Nee, Sargasso geeft uw gegevens niet lukraak weg

De afgelopen dagen was het in de reactiepanelen van Sargasso wat onrustig. Een van onze bezoekers claimde dat Sargasso de informatie van haar bezoekers “weggaf” aan allerlei sites, variërend van de Telegraaf tot Al Jazeera. We kunnen hier kort over zijn: dit is niet het geval. Deze bezoeker vond het vervolgens nodig om van verschillende van onze bezoekers een gedeeltelijk IP te plaatsen om te “bewijzen” dat Sargasso deze gegevens verspreidt. Ook na herhaaldelijk aandringen op enige toelichting deed de bezoeker dit zonder duidelijk te maken hoe hij aan deze gegevens kwam. Na wat onderzoek kwamen we daar – gelukkig – zelf achter.

Plaatje invoegen

Al jaren is het op Sargasso mogelijk plaatjes in je eigen reacties bij te voegen, en deze plaatjes kunnen van overal komen. Dus als je een eigen server of website hebt, dan kan je daar een plaatje neerzetten, en deze vervolgens in je reactie op Sargasso plaatsen. Het nadeel van deze aanpak is dat iedereen die de Sargasso-pagina bezoekt automatisch het plaatje inlaadt, en daarmee zijn ip-adres (en nog wat andere informatie) doorgeeft aan de server waar het plaatje staat. En als er op die server statistieken meedraaien, dan kan de eigenaar van die server zien welk IP-adressen het plaatje wanneer hebben opgehaald. Daarna kan je kijken wanneer de reacties op Sargasso zijn gegeven en je kan zonder al te veel problemen bepalen welke (reacties achterlatende) bezoeker achter welk IP-adres schuil gaat. Nu kan je daar op zich meestal nog niet zoveel mee, maar het is officieel wel een persoonsgegeven.

Dit heeft nadrukkelijk niets te maken met de claim dat wij gegevens zouden versturen naar andere sites. Het is echter wel mogelijk voor een derde partij om indirect persoonsgegevens te verkrijgen door in onze reacties een plaatje te plaatsen en dit plaatje dan actief te monitoren. Dit is echter niet iets waar Sargasso actief aan meewerkt, en staat los van de claim van de bezoeker. We zien echter geen aanleiding dat bovenstaande mogelijkheid door Al Jazeera, Al Qaida of andere kanalen is misbruikt (of überhaupt gebruikt).

Maar – er is altijd een maar – zoals bijna elke site wordt er op Sargasso via het gebruik van andere diensten soms informatie meegestuurd. In ons geval is dat aan Google – we plaatsen dagelijks een Closing Time met daarin een youtube – en gravatar, het systeem van wordpress om dezelfde avatar overal te kunnen gebruiken. Zonder dit kan je bijvoorbeeld geen video’s plaatsen.

Maar hierdoor weet Google dus wel dat u Sargasso bezoekt, en mocht u elders zijn ingelogd bij gmail dan is de kans groot dat google het vinkje “is geinterresseerd in politiek” aanzet in je advertentieprofiel. Heeft u een gravatar? Dan weet WordPress welke sites met gravatar u waar en wanneer bezoekt. Heeft u geen gravatar? Dan waarschijnlijk ook, maar het is wel lastiger. Een goede adblocker kan in deze gevallen uitkomst bieden, maar het IP-adres komt hoe dan ook bij Google terecht,

Wat nu

Buiten Google en gravatar (die laatste gaat er overigens uit op onze nieuwe site) “lekken” we geen informatie. Dat wil niet zeggen dat bepaalde dingen niet beter kunnen. HTTPS wordt op dit moment node gemist, bijvoorbeeld. Aan dit soort dingen wordt gewerkt, maar bovenstaande episode onderstreept maar weer dat voorzichtigheid geboden is, zeker in deze tijden van toenemende polarisatie. We zetten daarom per direct de mogelijkheid om plaatjes in de reacties te embedden uit.

Overigens is het in het kader van “responsible disclosure” gangbaar dat dit soort dingen eerst vertrouwelijk worden gemeld bij de betrokken partij – bij de Sargasso-redactie dus in dit geval. Wij stellen het dan ook op prijs dat als u een lek of potentieel gevaarlijke situatie op Sargasso tegenkomt, u deze eerst aan ons meldt voordat u deze in de comments plaatst.

  1. 1

    Duidelijk. Dank.

