werkwijze (zoals je zelf aan eind ook opmerkt). En op de werkwijze mbt cookies is inderdaad nogal wat aan te merken.

    geplaatst op
  • Dat kan het ook zijn, echter het gaat hier over een protocol in de zin van de Official Internet Protocol Standards.

    Daarbij gaat het om niks meer of minder dan een technische beschrijving van hoe een bepaald technisch mechanisme werkt. Zie http State Management voor het cookie-mechanisme dat Nicoline Braat aanhaalt in haar scriptie.

    Dit is te vergelijken met het TCP/IP-protocol en het HTTP-protocol, om twee protocollen te noemen die mensen misschien wel eens tegenkomen bij internetproblemen en dergelijke: beide protocollen betreffen een technische werking van een bepaald internetmechanisme, en hebben geen betrekking op (gebruikers)ethiek.

    Ik heb de indruk dat Braat problemen met de gebruikersethiek wil wijten aan een technisch protocol. Dat vind ik op zich een verkeerde gedachtengang. Wel zou ik een veiliger protocol, waarbij het technisch moeilijker wordt om zonder medeweten van de gebruiker gegevens te verzamelen, toejuichen. Hierin zouden echter ook browsers een rol kunnen spelen, die kunnen een technisch protocol immers op hun eigen manier implementeren. Veel browsers zijn ook al actief op dat gebied, en Firefox en Internet Explorer hebben in hun recentere versies de gebruiker aanzienlijk meer controle gegeven over de toepassing van cookies.

    geplaatst op
  • Dit is echt onzin! Cookies bevatten informatie, het is een informatie drager en daarbij bevat het protocol ervoor dus het systeem om ze aan te maken, verwijderen, lezen, schrijven en de toegangsrechten er voor. Echter is een cookie enkel een locatie/website gebonden informatie drager en de informatie die er door wordt gedragen wordt niks over gezet.

    De informatie een cookie zou je ook kunnen versleutelen, of je zou zelfs enkel een unieke code in een cookie kunnen zetten om de gebruiker in een later stadium te kunnen identificeren en alle informatie verder centraal in een database opslaan, in dat geval lijkt me dat cookies ineens wel voldoen aan de gestelde privacy eisen.

    Samengevat zijn cookies enkel een middel om informatie over een gebruiker op te slaan en deze ook gedurende een later stadium te kunnen identificeren. Enkel het gebruik/de implementatie van het cookie protocol/mechanisme kan niet voldoen aan de regels, niet het cookie protocol/mechanisme opzichzelf.

    geplaatst op
  • Lekkere spraakverwarring hier ;-) Volgens mij zijn we het met elkaar eens dat niet het cookie of het cookiemechanisme niet deugt, maar de wijze waarop hier mee wordt omgegaan. Alhoewel ook op het mechanisme verbeteringen denkbaar zijn waarmee de betrouwbaarheid kan worden verbeterd.

    geplaatst op
  • Niks nieuws onder de zon, waarom zouden anders programma's als Ad-Aware een groot aantal cookies in hun databestanden hebben staan?

    Ze schrijft: "Websites gebruiken het cookie mechanisme dus voornamelijk voor geavanceerde toepassingen. Daarbij slaan zij deze gegevens hoofdzakelijk in een database op de server op."

    Het feit dat ik NU mijn naam zie staan in het 'name' vakje geeft dus aan dat je een geavanceerde toepassing gebruikt Marco, knap hoor!!

    Raar dat niet ingaat op het gebruik van cookies en de koppeling aan IP adressen. Dáár zit nou net het enige verschil in, alle overige informatie kan zowel clientside als serverside worden opgeslagen.

    geplaatst op
  • Stefan, dat is nu juist het punt; er is ook niets nieuws onder de zon. Het zorgwekkende is dat slechts weinigen weten wat er nu precies gebeurt met een cookie. Ik heb haar scriptie nog niet gelezen maar het zou inderdaad interessant zijn als ze schrijft over de koppeling van cookie aan IP-adres of nog verder, de koppeling van cookie, IP-adres en telefoonnummer (dit laatste is wat Klipping/Cendris doet).

