Security and safety, plain and simple

Tracking: wat is het, hoe werkt het en wat kun je ertegen doen? (Deel 3)

De week: Facebook-ethics, Google-raters en de toekomst van collaboratiesoftware

Je kent het waarschijnlijk wel: je gaat online op zoek naar een hotel in Londen en in de dagen daarna word je bestookt met aanbiedingen voor Londense hotels. Welkom in de wondere wereld van tracking. In een reeks artikelen bespreken we wat tracking precies is, hoe het werkt en wat je ertegen kunt doen. In dit derde deel behandelen we de basis van de techniek achter het tracken.

Dit is het derde deel van een serie over tracking. Het eerste deel vind je hier. Het volgende deel gaat over cookies.

In de eerste twee delen hebben we gezien wat tracking is en welke bezwaren er tegen zijn. Voordat we in meer detail naar een aantal trackingtechnieken gaan kijken, is het goed om te begrijpen hoe trackers op websites terechtkomen.

De opbouw van een website
Een website is opgebouwd uit verschillende onderdelen. Naast de tekst bevatten veel websites ook onderdelen zoals afbeeldingen, foto’s, filmpjes en advertenties. Soms worden deze onderdelen door de website zelf meegeleverd. Zulke onderdelen staan op dezelfde webserver als de website zelf. Maar vaak is een onderdeel afkomstig van een derde partij, en staat dus op een andere webserver. Zulke onderdelen zou je ‘externe onderdelen’ kunnen noemen.

Als je een website in je browser opent, maakt je browser verbinding met de webserver waarop de website wordt gehost. Als de website een extern onderdeel bevat, maakt je browser ook verbinding met de webserver van de leverancier van dat externe onderdeel. Die leverancier kan dit registreren en weet zo dat jij de oorspronkelijke website bekeek.

Laten we een voorbeeld nemen. Sommige webpagina’s bevatten één of meer YouTube-filmpjes. Die YouTube-filmpjes zijn externe onderdelen die gehost worden op de webserver van YouTube. Als je dus een website met een YouTube-filmpje bezoekt, vraagt je browser dat filmpje op bij YouTube. Op die manier kan YouTube zien dat jij de bewuste webpagina bezoekt.

Trackers
Trackers zijn ook externe onderdelen. Als een website een tracker van een trackingbedrijf bevat, maken alle bezoekers van die website verbinding met de webserver van dat trackingbedrijf. Zo weet het trackingbedrijf dus wie die website allemaal bezoekt. Veel websites bevatten trackers van dezelfde trackingbedrijven. Dat stelt die trackingbedrijven in staat internetters op al die websites te volgen.

Trackers hebben verschillende ‘verschijningsvormen’. Bijvoorbeeld als advertentie. Vaak gaan websites niet zelf op zoek naar adverteerders, maar besteden dat uit aan advertentiebedrijven. De meeste advertenties op websites zijn dus externe onderdelen die geleverd worden door advertentiebedrijven. Om advertenties zo goed mogelijk af te stemmen op een websitebezoeker, moeten advertentiebedrijven iedere bezoeker kunnen herkennen en analyseren. Dat doen ze door je te tracken.

Andere trackers verschijnen als nuttige tools voor webmasters. Bijvoorbeeld als widget, een extern onderdeel dat bepaalde functionaliteit aan een website toevoegt. De Like-knop van Facebook is zo’n widget. Facebook heeft die Like-knop als extern onderdeel beschikbaar gemaakt, die eenvoudig door webmasters aan hun websites toegevoegd kan worden. Dat is handig, want zo kunnen bezoekers deze websites eenvoudig liken. Maar het stelt Facebook ook in staat om je buiten hun eigen website om te blijven volgen. Twitter biedt een vergelijkbare widget.

