“Gebruik cookies overtreedt privacy regels”

Wel erg kort door de bocht. Volgens mij zijn het de eigenaars/opdrachtgevers/programmeurs die de privacy regels overtreden en niet de cookies, laat staan het protocol die de regels overtreden. Mijn auto heeft tenslotte ook nog nooit een wet overtreden door te hard te rijden, de bestuurder daarintegen…. Gegevens in cookies zijn prima te hashen en de geldigheidsduur van een cookie kun je ook instellen. M.a.w. het probleem ligt bij de programmeurs en niet bij de cookies of het protocol. Fr@nk

De 'opvolger' van de cookie is er al, het heet de 'session'. Een session is een soort van server-side cookie, waarmee de informatie die er bewaard moet worden op (een beveiligd deel van) de server van de website bewaard blijft. Het enige wat op de client kant geplaatst wordt is een cookie met een (zo goed als random) session ID. dit is dus het *enige* wat bewaard wordt op de client. Als je beweert dat cookies onveilig zijn omdat je niet weet wat voro gegevens er opgeslagen worden dan is dus het hele internet niet veilig omdat je niet weet wat voor grappige trucs iemand ingebouwd heeft in een website.  Als programmeur zijnde vind ik dit soort onderzoeken al helemaal stemmingmakerij, paranoïa en onzin. Alle hierboven beschreven 'overtredingen' kunnen ook gemaakt worden zonder het gebruik van cookies. Zonder de cookie zou het internet nooit gekomen zijn waar het nu is. Het is aan de makers van webbrowsers om ervoor te zorgen dat cookies bijvoorbeeld in een beveiligde database gestopt worden en niet in een plaintext bestandje.

De scriptie was belanghebbender geweest als er was aangetoond hoe belachelijk de desbetreffende regeling is. De regeling heeft de volgende strekking: cookies zijn toegestaan als de degene bij wie het cookie wordt opgeslagen wordt geïnformeerd over het doel van dit cookie, daarnaast wordt het recht aangeboden deze verwerking te weigeren. Hetgeen m.i. totaal absurd is, aangezien dit "recht" een sigaar uit eigen doos is. Immers, een ieder kan zijn of haar browser zodanig instellen dat dit "recht" eenvoudig te realiseren is. Hoewel dus volgens de auteur van de onderhavige scriptie cookies "alarmerend slecht" [sic] voldoen aan de europese regelgeving wil dit nog niet zeggen de regelgeving deugt. Overigens schreef ik zelf een scriptie over deze materie in 2002.

Na lezing van de scriptie blijkt het allemaal wel weer mee te vallen. Dit is vaker het geval bij 'privacy gevoelige informatie'. Op bladzijde 39 kun je lezen dat in slechts 0,43% van de 53000 onderzochte cookies privacy gevoelige gegevens zijn aangetroffen, zoals dat in de wet is omschreven. Het gaat hierbij om informatie over het ‘seksuele leven’, ‘godsdienst’, ‘politieke gezindheid’, ‘lidmaatschap van een vakvereniging’ of ‘ras’. 86% van deze privacy gevoelige informatie in cookies ging over het ‘seksuele leven’. De uitwerking daarvan staat in de scriptie op bladzijde 73. Het blijkt dan te gaan om verwijzingen naar woorden als 'sex,' 'seks', 'porn', 'call-girls', en 'gay'. Daarnaast is ook gezocht op de wat vergezochte duidingen van seksueel leven zoals, 'hotgames', 'dating', 'date' en 'hentai'. Samenvattend, dit gaat dus helemaal nergens over. Het lijkt hier te gaan om onderzoek waarbij een vooringenomen standpunt is omgeven met quasi-wetenschappelijk bevestigingen. Cookies dragen bij aan oplossingen voor problemen die voorkomen uit de stateless structuur van HTTP. Cookies maken sites gebruikersvriendelijk en ze geven inzicht bezoekersgedrag op grond waarvan de site-eigenaar de site effectiever kan maken.  Je kan misbruik maken van cookies. Maar uit dit onderzoek blijkt dat er wetten zijn die dit aan banden legt en dat dit misbruik nauwelijks voorkomt. En zelfs daar waar het voorkomt zoals in de 0,43% van de gevallen, is het nog maar de vraag of de gebruiker hier daadwerkelijk nadeel van kan ondervinden. Iemand moet eerst nog inbreken in een computer om al die 'privacy gevoelige' informatie te achterhalen.

