Het protocol voor het gebruik van internet cookies blijkt zo lek als een mandje en overtreedt alle binnen de EU geldende privacyregels. Tot deze conclusie komt de Groningse studente Informatiekunde Nicoline Braat in haar scripte.
Studente Nicoline Braat analyseerde 53.000 cookies om in kaart te brengen welke gegevens websites verzamelen. Daarnaast toetste zij hoe geschikt het protocol is om op grote schaal persoonlijke gegevens te verzamelen.
Uit de resultaten blijkt dat het cookie-mechanisme alarmerend slecht aan de wettelijke privacy eisen voldoet. Het protocol geeft namelijk geen enkele informatie aan de gebruiker en controleert de gegevensverzamelaar en de verzamelde gegevens niet inhoudelijk. Dit betekent in de praktijk dat iedere website elk gegeven kan verzamelen dat de webgebruiker bloot geeft. Het protocol biedt vooral voordelen aan gegevensverzamelaars en schendt op meerdere manieren de privacy van de internetgebruiker. Vervolgonderzoek moet uitwijzen hoe men het protocol kan aanpassen om wel te voldoen aan de wetgeving.
Ook schiet het protocol ernstig tekort wat betreft de veiligheidseisen. Het kan niet garanderen dat het lekken van informatie aan derden wordt voorkomen. Ook treft het cookie-mechanisme geen beveiligingsmaatregelen bij het opslaan van de informatie. Dit betekent dat deze gegevens inzichtelijk zijn voor iedereen. Dat kan zelfs leiden tot het misbruik van inlognamen en wachtwoorden. Ten slotte worden deze gegevens onnodig lang bewaard, tot meer dan dertig jaar.
Hoe grondig is dit bericht op waarheid gecontroleerd voordat het gepubliceerd werd?
Omdat iemand hier mee af kan studeren zegt helemaal niets over de waarheid. Helaas wordt dit toch weer erg makkelijk gepubliceerd. Nu is de titel natuurlijk wel erg aantrekkelijk, want dit soort nieuws wekt vast angst bij onwetenden, maar moet de cookiediscussie nou iedere keer om de zoveel jaar weer opgerakeld worden door een nieuwe onwetende. Ondertussen is toch wel vaak genoeg aantgetoond dat ze ongevaarlijk en erg nuttig zijn.
Informatie die in een cookie staat heb je zelf op een site geplaatst. Anders komt het niet in een cookie. De site in kwestie plaatst het daar, dus die moet jij daar ingevult hebben. En zo’n site kan het ook in z’n eigen database stoppen, dus als het in een cookie staat staat het in iedergeval nog op je eigen computer.
En cookies kunnen NIET door derden worden gelezen! Tenzij ze op je computer inbreken, maarja, dan zijn ze al binnen, dus wat moeten ze dan nog met cookies.
Bovendien, voor de paranoiden, kan je ze zelfs makkelijk uitzetten.
Ik ben blij voor de dame in kwestie dat ze hier mee heeft kunnen afstuderen. Maar de waarheid is het absoluut niet.
De studie is zo flawed als maar kan .. ik zou hier niemand op laten slagen.
Foute assumpties / statements :
* Een cookie word opgeslagen in een text-file, en is dus leesbaar voor iedereen.
Je kan ook cookies opslaan in een encrypted DB. Sterker nog, een text-file
is de minst voor de hand liggende manier om cookies in op te slaan,
omdat je dan geen index hebt, wat nogal langzaam wordt als je 1000’en
cookies hebt. De meest voor de hand liggende manier om cookies te
implementeren is via een encrypted DB, die alleen toegangkelijk is voor
de gebruiker. Natuurlijk zijn ‘alle bets off’ als anderen toegang tot je
systeem hebben! Hoe moeilijk is het te begrijpen dat je geen gevoelige
data moet opslaan op een systeem waar iedereen bij kan?
* Cookies moeten worden gebruikt als systeem om persoonlijke informatie
in op te slaan.
Meeste cookies worden gebruikt om een tijdelijk ID (sessie ID) bij te
houden. De gegevens van de gebruiker zelf staan op de server. Wie zegt
dat de gegevens in de cookie zelf opgeslagen moeten worden? Cookies
zijn vaak een onderdeel van het gegevens-inzamelsysteem, niet het
inzamelsysteem zelf. Dit wordt NB. in haar onderzoek zelf waargenomen
na metingen.
* Cookie-ID’s geven geen inzicht in de informatie die bijgehouden wordt
in de server over een gebruiker, en zijn dus slecht voor de privacy.
Dit is iets wat totaal los staat van de cookies. Je bent ook in staat om aan
de hand van de userid (basic auth), of combi IP-ardess+user-agent bij te
houden wat iemand uitspookt op jouw site. De correcte probleemstelling
zou in dit geval moeten zijn dat het uniek kunnen tracken van een user op
een site slecht is voor de privacy.
De informatie die een site kan verzamelen valt trouwens mee. Het enige wat
een site kan weten is wat jouw browser zelf doorgeeft (of wat je bewust in
een form opgeeft aan de site).