Een ander voorbeeld zijn de gratis diensten die Google aan webmasters aanbiedt. Eén van die diensten is Google Analytics. Daarmee krijgen webmasters meer inzicht in hun bezoekers: hoeveel bezoekers krijgt een website per dag, uit welke landen komen de meeste bezoekers, enzovoort. Daarvoor plaatsen webmasters een onzichtbaar extern onderdeel van Google op hun sites. Maar zo krijgt Google natuurlijk ook datzelfde inzicht. En omdat veel websites gebruik maken van Google Analytics, verkrijgt Google veel informatie over het surfgedrag van de bezoekers op al deze websites. Naast Analytics levert Google nog enkele andere diensten aan websites. Websites kunnen bijvoorbeeld kaarten van Google Maps invoegen. Ook kunnen websites via Google gebruik maken van captcha’s en allerlei lettertypen.

Handig, gratis en gevaarlijk
Trackers zijn dus meestal diensten, advertenties of widgets die webmasters aan hun website kunnen toevoegen. Deze diensten zijn meestal gratis, gemakkelijk te gebruiken en erg nuttig. Om ze te gebruiken, voegen webmasters een extern onderdeel aan hun website toe. Dat externe onderdeel levert de aangeboden dienst, maar functioneert ook als tracker. Vaak zijn webmasters zich helemaal niet bewust van de schaduwzijde van de diensten die ze op hun website gebruiken. Zij zien vooral de voordelen van zo’n dienst en beseffen niet dat ze de bezoekers van hun website daardoor blootstellen aan tracking.

Hoe kan een tracker je eigenlijk identificeren en volgen? Dat kan op verschillende manieren. In het volgende deel kijken we naar de oudste en meestgebruikte trackingtechniek: cookies.

Dit was het derde deel van een serie over tracking. Het eerste deel vind je hier. Het volgende deel gaat over cookies.

  1. Wim ten Brink

    Zoals gezegd kan tracking soms ook handig zijn. Voor de website eigenaar kan tracking een bron van extra inkomsten zijn als hij deze informatie mag doorverkopen aan derden. En meestal gebeurt dat dan ook zonder dat men het eigenlijk beseft, doordat men advertenties plaatst van derde partijen, en die derden dus die tracking informatie verzamelen! De inkomsten uit advertenties zijn dan mooi meegenomen, maar de adverteerder “steelt” de tracking informatie.
    Ik denk dat het dan ook belangrijk is om niet alleen de gebruikers te informeren over tracking maar ook de web developers. Uiteindelijk zijn het de bouwers die erop gewezen moeten worden dat dergelijke tracking informatie niet verzameld moet worden door de adverteerders. Kortom, net als bij BOF moeten alle links, plaatjes, scripts en andere resources op de eigen servers staan en niet elders op het Internet. Zodoende kunnen adverteerders pas tracking informatie ontvangen zodra de gebruiker op een advertentie klikt.
    Maar de webbouwers opvoeden is niet genoeg. Webbouwers hebben ook de juiste hulpmiddelen nodig om bepaalde functies aan te kunnen bieden. Google Maps is enorm handig maar niet te hosten op je eigen server. Een plaatje van Maps wel, maar dan ontbreekt er veel functionaliteit. Analytics is ook zo handig om te kunnen zien wie er allemaal de site bezoekt en om te bepalen of je wel de juiste doelgroep bereikt. Maar ook weer lastig om zelf te ontwikkelen.
    We leven nu eenmaal in een wereld waar de Web Services veel diensten aanbieden die we niet zelf willen of kunnen ontwikkelen. Die services bieden veel extra mogelijkheden aan maar gaan vaak ten koste van de privacy omdat de aanbieder van die services toch iets terug willen in ruil voor hun diensten.
    Tracking is dan ook iets dat je niet meer weg kunt denken van het Internet. Tracking levert waardevolle informatie op voor diverse partijen die hiermee een financieel gewin kunnen behalen. Een gewin dat het weer mogelijk maakt om bepaalde diensten enorm goedkoop of zelfs gratis aan te bieden…
    Op het Internet betaal je tegenwoordig voor de vele diensten met je privacy. Als je dat niet wilt, zou je eigenlijk niet het Internet op moeten gaan…

  2. Martijn

    goed artikel en heldere info.