De studie is zo flawed als maar kan .. ik zou hier niemand op laten slagen. Foute assumpties / idiote statements : * Een cookie word opgeslagen in een text-file, en is dus leesbaar voor iedereen.  Je kan ook cookies opslaan in een encrypted DB. Sterker nog, een text-file is de minst voor de hand liggende manier om cookies in op te slaan, omdat je dan geen index hebt, wat nogal langzaam wordt als je 1000'en cookies hebt. De meest voor de hand liggende manier om cookies te implementeren is via een encrypted DB, die alleen toegangkelijk is voor de gebruiker. Natuurlijk zijn 'alle bets off' als anderen toegang tot je systeem hebben! Hoe moeilijk is het te begrijpen dat je geen gevoelige data moet opslaan op een systeem waar iedereen bij kan? * Cookie-ID's geven geen inzicht in de informatie die bijgehouden wordt in de server over een gebruiker, en zijn dus slecht voor de privacy.  Dit is iets wat totaal los staat van de cookies. Je bent ook in staat om aan de hand van de userid (basic auth), of combi IP-adress+user-agent bij te houden wat iemand uitspookt op jouw site. De correcte probleemstelling zou in dit geval moeten zijn dat het uniek kunnen tracken van een user op een site slecht is voor de privacy.  De informatie die een site kan verzamelen valt trouwens mee. Het enige wat een site kan weten is wat jouw browser zelf doorgeeft (of wat je bewust in een form opgeeft aan de site). * Quote: Cookies .. 'zijn ontworpen als methode om bij te houden welke producten een gebruiker wil aanschaffen op het internet'.  Dat is onzin. Quote van rfc2965 : 'This document specifies a way to create a stateful session with Hypertext Transfer Protocol (HTTP) requests and responses.'  En dat is het idd.. een manier om als je dat wilt states te bewaren in een systeem dat fundamenteel stateless is.  * Privacy-schending door cookies is direct gekoppeld aan Spam. De author stelt dat doubleclick gegeven verzameld, en verteld in een een ruk door dat 'In Europa lijkt de hoeveelheid misbruik van ongevraagde e-mail versturen nog te overzien, uit onderzoek in Amerika wordt de economische schade door ongevraagde e-mail op bijna negen miljard dollar per jaar geschat'  Dit wekte de directe suggestie dat spam voornamelijk veroorzaakt wordt door bedrijven die gerichte profielen samenstellen aan de hand van online surfgedrag. Iedereen die wel eens een 'enlarge your penis / breasts now' spam mailtje gekregen heeft weet dat een van de belangrijkste kenmerken van spam is dat iedereen spam krijgt, ongeacht of de persoon aan een profiel voldoet of niet. De enige kriteria waaraan een persoon moet voldoen om spam te krijgen, is om ergens online (in een newsgroup bijv) zijn/haar emailadress achter te laten, zodat deze gevonden kan worden door een e-mailharvester. En zelfs dit is niet nodig, zoals te zien is door de grote hoeveelheid spam die binnenkomt op 'dictionary' namen.  Verder is de hoeveelheid spam die in Europa binnenkomt niet subtianteel meer of minder dan in Amerika. Spammers maken geen onderscheid tussen verschillende domeinen. Als het een '@' heeft, spammen ze het. * Quote 'Door het informeren over te laten aan de internet browser wordt de betrokkenen inadequaat geinformeerd en de rechten van de gebruiker niet volledig beschermd' .  