* Quote: Cookies .. ‘zijn ontworpen als methode om bij te houden welke
producten een gebruiker wil aanschaffen op het internet’.
Dat is onzin. Quote van rfc2965 : ‘This document specifies a way to create
a stateful session with Hypertext Transfer Protocol (HTTP) requests and
responses.’
En dat is het idd.. een manier om als je dat wilt states te bewaren in een
systeem dat fundamenteel stateless is.
* Een referentie in een cookie betekend dat een site allerlei gegevens
verzameld over de user, en deze verwerkt in een database.
De onderzoeker ziet wel dat 62,54% van alle cookies die gezet worden
gebruikt worden als ID’s maar verteld er niet bij dat veel systemen
automatisch cookies zetten om sessies bij te houden, zoals bijna elke
PHP-applicatie. Dit wilt niet zeggen dat ook privacy-gevoelige gegevens
opgeslagen/bijgehouden word.
* Privacy-schending door cookies is direct gekoppeld aan Spam.
De author stelt dat doubleclick gegeven verzameld, en verteld in een
een ruk door dat ‘In Europa lijkt de hoeveelheid misbruik van ongevraagde
e-mail versturen nog te overzien, uit onderzoek in Amerika wordt de
economische schade door ongevraagde e-mail op bijna negen miljard
dollar per jaar geschat’
Dit wekte de directe suggestie dat spam voornamelijk veroorzaakt wordt
door bedrijven die gerichte profielen samenstellen aan de hand van online
surfgedrag. Iedereen die wel eens een ‘enlarge your penis / breasts now’
spam mailtje gekregen heeft weet dat een van de belangrijkste kenmerken
van spam is dat iedereen spam krijgt, ongeacht of de persoon aan een
profiel voldoet of niet. De enige kriteria waaraan een persoon moet
voldoen om spam te krijgen, is om ergens online (in een newsgroup bijv)
zijn/haar emailadress achter te laten, zodat deze gevonden kan worden
door een e-mailharvester. En zelfs dit is niet nodig, zoals te zien is door de
grote hoeveelheid spam die binnenkomt op ‘dictionary’ namen.
Verder is de hoeveelheid spam die in Europa binnenkomt niet subtianteel meer
of minder dan in Amerika. Spammers maken geen onderscheid tussen verschillende
domeinen. Als het een ‘@’ heeft, spammen ze het.
* Browsers informeren de gebruiker over cookies, terwijl het primaat hiervoor
bij de site hoort te liggen, omdat de browser voornamelijk gebruiksvriendelijk
probeerd te zijn.
Ook dit is op zijn zachts gezegt discutabel, omdat het erg aannemlijk is dat
cookies makkelijk gezet worden juist omdat sommige browsers er geen
melding over geven. Als de grote browsers vanaf het begin voor elke
cookie expliciet toestemming hadden gevraagt aan de gebruiker, dan
waren cookies minder populair geweest, en werden ze alleen gebruikt bij
toepassingen waarbij geen alternatief bestond.
Het idee dat de site de gebruiker moet informeren over de informatie die
verzameld wordt over de site suggereerd dat de gebruiker dus niet moet
vertrouwen op zijn eigen systemen, maar dat de gebruiker de site moet
vertrouwen om de waarheid te spreken. Als er iets is wat we de afgelopen
jaren geleerd hebben, is het wel om niet aan te nemen dat een site/
bestand/informatie zomaar te vertrouwen is. Het idee dat er niet masaal
geliegd zou worden door sites die de privacy schenden is erg naief, en in
ieder geval geen goed uitgangspunt voor een securitybeleid.
* Quote ‘Door het informeren over te laten aan de internet browser wordt de
betrokkenen inadequaat geinformeerd en de rechten van de gebruiker niet
volledig beschermd’ .
Bescherm tegen wie? Tegen sites die de privacy schenden!
Laten we deze zin even uitschrijven :
‘Doordat sites die informatie verzamelen het informeren overlaten aan de
internet browser wordt de betrokkenen inadequaat geinformeerd en de
rechten van de gebruiker niet volledig beschermd’
nogmaals, met bad intent :
‘Sites die de privacy schenden en het informeren daarover overlaten aan de
browser beschermen de rechten van de gebruiker niet adequaat.’
nogmaals, in straat-taal :
‘Sites die de gebruiker een poot uitdraaien, en dat niet vertellen aan de
gebruiker, draaien de gebruiker een poot uit.’
* Cookies worden automatisch verwerkt, en dus weet de gebruiker vaak niet
dat cookies gezet worden. Dus zijn cookies fout.
Again.. het betekend dat de implementatie fout is. Dat browsers (IEx
tenminste) niet vertelen dat een cookie gezet wordt, is een probleem van
IEx, niet van de website, en het is evenmin een fundamentele fout in
cookies.
* Cookies verhinderen een site om de gebruiker te vertellen dat gegevens
verzameld worden, en/of te vertellen welke gegevens dat zijn.
Dit is weer onzin, omdat er geen enkele reden is waarom een site met
een webapp die een cookie zet niet eerst de gebruiker informeerd
waarom de cookie gezet wordt. Dit wordt trouwens ook weleens gedaan.
