Stel, je googelt naar elektrische grasmaaiers en bezoekt een paar webwinkels. Daarna blijven de volgende dagen de grasmaaiers je koppig achtervolgen, op bijna iedere webpagina. Hoe kan dat en hoe voorkom je het? In dit artikel gaan we dieper in op browsertracking.

Webadverteerders willen maar al te graag weten wat je interesses zijn en in welke producten of diensten die interesses zich vertalen. Anders gezegd: ze willen uitvinden welke advertenties het meeste kans maken om door jou te worden aangeklikt, waarbij zo’n klik bij voorkeur uitmondt in een informatieaanvraag of zelfs een aankoop (de zogeheten conversie). 

Wanneer je dus googelt naar een grasmaaier bijvoorbeeld en je bezoekt een paar gerelateerde websites, dan is de kans reëel dat je zo’n apparaat wilt aanschaffen. Het gevolg is dat je op de meeste uiteenlopende sites een tijdlang hiervoor gerichte advertenties te zien krijgt (het zogeheten retargeting). Het waarom is hiermee duidelijk, maar het hoe blijkt wat complexer en schimmiger.

In dit artikel lichten we de belangrijkste methodes toe waarmee allerlei online advertentiebureaus je sporen op het web volgen en je proberen te profileren. Een tipje van de sluier opgelicht: waar het voorheen vooral draaide om cookies, komt nu meer en meer fingerprinting in beeld.

Cookies

Cookies bestaan al meer dan 25 jaar en zijn vooralsnog de meest gebruikte traceermethode. Het zijn kleine tekstbestandjes die een webserver op je pc kan achterlaten wanneer je een pagina op die site bezoekt. In zo’n tekstbestand kan bijvoorbeeld je voorkeurstaal of de inhoud van je winkelwagen worden opgeslagen (functionele cookies) of ze vertellen de webserver wanneer en hoelang je bepaalde webpagina’s op die site hebt bezocht (analytische cookies). 

Zulke cookies zijn op zich vrij onschuldig. Eigenlijk, ze kunnen ze zelfs helpen om je surfervaring efficiënter en/of comfortabeler te maken. Daar is dus weinig mis mee, ook omdat webservers in principe alleen cookies kunnen inlezen die ze zelf op je systeem hebben achtergelaten. Website B kan dus niet de cookies zien die website A heeft geplaatst. Niks aan de hand, lijkt het, maar dat is buiten de trackingcookies gerekend.

©PXimport

Tracking cookies

Stel, je bezoekt website A en die heeft een deal gesloten met website B, en die houdt in dat website B op website A advertenties of zelfs zogeheten webbugs mag plaatsen. Dit zijn voor de internetgebruiker onzichtbare webelementen, zoals een minuscuul transparant plaatje, een stijltag of een script. Als site B iets op de webpagina van site A heeft geplaatst, kan site B zijn eigen cookies nu ook op jouw systeem achterlaten én weer inlezen, iedere keer als je site A bezoekt. Dit zijn dus cookies van een derde partij (naast jezelf en site A), waar je je als internetgebruiker meestal niet echt bewust van bent. 

Ga je ervan uit dat site B een groot webadvertentiebureau is dat op vele duizenden sites advertenties of webbugs heeft geplaatst, dan begrijp je wel dat dit advertentiebureau via al die cookies kan achterhalen welke die sites je allemaal bezocht hebt. Op deze manier kan het van jou een mooi internetprofiel samenstellen en dit bijvoorbeeld aan adverteerders of schimmiger instanties doorverkopen.

Zulke ‘cross-site tracking’ cookies worden door menigeen verafschuwd en dus worden ze door steeds meer browsers standaard geblokkeerd, onder meer door Firefox, Safari en Brave. In Chrome moet je dat zelf instellen. Tik daarvoor chrome://settings/privacy in de adresbalk in, selecteer Cookies en andere sitegegevens en activeer Cookies van derden blokkeren.

©PXimport

Traceer mij niet!

