Tracking: wat is het, hoe werkt het en wat kun je ertegen doen? (Deel 4)
- 29 mei 2017
Je kent het waarschijnlijk wel: je gaat online op zoek naar een hotel in Parijs en in de dagen daarna word je op allerlei websites bestookt met aanbiedingen voor Parijse hotels. Welkom in de wondere wereld van tracking. In een reeks artikelen bespreken we wat tracking precies is, hoe het werkt en wat je ertegen kunt doen. In dit vierde deel verdiepen we ons in cookies.
Dit is het vierde deel van een serie over tracking. Het eerste deel vind je hier.
In het vorige deelLees in deel 3 van de tracking-serie hoe trackers op websites terecht komen hebben we gezien hoe trackers op websites terechtkomen. Webpagina’s zijn opgebouwd uit verschillende onderdelen. Zo’n onderdeel kan ‘extern’ zijn: het is dan afkomstig van een derde partij. Trackers op websites zijn vrijwel altijd externe onderdelen, bijvoorbeeld in de vorm van een advertentie.
Hoe werken cookies precies?
Cookies zijn kleine stukjes tekst die websites op je computer of telefoon kunnen opslaan en later weer opvragen. Als je een website in je browser opvraagt, maakt je browser verbinding met de webserver waarop de website wordt gehost. De webserver stuurt de website naar je browser, maar kan daarbij ook een cookie meesturen. Je browser bewaart die cookie vervolgen op je computer of telefoon. De volgende keer dat je de website bezoekt, stuurt je browser de cookie weer terug naar de webserver bij het opvragen van de website.
Websites gebruiken cookies om bepaalde informatie over je te onthouden. Sommige websites zijn bijvoorbeeld beschikbaar in meerdere talen. Als je op zo’n website een taal selecteert, wordt er een cookie gebruikt om je keuze te onthouden. Zonder die cookie zou je voor iedere pagina op die website opnieuw de taal moeten selecteren. Cookies worden ook gebruikt door webwinkels: zo wordt onthouden welke artikelen je in je ‘winkelmandje’ hebt gelegd. En als je inlogt op een website, zorgen cookies ervoor dat de website weet (en onthoudt) dat je bent ingelogd.
Cookies zijn dus niet altijd een kwalijke zaak – ze kunnen ook heel nuttig zijn. Cookies staan echter in een kwaad daglicht omdat ze veel gebruikt (of misbruikt) worden voor trackingdoeleinden. Ze zijn een van de oudste en meestgebruikte trackingtechnieken. Trackers gebruiken cookies om je een unieke ID-code toe te wijzen die jou onderscheidt van alle andere internetters. Je browser stuurt braaf de trackingcookie met de unieke ID terug naar de tracker bij elke website die deze tracker bevat. Zo kan de tracker je eenvoudig volgen.
Policy’s en party’s
Cookies hebben een naam en een inhoud. Een cookie die je taalvoorkeur onthoudt, zou bijvoorbeeld de naam ‘preferred_language’ kunnen hebben en ‘dutch’ als inhoud. En een trackingcookie zou ‘visitor_id’ kunnen heten met ‘3e5dff8d217ae55c’ als inhoud. Een website kan meerdere cookies op je computer opslaan. In de instellingen van je browser kun je zien welke cookies er door welke websites op je computer zijn geplaatst.
Omdat cookies gevoelige informatie kunnen bevatten, zorgt je browser ervoor dat iedere website alleen zijn eigen cookies kan uitlezen. Iets preciezer gezegd: een cookie is gekoppeld aan een domeinnaam. Dat houdt in dat bijvoorbeeld de website van bof.nl geen toegang heeft tot de cookies van google.com of die van facebook.com. Dit wordt het same-origin policy genoemd. (Toch hebben trackingbedrijven mogelijkheden gevonden om dit beleid te omzeilen, zoals we straks zullen zien.)