Bescherm tegen wie? Tegen sites die de privacy schenden! Laten we deze zin even herschijven :  'Doordat sites die informatie verzamelen het informeren over te laten aan de internet browser wordt de betrokkene inadequaat geinformeerd en de rechten van de gebruiker niet volledig beschermd'  nogmaals :  'Sites die de privacy schenden en het informeren daarover overlaten aan de browser beschermen de rechten van de gebruiker niet adequaat.'  nogmaals :  'Sites die de gebruiker een poot uitdraaien, en dat niet vertellen aan de gebruiker, draaien de gebruiker een poot uit.'  * Cookies worden automatisch verwerkt, en dus weet de gebruiker vaak niet dat cookies gezet worden. Dus zijn cookies fout.  Again.. het betekend dat de implementatie fout is. Dat browsers (IEx tenminste) niet vertelen dat een cookie gezet wordt, is een probleem van IEx, niet van de website, en het is evenmin een fundamentele fout in cookies. * Cookies verhinderen een site om de gebruiker te vertellen dat gegevens verzameld worden, en/of te vertellen welke gegevens dat zijn.  Dit is weer onzin, omdat er geen enkele reden is waarom een site met een webapp die een cookie zet niet eerst de gebruiker informeerd waarom de cookie gezet wordt. Dit wordt trouwens ook weleens gedaan.   * Quote : 'het RFC document geeft geen aanwijzingen over het soort gegevens dat de gegevensverzamelaar wel of niet mag verzamelen'  Stel dat de RFC had gezegt: Je mag geen surfgedrag bijhouden. Hoe had de rfc dat willen afdwingen? Surfgedrag bijhouden is gebruik van een technologie, en net zo min af te dwingen als zeggen dat je een hamer niet mag gebruiken om iemand de kop in te slaan. * sites kunnen een domeinnaam delen, en met elkaar afspreken dat ze toegang hebben tot elkaars cookie data.   Ja, en sites kunnen ook informatie delen door het per mail naar elkaar te sturen. Moeten we daarom mail verbieden? Daarna is het ook nog mogelijk via een HTTP-POST data aan elkaar door te geven… laten we dus ook maar webapplicaties verbieden. Het is kortom niet mogelijk om sites die informatie willen delen tegen te gaan. Dit is alleen een bewuste keuze, en is niet iets wat 'zomaar' kan. Het is geen gebrek in het protocol. * Quote : 'In de RFC's is geen waarschuwing te vinden dat het mogelijk is om de wet te verbreken'  ROTFL  * Sites op het internet houden zich niet aan de Europese Privacywetgeving Dit is een typisch voorbeeld van een open deur intrappen. Het is heel leuk dat 'Persoongegevens slechts mogen worden doorgegeven aan een land buiten de EU indien dat land een passend beschermingsniveau biedt' In praktijk is dit totaal onhaalbaar. Iemand die een webforum opzet kan niet voldoen aan de eisen van de privacywetgeving van alle landen. De persoon kan niet eens op de hoogte zijn van al deze wetgeving. Als de EU de bestaande wetgeving zou afdwingen op het internet, dan zouden ISP's alle kabels over de oceanen door moeten knippen. In de praktijk wordt de wetgeving afgedwongen op bedrijven die gevestigd zijn / een vestiging hebben in de EU, en sommige grote bedrijven in de US houden zich er vrijwillig aan. 