    geplaatst op
  • Wat me opvalt bij dit bericht is dat bijna alle media (nu.nl, planet, telegraaf) het bericht plaatsen zonder de naam van de studente maar wel met de naam van de hoogleraar. Het persbericht is dus blijkbaar de deur uitgegaan zonder daarin de naam van de studente!?

    geplaatst op
  • Waar ik benieuwd naar ben is naar schrijnende voorbeelden van Privacy overtredingen o.b.v. cookies.
    Iemand?

    geplaatst op
  • Bij alle spyware van tegenwoordig lijkt mij eventueel misbruik van cooky's een verwaarloosbaar probleem.

    geplaatst op
  • @EJ: Denk niet dat die er zijn; waar het (voor zover ik het heb gelezen) om gaat is dat de internetgebruiker onvoldoende op de hoogte is van de gegevens die van hem (of haar) (kunnen) worden vastgelegd. En dat daar goede afspraken over moeten worden gemaakt die er al wel op Europees niveau zijn, maar die blijkbaar in Nederland nog steeds niet zijn geimplementeerd.

    @Peter: Zoals eerder gezegd ligt het gevaar ook niet bij cookies alleen; het gaat om de combinatie van gegevens die worden vastegelegd.

    geplaatst op
  • Welke afspraken op europees niveau zijn er Marco?
    Dat is toch de basis zou je zeggen.

    geplaatst op
  • Commission takes second legal step against eight Member States for not adopting new privacy rules for digital networks and services:
    http://europa.eu.int/rapid/pressReleasesAction.do?reference=IP/04/435&format=HTML&age;

    geplaatst op
  • Cookie: een briefkaartje dat wel eens in verkeerde handen zou kunnen vallen.

    Spyware: 's nachts, als je ligt te slapen, dringt er een mannetje je huis binnen, doorzoekt al je laden en kasten, en fotografeert alle documenten die hij kan vinden.

    Waarom zou je je druk maken om cookies? Het is alsof je broodkorsten uit een biobak eet en je afvraagt of de bakker wel de juiste voorschriften m.b.t. hygiëne heeft gevolgd.

    geplaatst op
  • Kodak doet het goed:

    KODAK: On-line privacybeleid voor Europa
    http://wwwnl.kodak.com/europe/mul/corp/privacy/?CC=NL&ll=nl

    *** tekst aangepast ivm layout ***

    geplaatst op
  • Yep, geen hond die het leest maar het staat er in ieder geval wel :-)

    geplaatst op
  • Wat die schrijnende voorbeelden betreft, Evert-Jan: DoubleClick betaalde in een settlement in een rechtzaak over het gebruik van cookies, bijna een half miljoen dollar aan schadevergoeding, en bijna vergoedde bijna 2 miljoen aan legal fees.

    http://www.wired.com/news/business/0,1367,54774,00.html

    In order to ward off an investigation into its privacy practices, online ad provider DoubleClick agreed Monday to adhere to stiff privacy restrictions and to pay a $450,000 settlement.


    Zie ook:
    DoubleClick schikt met staten over privacy
    Privacy groups debate DoubleClick settlement
    DoubleClick pays to end privacy probe

    geplaatst op
  • Een zogenaamd 'redactiestatuut' Marco.
    Dat jij zegt dat niemand het leest zegt niets over de waarde.
    Het is daarentegen wel een waardevol voorbeeld hoe bedrijven hiermee omgaan.
    Jammer dat je er geen antwoorden uit haalt op de vragen die je hierover hebt.
    Het blijkt toch dat het gaat om regeltjes, en niet om het technische proces?

    geplaatst op
  • @Anders. Treffende cijfers!
    Zeer interessant.

    geplaatst op
  • Slim van Emerce, gisteren en vanmorgen de discussie op dit weblog een beetje volgen en er vandaag een artikel over schrijven:
    http://www.emerce.nl/nieuws.jsp?id=443079

    geplaatst op
  • De studie is zo flawed als maar kan .. ik zou hier niemand op laten slagen.