Een belangrijk onderscheid bij cookies is dat tussen first-party-cookies en third-party-cookies. First-party-cookies zijn de cookies die de bezochte website zelf op je computer zet. First-party-cookies zijn bijvoorbeeld de cookies die een webwinkel gebruikt om te onthouden wat er in je winkelmandje zit. Maar zoals je weet, kan een website externe onderdelen bevatten. Zo’n extern onderdeel kan zelf ook cookies plaatsen. Dat zijn third-party-cookies. Aangezien trackers vrijwel altijd externe onderdelen zijn, zijn zo’n beetje alle trackingcookies dus third-party-cookies.
Cookie syncing
Voor tracking, waar meerdere partijen bij betrokken zijn, is het same-origin policy erg beperkend. Daarnaast is de effectiviteit van cookies afgenomen, omdat veel mensen tegenmaatregelen hebben genomen, bijvoorbeeld door sommige cookies te blokkeren of door bepaalde privacyplugins te gebruiken. Trackingbedrijven hebben een manier gevonden om die beperkingen te omzeilen: cookie syncingMeer uitleg over cookie syncing op het Freedom to Tinker blog. Met cookie syncing kunnen twee verschillende trackers hun cookies ‘synchroniseren’. Dat wil zeggen dat trackers de unieke ID’s voor een bezoeker aan elkaar kunnen koppelen: bezoeker 1234 bij tracker A is bezoeker 5678 bij tracker B.
Cookie syncing wordt vooral gebruiktAd Ops Insider legt aan de adverteerder uit waarom cookie syncing zo handig is bij advertentieveilingen. Hierbij kunnen adverteerders bieden op een advertentieplek op een website voordat die aan een bezoeker getoond wordt. Met behulp van cookie syncing wordt informatie over de bezoeker uitgewisseld tussen de website en de adverteerders. Cookie syncing wordt ook gebruikt om bezoekers die hun cookies hebben verwijderd, te kunnen blijven volgen.
Not OK, Google
Cookie syncing is slechts één van de trucjes die trackingbedrijven uithalen om beperkingen te omzeilen die het volgen van internetters moeilijk maken. Zo werd in 2012 ontdektDe berichtgeving op Wired.com uit die tijd dat Google moedwillig de cookie-instellingen van de browser Safari probeerde te omzeilen. Safari blokkeert namelijk standaard third-party-cookies. Dat maakt het voor Google en andere trackers lastiger om Safari-gebruikers te volgen. Maar door gebruik te maken van een slinks trucjeLees de technische analyse van Stanford's Center for Internet and Society lukt het Google toch om third-party-cookies op Safari-browsers te plaatsen. Nadat dit bekend werd, schikteHet persbericht van de FTC over de schikking Google uiteindelijk voor 22,5 miljoen dollar met de Amerikaanse toezichthouder FTC.
Tegenmaatregelen
Er zijn twee simpele maatregelen die je kunt nemen om jezelf beter tegen trackingcookies te beschermen. Ten eerste is het een goed idee om third-party-cookies te blokkeren. Daarmee blokkeer je de meeste trackingcookies. Ten tweede is het verstandig om je browser zo in te stellen dat hij bij het afsluiten alle cookies weggooit. Zo begin je met schone lei als je je browser opnieuw start. De Consumentenbond legt uitZo zorg je ervoor dat jouw browser de cookies steeds weg gooit hoe je beide maatregelen op verschillende browser kunt nemen. Natuurlijk is het ook slim om privacyplugins te installeren. Daar komen we in een later deel uitgebreider op terug.
De cookies die we nu hebben besproken, worden ook wel HTTP-cookies genoemd. Er bestaan nog andere, exotischer cookies, zoals Flash-cookies en zelfs ‘zombiecookies’. Daar gaan we in het volgende deel naar kijken.
Dit was het vierde deel van een serie over tracking. Het eerste deel vind je hier. Het volgende deel gaat over supercookies.