kwestie van goede disclaimer hebben en geen domme partnerships aangaan met onbetrouwbare "goudenbergen" internet bureautjes. daarnaast is het zo dat de privacy issue alleen speelt wanneer de gegevens op de individu specifiek kan worden toegepast. En als dat zo is wordt het al weer moeilijker om het als SPAM te benoemen.  Deze studente heeft wel de techniek bekeken maar niet de toepassing ervan in de wereld van marketing en sales…. toonbeeld voor een onderzoek zonder waarde.  

@SchizoDuckie:Sessions en cookies zijn twee verschillende technieken. Een cookie is juist zo gevaarlijk omdat het meer dan één sessie kan voortbestaan (itt sessions) en omdat de client gevolgd kan worden over meerdere servers (een session bestaat slechts op 1 server). @ Tifkap:Het schijnt je te ontgaan dat cookies door de browser worden opgeslagen op de client – en dus niet op de server zoals jij in je hele verhaal denkt – een browser bepaalt dus ook het max. aantal en het formaat – get a clue voordat je reageert. 

De regels van de e-privacyrichtlijn dienen niet gecodificeerd te worden in de wet bescherming persoonsgegevens, maar deze zijn ondertussen al in de telecommunicatie wet gezet. Dit is ook altijd de bedoeling geweest. Deze regels van de e-privacy richtlijn zijn gekomen als vervanger van de ISDN richtlijn. En die stonden al gecodificeerd in de telecommunicatiewet.  Verder zijn er meer regels in de e-privacyrichtlijn van toepassing op cookies dan die ene die is aangehaald. Dit heeft dan ook verschillende verplichtingen voor de eigenaar van de cookies tot gevolg.  Ik heb hier al eerder een paper over geschreven en ben momenteel mijn scriptie over cookies en spyware in relatie tot de e-privacyrichtlijn aan het schrijven. Maar ik ga wel gretig gebruik maken van het technisch gedeelte van deze scriptie. Daar ben ik als rechtenstudent wat minder begaafd in.

Het is de vraag of het verstandig is om te reageren op notoire "flamers" en zelf aangestelde experts, maar omdat onze integriteit in twijfel gesteld wordt, zal ik hier als begeleider van de scriptie van Nicoline Braat toch enige zaken willen recht zetten. Ik zal dat onder mijn eigen naam doen en niet onder een verzonnen pseudoniem.De meeste kritiek op de scriptie van Nicoline Braat zijn het gevolg van erg slecht lezen. Zij heeft een database van 53000 cookies gemaakt en bestudeerd en trekt daaruit haar conclusies over de toepassing van het protocol. Je kunt natuurlijk je bedenkingen hebben over de representativiteit van deze verzameling, maar dat voorbehoud maakt zij ook zelf in haar scriptie. Veel kritiek is terug te leiden naar een verschil van interpretatie tussen hoe het protocol idealiter zou moeten worden gebruikt en hoe het in de praktijk gaat. Dat is te vergelijken met de opmerking: guns don't kill, but people do. Helaas zijn het wel de wapens die het erg eenvoudig maken.Verkeerd citeren, parafraseren en vervolgens daar op ingaan is een hele zwakke manier van argumenteren en verdient niet eens repliek. Als Vogel/Tifkap iets verder had gelezen zou hij zien dat Kristol & Montulli in het document dat het protocol beschrijft als voorbeeld van een toepassing een SHOPPING BASKET geven (4.1 example 1). Dus dat beide zaken met elkaar te maken hebben is overduidelijk. Het is natuurlijk veel leuker om iets neer te sabelen na een vluchtige lezing dan waardering op te brengen voor een goed uitgevoerd en verantwoord onderzoek: de meeste zwakheden in het onderzoek heeft Nicoline zelf al aangegeven.  Nicoline stelt terecht dat sommige toepassingen van het cookie protocol in strijd zijn met de Europese privacy wetgeving. Als argument daartegenover stellen dat dit niet te voorkomen is, mist de essentie van de zaak. Of we moeten concluderen dat die wetgeving niet toepasbaar is en dus onzinnig, of deze wetgeving zal daadwerkelijk moeten worden uitgevoerd en dan zal er iets moeten gebeuren aan de cookie-praktijken. Wie de geschiedenis van het internet en het web een beetje kent, weet dat het nooit opgezet is om de functie te vervullen die het nu vervult. De openheid en eenvoud die aanvankelijk als deugd gezien werden, blijken ook negatief te kunnen werken. Nicoline heeft daar aandacht voor gevraagd aan de hand van een praktijk studie: niet meer, maar ook niet minder. Ze heeft zowel positeve als negatieve kanten in beeld gebracht. Het is treurig dat sommige mensen zo slecht lezen. dr. George M. WellingInformatiekunde Rijksuniversiteit Groningen