    Foute assumpties / idiote statements :

    * Een cookie word opgeslagen in een text-file, en is dus leesbaar voor iedereen.

    Je kan ook cookies opslaan in een encrypted DB. Sterker nog, een text-file is de minst voor de hand liggende manier om cookies in op te slaan, omdat je dan geen index hebt, wat nogal langzaam wordt als je 1000'en cookies hebt. Natuurlijk zijn 'alle bets off' als anderen toegang tot je systeem hebben! Hoe moeilijk is het te begrijpen dat je geen gevoelige data moet opslaan op een systeem waar iedereen bij kan?

    * Cookie-ID's geven geen inzicht in de informatie die bijgehouden wordt in de server over een gebruiker, en zijn dus slecht voor de privacy.

    Dit is iets wat totaal los staat van de cookies. Je bent ook in staat om aan de hand van de userid (basic auth), of combi IP-adress+user-agent bij te houden wat iemand uitspookt op jouw site. De correcte probleemstelling zou in dit geval moeten zijn dat het uniek kunnen tracken van een user op een site slecht is voor de privacy.

    * Quote: Cookies .. 'zijn ontworpen als methode om bij te houden welke producten een gebruiker wil aanschaffen op het internet'.

    Dat is onzin. Quote van rfc2965 : 'This document specifies a way to create a stateful session with Hypertext Transfer Protocol (HTTP) requests and responses.'

    * Quote 'Door het informeren over te laten aan de internet browser wordt de betrokkenen inadequaat geinformeerd en de rechten van de gebruiker niet volledig beschermd' .

    Bescherm tegen wie? Tegen sites die de privacy schenden!
    Laten we deze zin even herschijven :

    'Doordat sites die informatie verzamelen het informeren over te laten aan de internet browser wordt de betrokkene inadequaat geinformeerd en de rechten van de gebruiker niet volledig beschermd'

    nogmaals :

    'Sites die de privacy schenden en het informeren daarover overlaten aan de browser beschermen de rechten van de gebruiker niet adequaat.'

    nogmaals :

    'Sites die de gebruiker een poot uitdraaien, en dat niet vertellen aan de gebruiker, draaien de gebruiker een poot uit.'

    * Cookies verhinderen een site om de gebruiker te vertellen dat gegevens verzameld worden, en/of te vertellen welke gegevens dat zijn.

    Dit is weer onzin, omdat er geen enkele reden is waarom een site met een webapp die een cookie zet niet eerst de gebruiker informeerd waarom de cookie gezet wordt.

    * Quote : 'het RFC document geeft geen aanwijzingen over het soort gegevens dat de gegevensverzamelaar wel of niet mag verzamelen'

    Stel dat de RFC had gezegt: Je mag geen surfgedrag bijhouden. Hoe had de rfc dat willen afdwingen? Surfgedrag bijhouden is gebruik van een technologie, en net zo min af te dwingen als zeggen dat je een hamer niet mag gebruiken om iemand de kop in te slaan.

    * Quote : 'In de RFC's is geen waarschuwing te vinden dat het mogelijk is om de wet te verbreken'

    ROTFL

    geplaatst op
  • Men heeft mij gezegd om cookies regelmatig te verwijderen van je pc om zo je pc te vrijwaren van overtollige dingen. Kan men cookies verwijderen en hoe doe ik dat? Is het wel veilig om dat te doen aangezien ik volgens verschillende teksten hier lees dat het om persoonlijke gegevens gaat.

    geplaatst op

Plaats zelf een reactie

Log in zodat je (in het vervolg) nóg sneller kunt reageren

Vul jouw naam in.
Vul jouw e-mailadres in. Vul een geldig e-mailadres in.
Vul jouw reactie in.

Herhaal de tekens die je ziet in de afbeelding hieronder


Let op: je reactie blijft voor altijd staan. We verwijderen deze dus later niet als je op zoek bent naar een nieuwe werkgever (of schoonmoeder). Reacties die beledigend zijn of zelfpromotioneel daarentegen, verwijderen we maar al te graag. Door te reageren ga je akkoord met onze voorwaarden.