In principe is het niet eens zo moeilijk het tracken te stoppen, want in bijna alle browsers zit al jaren een ‘do not track’-functie. Dit houdt in dat je browser websites duidelijk maakt dat je niet gevolgd wilt worden. Helaas trekken de meeste websites zich daar niets van aan. Met GPC (Global Privacy Control) kwam er vanaf 2020 een nieuwe poging. Ook hier gaat het om een ‘traceer mij niet’-signaal dat door je browser kan worden uitgestuurd, maar dit initiatief wordt ook door de AVG, oftewel GDPR, ondersteund. 

Het is op dit moment nog steeds de vraag of GPC veel zal uithalen. In de browser Brave is dit signaal in ieder geval alvast standaard ingeschakeld. In Firefox moet je dat zelf nog even doen. Tik about:config in op de adresbalk en zoek naar globalprivacycontrol. Vervolgens zet je privacy.globalprivacycontrol.enabled en privacy.globalprivacyocontrol.functionality.enable op True.

Controleer of het GPC-signaal goed doorkomt door naar www.globalprivacycontrol.org te surfen (bovenaan de pagina zie je dan een groen of rood lampje branden). Voor browsers als Chrome en Edge zijn er extensies beschikbaar als Disconnect, OptMeowt en Privacy Badger.

©PXimport

Sluw DOM

Via (tracking)cookies kunnen websites dus in beperkte mate data op je systeem bewaren en later weer inlezen. Helaas blijken cookies niet de enige weg waarlangs websites data kunnen opslaan en gebruiken. Het gebeurt ook met het zogeheten html5 web storage, ook wel DOM-storage (Document Object Model) genoemd.

Een klein experiment met Chrome verduidelijkt dit. Surf naar www.youtube.com en druk op Ctrl+Shift+I. In het venster Hulpprogramma’s voor ontwikkelaars klik je bovenaan op de dubbele pijlknop en kies je App, waarna je zowel (de tijdelijke) Sessiesopslag als (de vaste) Lokale opslag opent. Je kunt nu zien dat YouTube ook langs deze weg allerlei data bewaart. En dat is nog veel meer dan via de klassieke cookies (circa 10 MB versus 4 kB). Op www.kwikr.nl/domstor kun je meer lezen over deze vorm van lokale opslag.

Ook deze data kun je verwijderen: klik in het linkerpaneel met rechts op de url en kies Wissen. Wil je in één keer alle lokale opslag uit je browser verwijderen, druk dan op Ctrl+Shift+Delete, plaats een vinkje bij Cookies en andere sitegegevens, stel Periode in op Alles en bevestig met Gegevens wissen. Hierdoor worden meteen ook alle cookies uit Chrome verwijderd.

©PXimport

Ip-adres

Zelfs zonder een vorm van lokale opslag, of dat nu om cookies of DOM-opslag gaat, verraadt je browser best veel over je systeem. Zo geeft je browser het ip-adres door aan elke bezochte webserver. Logisch, want deze moet wel weten waar hij de gevraagde webpagina naartoe moet sturen.

Surf maar eens naar www.iplocation.net: die vertelt je onder meer met welk publiek ip-adres je surft. De kans is groot dat je met een ip-adres surft dat door je internetprovider dynamisch is toegekend, maar dit volstaat om je land en vaak ook de regio van herkomst te bepalen. Wie weet gebruikt een webwinkel deze informatie wel om je net wat duurdere prijzen voor te schotelen of om jou de toegang tot de bepaalde diensten op de website te ontzeggen, zoals bij www.bbc.co.uk/iplayer.

Wil je je eigen publieke ip-adres onzichtbaar maken, dan kun je met Tor Browser via een anoniem netwerk surfen. Dit kan trouwens ook met Brave, via de sneltoets Alt+Shift+N, of je zet een VPN-service in.

©PXimport

Referer

Een webserver kan niet alleen je eigen ip-adres loggen, maar ook het webadres van de site van waaruit je naar die webserver hebt doorgeklikt. Probeer het gerust uit, bijvoorbeeld met Chrome. Surf naar www.google.nl, zoek hier naar computer totaal en klik op de link die naar de website van Computer!Totaal voert. Druk op Ctrl+Shift+I en ga in het paneel naar Console, waar je in het witte venster document.referrer intikt: er verschijnt nu ‘https://www.google.nl/’. Oftewel: je browser verraadt van welke site je komt.