* Het cookie mechanisme biedt geen eenvoudige manier om te achterhalen
waarvoor de website de informatie gebruikt.
Geen enkel mechnisme bied zekerheid over welke informatie verzameld
wordt (via access-logs bijv.), en waar de informatie voor gebruikt wordt.
Als er een protocol-uitbreiding zou zijn die zou kunnen aangeven dat bijv.
informatie niet gebruikt wordt voor direct marketing, dan heb je geen
garantie dat het niet stiekem wel voor marketing gebruikt wordt.
Veel sites zeggen trouwens wel waar informatie voor gebruikt wordt,
maar dit gaat vaak om informatie die de gebruiker zelf opgeeft via een form.
Nog steeds moet je dan de blauwe ogen van de webmaster vertrouwen.
De author maakt zelf de conclusie :
‘Het informeren van de gebruiker over de identiteit van de gegevensverzamelaars
is dus volledig afhankelijk van de oprechtheid van de domeineigenaar’
Dit is een geldige conclusie, en een die geldt voor alle informatie op het
internet. Ook een nieuw protocol zou dit niet veranderen. Een site kan immers
niet oprecht zijn, en dus doodgewoon liegen. Zolang het de site zelf is die
vaststeld wat zij verzamelend en de gebruiker daarover informeerd zal daar geen
verandering in komen.
* Quote : ‘het RFC document geeft geen aanwijzingen over het soort gegevens dat
de gegevensverzamelaar wel of niet mag verzamelen’
Stel dat de RFC had gezegt: Je mag geen surfgedrag bijhouden. Hoe had
de rfc dat willen afdwingen? Surfgedrag bijhouden is gebruik van een
technologie, en net zo min af te dwingen als zeggen dat je een hamer niet
mag gebruiken om iemand de kop in te slaan.
* Sites kunnen een domeinnaam delen, en met elkaar afspreken dat ze toegang
hebben tot elkaars cookie data.
Ja, en sites kunnen ook informatie delen door het per mail naar elkaar te
sturen. Moeten we daarom mail verbieden? Daarna is het ook nog
mogelijk via een HTTP-POST data aan elkaar door te geven… laten we dus
ook maar webapplicaties verbieden. Het is niet mogelijk om sites
die informatie willen delen tegen te gaan. Dit doen is alleen een bewuste
keuze, en is niet iets wat ‘zomaar’ kan. Dit is geen gebrek in het protocol.
* Cookies worden niet encrypted getransporteerd
Nee, net zo min als een HTTP-POST, GET, Basic auth data, etc, etc. HTTP
is nu eenmaal niet encrypted. Daar is HTTPS voor. Als je dus gevoelige data
hebt, moet je HTTPS gebruiken (of een andere transportbeveiliging).
* Login & wachtwoorden worden opgeslagen in cookies.
Dat is stom, zoals iedereen weet (zou moeten weten). Cookies zouden slechts
gebruikt moeten worden voor de sessie-id’s, en deze sessie-id’s zouden bovendien
gekoppeld moeten zijn aan een IP-adress, zodat een replay attack niet mogelijk
is. Dit betekend trouwens alleen maar dat je veel technologie insecure kan
inzetten (goh, wat een verrassing).
* Quote : ‘In de RFC’s is geen waarschuwing te vinden dat het mogelijk is om de wet te verbreken’
ROTFL !!!
* Sites op het internet houden zich niet aan de Europese Privacywetgeving
Dit is een typisch voorbeeld van een open deur intrappen. Het is heel
leuk dat ‘Persoongegevens slechts mogen worden doorgegeven aan een
land buiten de EU indien dat land een passend beschermingsniveau biedt’
In praktijk is dit totaal onhaalbaar. Iemand die een webforum opzet kan
niet voldoen aan de eisen van de privacywetgeving van alle landen. De
persoon kan niet eens op de hoogte zijn van al deze wetgeving. Als de
EU de bestaande wetgeving zou afdwingen op het internet, dan zouden
ISP’s alle kabels over de oceanen door moeten knippen. In de praktijk wordt
de wetgeving afgedwongen op bedrijven die gevestigd zijn / een
vestiging hebben in de EU, en sommige grote bedrijven in de US houden
zich er vrijwillig aan.
Op deze site staat een mooie oplossing voor dit probleem. http://joviland.blogspot.com/
N.a.v. het bericht van Tifkap,
in plaats van een poging tot het ontkrachten van het afstudeerwerk van de Groningse studente in kwestie (i.v.m. uw persoonlijke melding “ik zou hier niemand op laten slagen”), kunt u zich wellicht beter realiseren dat (1) de uitgever het afstudeerwerk klaarblijkelijk publicabel heeft geacht, (2) dat u geenszins op de hoogte bent van de doelstellingen van haar afstudeerproject (wellicht lag de nadruk op de onderzoeksmethodiek, waaronder methodiek voor gegevensverzameling, waar u niet over bericht), en (3) beschikt u ongetwijfeld niet over de positie om studenten al dan niet te doen slagen, mede gezien het feit dat u het gebruik van de letters ‘d’ en ’t’ grammaticaal nogal eens verwardt.