Dit onderzoek toont eigenlijk aan dat de wetgever (in dit geval de EU) zijn werk niet goed doet. Het is namelijk onmogelijk om wetten op te stellen die een domein raken waar je (vrijwel) niets over te vertellen hebt. Deze wetten zouden zich moeten beperken tot de domeinen binnen de EU, dat is het enige waar ze directe invloed op hebben. Op basis van deze wetten kan dan bijvoorbeeld de SIDN eisen stellen aan het gebruik van een .nl-domein en dit controleren. Domeineigenaren die zich niet aan de wet houden, kan dan hun domeinnaam afgenomen worden. Bezoekers van een .nl-domein mogen er dan ook op vertrouwen dat er op de juiste wijze met hun gegevens wordt omgegaan. Zoals Tifkap al zegt, het internet is wereldwijd. Dit zou dus betekenen dat een website zich aan alle wetten van alle landen zou moeten houden. Naast het feit dat het onmogelijk is om al deze wetten te kennen, zouden ze ook nog wel eens tegenstrijdig kunnen zijn. Moet internet daarom maar stopgezet worden? Het lijkt mij een geweldig idee om hier als Nederland mee te beginnen….. Een zelfde soort artikel zou de titel "Gebruik alfabet overtreedt de privacy regels" kunnen krijgen. Uitdaging voor een student Nederlands ?

Punt is: mijn toestemming wordt vrijwel nooit gevraagd als er een cookie op mijn pc wordt geplaatst, en dat schijnt dus wel de bedoeling te zijn (PS ja, ik weet dat je in IE kunt instellen dat de browser geen cookies accepteert, maar dat is hier de discussie niet)

@Ronaldo:Sessions die de client herkennen aan het cookie kunnen ook blijven bestaan als je je computer uitzet. Het is dan wel nodig dat je persistent cookies toelaat. Zolang je alleen session-cookies toelaat zijn ze weg zodra je je browser afsluit. Sterker nog: session-cookies worden niet op schijf weggeschreven (tenzij in de swap-file, voor de smartass die hier commentaar op heeft). Bovendien kan de client zlechts worden gevolgd over meerdere domeinen (cookies gaan per domein, niet per server) als je ook nog eens third-party cookies toestaat. Het is wel belangrijk om het volgende onderscheid te maken:- sessioncookie vs. persistent cookie: de eerste wordt niet op de client opgeslagen, maar blijft slechts gedurende de sessie in het werkgeheugen van de client. Deze is weg zodra je de client(browser) afsluit. De tweede wordt op schijf opgeslagen en wordt de volgende keer weer meegestuurd als je het domein bezoekt. - first party vs third party cookie: first party cookies worden alleen teruggestuurd naar het domein dat ze gezet heeft. Je kan zo een cookie niet volgen over meerdere websites. Third party cookies kunnen ook worden gezet door een ander domein dan waar de cleint ze naar terugstuurt. Iedere moderne client heeft de mogelijkheid cookies selectief door te laten of te blokkeren. Als je alleen first-party sessioncookies aan laat staan kan een dataminer niets meer dan met alleen serverside technieken mogelijk is, terwijl de meeste websites ook nog eens probleemloos zullen werken. Hiervoor is het cookiemechanisme ook bedoeld: state toevoegen aan een stateless protocol. Met alleen first-party cookies enabled kan je gewoon ingelogd zijn op je favoreite sites, terwijl er geen gegevens naar andere domeinen worden gestuurd en er ook niets op je harde schijf bewaard wordt. Get a clue voor je reageert! Overigens is het mediaplayerid uniek, en dat biedt de mogelijkheid om de meerdeheid van de windows-gebruikers over verschillende sessies heen te volgen.