Om deze zogeheten gerefereerde informatie te blokkeren, kun je een extensie als Referer Control installeren, maar deze oplossing is wel vrij bewerkelijk.

Fingerprinting

Cookies, DOM-opslag, ip-adressen, referers … Wie dacht dat hiermee het arsenaal aan trackingmethodes is uitgeput, heeft het verkeerd. Webservers nemen namelijk steeds vaker hun toevlucht tot zogeheten fingerprinting-technieken. Onder het kopje ‘Ip-adres’ vertelden we al dat browsers doorgaans behoorlijk loslippig zijn, maar naast je ip-adres en de referer geven ze nog allerlei andere (systeem)informatie door, zoals de gebruikte browserversie (‘user agent’), de geïnstalleerde browserextensies, je besturingssysteem, de geïnstalleerde fonts, het gebruik van DNT of GPC, je taal en tijdzone enzovoort. Al deze elementen samen vormen een unieke vingerafdruk die maakt dat je systeem over verschillende sites heen kan worden geïdentificeerd.

Om te weten in hoeverre je eigen browsers aan zo’n fingerprint herkenbaar zijn, hoef je maar te surfen naar een site als https://amiunique.org/fp, www.deviceinfo.me of https://coveryourtracks.eff.org te surfen. Surf ook even naar www.browserleaks.com/canvas. Deze site controleert of je browser herkenbaar is aan de manier waarop die een onzichtbare figuur tekent via html5 - zogeheten canvas-fingerprinting - want zelfs dit blijkt vaak voldoende om een browser te identificeren!

©PXimport

Anti-fingerprinting: browser

Fingerprinting wordt steeds meer ingezet en dus is de vraag: hoe kunnen we ons hiertegen verdedigen? In de ideale wereld beschermt de browser ons tegen zulke technieken, en met browsers als Firefox en vooral Brave komen we aardig in de buurt.

Laten we beginnen met Brave. Surf naar een willekeurige site, klik op het schildicoon rechts van de adresbalk en kies Geavanceerde instellingen / Algemene standaardinstellingen. In principe kun je alle instellingen zo laten staan. Merk wel op dat je Fingerprinting blokkeren van Standaard in Strikt, kan websites doen stukgaan kunt wijzigen, maar je het moge duidelijk zijn dat hier nadelen aan kunnen zitten. Ook zie je dat Cookies blokkeren hier standaard op Alleen cross-site staat ingesteld, dat lijkt ons prima.

In Firefox ga je als volgt te werk: ga naar Instellingen en kies Privacy & Beveiliging, waar je Browserprivay instelt op Standaard of eventueel op Streng of Aangepast. In het laatste geval kun je zelf aangeven waartegen de browser je moet helpen beschermen: Cookies (en welke), Volginhoud, Cryptominers en/of Fingerprinters. Schuw je het experiment niet, dan kun je de beveiliging nog wat aanscherpen. Tik about:config in de adresbalk in en zoek naar privacy.resistFingerprinting, waarna je deze optie op True instelt.

©PXimport

Resultaten

We gingen na welke resultaten de beschermingstechnieken van Brave en Firefox opleverden, zowel via AmIUnique als bij Cover Your Tracks. De resultaten zijn helaas niet eenduidig. Bij Firefox gaven beide diensten aan dat onze browser uniek was, ongeacht of we de standaard of de strikte fingerprint-beveiliging activeerden en ongeacht of we dat vanuit de privémodus deden. Bij Brave gaf AmIUnique eveneens aan dat onze browser uniek was, zowel in de strikte modus als in incognitomodus, met of zonder Tor. 

Cover Your Tracks gaf in alle gevallen aan dat onze browser over een ‘randomized fingerprint’ beschikte en dat zowel trackingadvertenties als onzichtbare trackers werden geblokkeerd. In incognitomodus mét Tor bleek het aantal detecteerbare eigenschappen ook iets lager (16.71 informatiebits versus 17.71 zonder Tor).

Wat fingerprinting betreft blijkt Brave dus iets beter en veiliger dan Firefox, maar is ook niet ‘waterdicht’. We vermoeden overigens dat de controle bij AmIUnique iets anders – of grondiger – verloopt dan bij Cover Your Tracks. 