    Ik denk dat veel te weinig mensen zich goed realiseren dat hun activiteiten over het gehele internet gevolgd worden. Door de alom aanwezige ‘like buttons’ van Facebook en de analytics-software van google, is het een kleine moeite om alle informatie aan elkaar te knopen en daar bruikbare usersprofielen van op te maken, die- uiteraard- weer geld waard zijn voor adverteerders en andere geïnteresseerde ‘partijen’.

    Veel website beheerders realiseren zich ook niet dat de door hen gebruikte gratis software, er niet voornamelijk op is gericht om hen inzicht te geven over het gebruik van hun site, maar dat vooral Google op deze wijze kan putten uit een oneindige stroom aan data.

  3. Edwin Martin

    Ik mis in dit verhaal de cookiewet. Elke (Europese) website hoort te vragen of de bezoeker mag worden gevolgd. Zolang de bezoeker niet bevestigd, maar deze niet worden gevolgd! Maar dit komt vast terug in een volgend deel. Net als de adblockers (Privacy Badger).

    Verder is het bij de iets grotere bedrijven niet de websitebeheerder die besluit om een tracker in te bouwen, maar de marketingafdeling. En aangezien de marketingafdeling (grotendeels) verantwoordelijk voor de inkomsten van een bedrijf, telt hun stem veel zwaarder dan die van de beheerder. Een advertentie met tracking levert vijf keer zoveel op als een anonieme. Voor een beheerder of ontwikkelaar is dat meestal een verloren strijd.

  4. Maarten Brouwers

    Puntje van kritiek: “Ook kunnen websites via Google gebruik maken van captcha’s en allerlei lettertypen.” De lettertypen die Google host, evenals diverse javascript libraries, worden een jaar lang gecached. Dus tenzij een gebruiker expliciet de cache ververst kan het goed zijn dat een bezoek aan een site met een populair lettertype zoals Roboto geen traffic naar Google oplevert.

    Daarnaast zijn er diverse niveau’s van tracking. De bekendste, Google Analytics, is zo te configureren dat het alleen statistieken voor jouw site bewaard, compliant met de EU richtlijn, zodat site eigenaren geen toestemming hoeven te vragen. Maar niet iedereen wil of doet dat netjes. En natuurlijk is het de vraag in welke mate Google te vertrouwen is. De cookie die dan echter wordt gezet is gekoppeld aan jouw domein en dus ook niet cross-domain te koppelen (al heeft Google de mogelijkheid om genoeg andere datapunten te combineren om alsnog bezoeken aan diverse sites aan elkaar te koppelen)

    Ook is er op youtube altijd een https://www.youtube-nocookie.com-embed variant te maken die geen cookies zet wanneer ze geembed zijn op een site. Doordat de content op een ander domein draait kan deze ook geen eerder gezette cookies uitlezen. Opnieuw, alle code die je uitvoert van een derde partij heeft genoeg mogelijkheden om alsnog een uniek profiel te maken van de gebruiker…

    • Piet Lut

      “…kan het goed zijn dat een bezoek aan een site met een populair lettertype zoals Roboto geen traffic naar Google oplevert.”

      Zoveel sites maken gebruik van ‘remote fonts’ van google en daarvoor proberen contact te maken met fonts.googleapis.com.

      Dit vind ik zorgelijk aangezien google (ook) hiermee je IP en daarmee jou kan profileren en dit als ‘handel’ aan adverterende databoeeren kan doorverkopen.

      Maak ik me nou zorgen om niets (geen sneaky manier van tracking) of is het toch wel verstandig om deze site in m’n hosts file te plaatsen ?

Laat een reactie achter op Maarten Brouwers Reactie annuleren

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.