Welkom in de wondere wereld van tracking. In een reeks artikelen bespreken we wat tracking precies is, hoe het werkt en wat je ertegen kunt doen. In dit vijfde deel maken we kenis met andere soorten cookies. 

De nieuwere soorten cookies worden gezamenlijk meestal supercookies genoemd. Supercookies zijn veel minder bekend dan de gewone HTTP-cookies en vaak zij ze veel geniepiger. Flash-cookies zijn één van de verschillende soorten supercookies waar een aantal jaren veel om te doen was. Officieel heten ze Local Shared Objects(LSO’s), maar vaak worden ze gewoon Flash-cookies genoemd. Tot een paar jaar geleden vormden deze Flash-cookies een zorgwekkend privacygevaar.

Er waren twee redenen waarom Flash-cookies zich goed leenden voor tracking. Ten eerste wisten de meeste mensen niet van het bestaan van Flash-cookies. Trackingbedrijven konden met Flash-cookies dus ongestoord hun gang gaan. Ten tweede waren Flash-cookies heel moeilijk te verwijderen. Je kon ze namelijk niet vanuit je browser verwijderen, zoals gewone HTTP-cookies. Het resultaat was dat Flash-cookies op veel computers lang bleven bestaan, en meestal zonder dat de gebruikers dat wisten.

Flash-cookies zijn niet de enige soort supercookies. Zogeheten ETags worden ook als supercookies gebruikt. Een ETag is een soort ID-code die gebruikt wordt om een specifieke versie van een webpagina (of een onderdeel van een webpagina, zoals afbeeldingen) te identificeren. ETags zijn bedoeld om het web sneller te maken en dataverkeer te verminderen. Ze worden door de webserver meegestuurd (als HTTP-header) met de opgevraagde webpagina. Als je browser een eerdere versie van een webpagina in zijn cache heeft, checkt hij eerst of de ETag van die webpagina is veranderd voordat hij ’m opnieuw opvraagt. Als de ETag niet is veranderd, hoeft de browser de webpagina niet opnieuw te downloaden.

ETags kunnen echter ook gebruikt worden om bezoekers te tracken. Iedere bezoeker krijgt dan een unieke ETag toegestuurd. Als je de website dan later weer bezoekt, stuurt je browser die ETag weer terug om te checken of de website ondertussen veranderd is. Hierdoor kan de website jou identificeren. Op deze manier lijken ETags dus erg op de bekende HTTP-cookies. Tegen tracking met ETags kun je je niet eenvoudig beschermen. Het beste wat je kunt doen, is regelmatig de cache van je browser legen, bijvoorbeeld iedere keer dat je je browser afsluit.

Evercookies (ook wel zombiecookies) gaan nog een stapje verder. Deze cookies combineren verschillende soorten cookies om informatie op te slaan. Als je je cookies op één plek hebt verwijderd, kunnen de overgebleven cookies worden gebruikt om die cookie weer terug te zetten. Evercookies maken gebruik van zo’n tien verschillende soorten cookies. De gebruikte soorten varieert: de ontwikkeling van nieuwe webtechnologieën, of kwetsbaarheden in de bestaande, maken nieuwe soorten cookies mogelijk. Het is dus bijzonder lastig om een evercookie helemaal te verwijderen. Evercookies hebben in ieder geval de interesse van de NSA gewekt. Uit de Snowden-documenten bleek dat de NSA overwoog evercookies te gebruiken om Tor-gebruikers te volgen.

Naast al deze soorten cookies is er een geheel andere manier om internetters te volgen: device fingerprinting. Hierbij kijken trackers naar allerlei details van je laptop of smartphone en leiden daar een unieke ‘vingerafdruk’ uit af. Hoe dat precies werkt, is het onderwerp van het volgende artikel.

Alles bij de bron; BoF