Verder maakt het, althans voor de technieken die door de twee controlesites worden getest, niet zo veel uit of je de standaardbescherming of de strikte variant gebruikt. De incognitomodus maakt al helemaal geen verschil, en dat is niet verbazingwekkend, omdat die modus vooral gericht is op het afschermen van je surfsporen tegen lokale pottenkijkers.

©PXimport

Anti-fingerprinting: extensies

Chromium-browsers als Chrome en Edge lopen momenteel wat achter als het op ingebouwde beveiliging tegen fingerprinting aankomt. Wel kun je voor extra beveiliging zorgen in de vorm van browserextensies.

Zo probeert de extensie Trace allerlei trackers te blokkeren en tot op zekere hoogte ook fingerprinting tegen te gaan. Maar helaas bleken zowel Chrome als Edge ook met de ingeschakelde Trace-extensie nog altijd ‘uniek’ in de ogen van zowel AmIUnique als Cover Your Tracks. Het is niet zo dat de extra bescherming daardoor meteen helemaal waardeloos is, maar wel dat deze geen absolute garanties biedt.

Vermeldenswaardig is de extensie Privacy Badger (zie het kader ‘Traceer mij niet!’). Deze extensie heeft het vooral op trackers en advertenties gemunt, maar zou ook canvas-fingerprinting moeten tegengaan, net als de extensie Canvas Fingerprint Defender. Beide extensies bleken op onze twee testsites evenmin een merkbaar verschil te geven.

Wie wil weten hoe de fingerprint van zijn browser eruitziet, ook over verloop van tijd, en een notificatie wil ontvangen zodra deze wijzigt, kan de browserextensie AmIUnique installeren (beschikbaar voor Chromium en Firefox).

Alles bij elkaar ziet het ernaar uit dat op dit moment de browser Brave over de beste verdedigingstechnieken tegen fingerprinting beschikt.

©PXimport

FLoC flopt

Google heeft al langer door dat gebruikers niet blij zijn met trackingcookies en dat deze methode langzamerhand achterhaald wordt door technieken als fingerprinting. Daarom kondigde het bedrijf enige tijd geleden, binnen het project Privacy Sandbox, groots aan dat trackingcookies binnenkort vervangen zouden worden door een alternatieve techniek: FLoC (Federated Learning of Cohorts). Het komt erop neer dat gebruikers worden opgedeeld in gedragsgroepen (cohorten), gebaseerd op hun sitebezoek en interesses. Dit profiel wordt uitsluitend lokaal berekend, in de browser zelf en dus niet langer op externe servers.

Maar FLoC stuitte op flink wat weerstand, zowel bij privacyvoorvechters als bij adverteerders. Zodanig zelfs dat Google inmiddels een aangepaste techniek heeft voorgesteld, met de naam Topics. Interesses van de gebruiker worden hierbij bepaald op basis van het zoekgedrag van de afgelopen week en het geheel wordt slechts drie weken bewaard, waarna het opnieuw wordt berekend. In tegenstelling tot bij FLoC wordt bij Topics geen ID gecreëerd: de adverteerders krijgen alleen te weten wat de actuele interesses zijn, op basis waarvan ze dan advertenties kunnen tonen.

Hoe dan ook, als het van Google afhangt, zijn trackingcookies tegen eind 2023 voorgoed verleden tijd.

©PXimport

Hazelight Studios, de ontwikkelaar van de succesvolle coöperatieve games It Takes Two en Split Fiction, heeft een nieuwe game in ontwikkeling en is op dit moment bezig met de opnames ervoor.

Enige tijd geleden gaf regisseur Josef Fares al aan dat er een nieuwe game in ontwikkeling was bij de studio, maar nu heeft hij op social media een foto geplaatst waarop Fares te zien is met drie acteurs in motion capturing-pakken. Daarmee wordt dus duidelijk gemaakt dat de opnames voor de game in ieder geval al in volle gang zijn.