@MaartenJe zegt hetzelfde als ik, namelijk dat je cookies nodig hebt om server state (sessions) te behouden.Je hebt er alleen heel veel meer (hoofdzakelijk irrelevante) woorden voor nodig.Get glasses voordat je reageert 8-) @WellingTrek het je niet aan. Tifkap is gisteren 13 geworden en SchizoDuckie hoopt deze respectabele leeftijd over enkele jaren te bereiken. "Het hoofdkantoor van Philips zit in Zwolle en de regering zetelt in Breda" staat hier over 5 jaar nog, en dus is het waar? 

@Welling Het is de vraag of je moet reageren op betweterige wetenschappers die zich klaarblijkelijk de luxe permiteren theorie te laten prevaleren boven praktijk. Maar als oud afgestudeerde van een zusterfaculteit aan de universiteit waar u nu in dienst bent kan ik het niet nalaten te reageren.  Het is namelijk een ieder gerechtvaardigd om de kwaliteit van deze scriptie in twijfel te trekken. De kritiek is voornamelijk dat de wetten niet praktisch zijn. Men stelt dat deze wetten nimmer uitvoerbaar en niet controleerbaar zijn. Dat moet mogen en het zou fraai zijn als u daar op reageerde. Een ander punt is uw pretentieuze vergelijking met de gun die niet killt. Het probleem is dat een internetgebruiker maar moeilijk daadwerkelijke nadelen kan ondervinden door cookies. Het kan in theorie en als je daar bij blijft kan je er nog tien keer op promoveren. Maar zelfs in deze scriptie is in maar 0,43% van de 53000 onderzochte cookies aangetoond dat er iets in stond wat met de wet op gespannen voet stond. 0,43% is niet erg veel. Misschien is het niet eens significant. Als je dan nagaat wat er in die 0,43% van alle cookies staat, dan blijkt dat vooral zeer tendentieus geoperationaliseerde gegevens te bevatten. Als er in een cookie het woord 'Hentai' voorkomt dan kan dat wel in strijd zijn met de wet maar hoe kan dat ooit tot een schending van de privacy van de eigenaar van de computer met de desbetreffende cookie leiden.? Leg dat eens uit zonder te verwijzen en te insinueren dat iedereen hier een notoire flamer is die de scriptie niet goed gelezen zou hebben. 

Nu eens kijken of de heer Welling ook daadwerkelijk reageert op deze punten of dat deze wetenschapper alleen wil imponeren door iets te deponeren.. dat er een scriptie wordt geschreven (die verdedigd moet worden) waarop vakkundige praktijk professionals hun twijfels over uitspreken dient als input genomen te worden voor de beoordeling van de scriptie en niet afgewimpeld te worden als ongefundeerde kritiek. Anoniem of met voor en toenaam.  

Ik ben benieuwd naar de meningen (mn. van dhr. Welling) over het volgende punt: volgens sommige mensen is het niet zozeer het feit DAT cookies gebruikt worden (en hoe) tegen de regels, maar de COMMUNICATIE over het gebruik van de vergaarde informatie. Men zou goed op de hoogte gebracht moeten worden DAT de informatie vergaard moet worden, EN over de manier waarop de vergaarde manier ingezien en eventueel gecorrigeerd kan worden. Over het eerste punt (DAT info vergaard wordt) hoeft misschien niet zoveel geklaagd worden, want als je ingesteld hebt dat cookies geaccepteerd worden door je browser, en je je gegevens invult op formulieren, kun je op je vingers natellen dat deze info ook bewaard wordt. NB: meestal wordt er nog meer informatie gevraagd (en bewaard bij het bedrijf) dan uiteindelijk in het cookie staat. Wat mogelijk duidelijker moet worden gedaan, gecommuniceerd en nageleefd, is dat gebruikers de ingevoerde info kunnen controleren en corrigeren. Dit is vergelijkbaar met postorderbedrijven (bv. Lekturama), die zijn aangesloten moeten zijn bij een privacy-instituut, die deze regeling bewaakt, bv. nadat je een antwoordkaart hebt ingevuld en opgestuurd.