Overigens is de identiteit van de acteurs niet bekend. Fares houdt zijn arm voor de gezichten van de acteurs. Mogelijk zijn het dus bekende acteurs en wil hij dat nog verhullen, al is dat speculatie. Over speculatie gesproken: het feit dat er drie acteurs te zien zijn, doet sommige fans vermoeden dat de nieuwe game van Hazelight mogelijk met drie spelers tegelijk te spelen valt in plaats van twee, maar ook dat is nog alles behalve bevestigd.

Over de games van Hazelight Studios

Hazelight Studios is gespecialiseerd in het creëren van games die coöperatief doorlopen moeten worden. No Way Out, It Takes Two en Split Fiction vergen allen twee spelers. Daarbij draait het om samenwerken, wat hun games een populaire bezigheid maakt voor gamende koppels en vrienden.

It Takes Two bleek een grote hit voor de studio. In het spel spreekt een dochter van een ruziënd stel een vloek over het tweetal uit, waardoor ze minuscuul worden. Ze zullen moeten leren communiceren en samenwerken om zich uit deze hachelijke situatie te redden, terwijl ze als kleine poppen door een uitvergrote versie van hun huis en tuin reizen.

Na het succes van It Takes Two bracht Hazelight het conceptueel vergelijkbare Split Fiction uit. Die game draait om twee schrijvers, Mio en Zoe, die worden ingehuurd om verhalen te creëren voor een technologie die deze verhalen levensecht kan simuleren. De vrouwen worden door het bedrijf achter de technologie echter gevangen in een simulatie, en in de game wordt er constant tussen de twee verhalen van Mio en Zoe geschakeld. Dat levert zowel fantasievolle als futuristische settings op.

Zowel It Takes Two als Split Fiction komen met een Friend Pass. Dat houdt in dat maar één speler de game hoeft te kopen, en de tweede speler gratis online mee kan spelen. De games zijn ook via splitscreen samen op de bank speelbaar.

Apple heeft de volledige rechten op de Apple TV-serie Severance overgenomen, en gaat de serie voortaan binnenshuis produceren.

De eerste twee seizoenen van Severance staan al op Apple TV, maar de serie werd geproduceerd door Fifth Season. Apple Studios was alleen de distributeur. Daar is nu verandering gekomen: Apple heeft iets minder dan 70 miljoen dollar betaald voor de volledige rechten op de serie.

Dat betekent dat het bedrijf de productie van de serie voortaan ook zelf gaat doen, al zal Fifth Season wel als executive producer aangesteld blijven. Ook showrunner Dan Erickson en uitvoerden producent Ben Stiller (die we natuurlijk ook kunnen van vele comedyfilms) blijven hun rollen bekleden, dus aan de kwaliteit van de serie verandert als het goed is niets.

Financiële stabiliteit

Volgens Deadline zou de overname mogelijk gedaan zijn om de productie van de show financieel stabiel te houden. In het tweede seizoen waren de productiekosten naar het schijnt zo'n 20 miljoen dollar per aflevering, en Apple kan door zijn formaat dit beter dragen.

Het plan is dat Severance in totaal vier seizoenen krijgt - al worden een vijfde seizoen en een spin-off ook niet uitgesloten. De opnames van het langverwachte derde seizoen moet aankomende zomer starten. De makers van de serie willen eerst de scripts zover mogelijk afkrijgen, zodat ze bij schrijfwerk van de laatste afleveringen van het seizoen nog relatief goedkoop terug kunnen gaan naar scripts van eerdere afleveringen om wijzigingen aan te brengen waar nodig.

Over Severance

De Apple TV-serie Severance draait om Mark S., die een opmerkelijke kantoorbaan bij het bedrijf Lumon Industries heeft: zodra hij op kantoor komt, weet hij niets van zijn leven buiten kantoor. Wanneer hij klaar is en weer naar huis gaat, weet hij niets van zijn werk. Dat komt door een speciale procedure waardoor de herinneringen van de werkplek in het privéleven gescheiden worden.

Dit concept is de voedingsbodem voor een ingewikkelde en verrassende serie waarin Mark samen met zijn collega's langzaam maar zeker probeert te achterhalen hoe de vork precies in de steel steekt bij Lumon. Zoals gezegd zijn er inmiddels twee seizoenen uitgekomen, die beiden op streamingdienst Apple TV te zien zijn.