    Ik wil er wel meteen aan toevoegen, dat het uitzetten van al die dingen het internet vrijwel nutteloos maakt want wat grote pier bedoelde was natuurlijk, dat het volgen van links in het algemeen betekent dat je dat weggeeft aan de eigenaar van die link. Of dat nu een plaatje is of niet.

    Zullen we maar meteen de stekker er uit trekken?

    Van mij mag dat plaatje meteen terug hoor. Of mogen we straks ook geen links naar wiki’s, eigen sites of wat dan ook meer plaatsen?

  2. 2

    Ook na herhaaldelijk aandringen op enige toelichting deed de bezoeker dit zonder duidelijk te maken hoe hij aan deze gegevens kwam.

    Preciezer: na veel vijven en zessen, smeken en verbidden, hangen en wurgen kwam het hoge woord er bij Grûtte Pier alsnog uit, maar toen had je het lek – na drie uur zoeken – zelf al boven water weten te halen.

    Voordat we dáár weer gezanik over krijgen…

  3. 4

    @2: Ik zat in de verkeerde draden te kijken. Hij was op drie plekken tegelijk aan het reageren, waardoor ik dat plaatje miste. Pas toen ik al zijn comments in de backend bekeek zag ik het.

  4. 5

    @1: Links blijven eigen verantwoordelijkheid. Maar automatisch dingen inladen levert een risico op. Dit is een hypothetische situatie, maar stel dat een extreemrechtse groep besluit de bezoekers van Sargasso alvast te profileren. Dit zou een makkelijke manier zijn om het (deels) te doen.

  5. 6

    Nuja, Joost. Er liepen ook nog wat onderwerpen door elkaar.
    Een magic pixel via een eigen server tracken is één ding. Maar verder begon GP ook nog over de JavaScripts die kennelijk als comment in de source staan, plus nog een issue over bestaande trackerdiensten elders. Dat hielp niet een duidelijk plaatje (no pun intended) te krijgen van wat hij nou bedoelde te zeggen…

  6. 8

    @1: Niet helemaal. Er is een groot verschil tussen een link en een plaatje. Een plaatje wordt bij bezoek geladen en dan wordt jouw informatie naar die server gestuurd en daar kan je dan vrij makkelijk statistieken opslaan en profileren ( ook niet heel moeilijk ) .

    Een link open je zelf en pas dan krijgt de site-eigenaar die informatie. En met zaken als ‘noreferer’ hoeft de browser niet perse de afkomst van de site vrij te geven.

    Je kan via bv Privacy-badger ( van EFF ) en Ad-blocks makkelijk een hoop rommel weren, zo streng als je zelf wilt ( zou ik ook doen trouwens, afgezien van sargasso, zijn er veel sites die 20+ analyse-tools draaien ) .

    Dit was trouwens wel zo’n beetje de oudste truc in de doos.

  7. 9

    @8: Ja, joost#5 zei het al. Is zo, maar de stap is maar heel klein natuurlijk. Want als we bang worden links te klikken (no pun intended) houdt het interessante deel van het internet gauw op.

    ‘noreferer’ idd, toevoegen bij de links net als ‘noopener’ door WP tegenwoordig standaard toegevoegd.

    Ik wacht op de ‘noinfoatall’ qualifier ;)

  8. 10

    Afgelopen zondag melde ik dat niet alleen WhatsApp data weggeeft aan Facebook, maar dat deze site Sargasso daar netzo goed aan mee doet.

    Vervolgens wordt dat ontkent door Joost. Als ik hem dan een hele waslijst lever waar naar deze site lekt, wordt dat nogsteeds ontkent.

    “Nee, Sargasso geeft uw gegevens niet lukraak weg”
    Zelf nadat ik op een kinderlijk eenvoudige manier hetzelfde gedaan heb, wat data-verzamelaars als bv Google, Facebook, Gravatar doen, blijft Joost hier nog steeds ontkennen…

    “dit soort dingen eerst vertrouwelijk worden gemeld bij de betrokken” Sorry hoor, met het stellige ontkennen lijkt me dit geen optie!

    Deze pagina van Sargasso geeft op dit moment ALLE ip’s van ALLE bezoeker weg aan de volgende instellingen: (op de fp is de lijst langer)

    [*=www]
    footo.nl
    creativecommons.org
    *.binnenlandsbestuur.nl
    *.facebook.com
    *.flickr.com
    *.leaseweb.com
    *.nrc.nl
    *.tni.org
    analytics.sargasso.nl
    fonts.googleapis.com
    s.w.org
    0.gravatar.com
    1.gravatar.com
    2.gravatar.com
    sargasso.nl

    En wanneer er morgen bij een volgend artikel weer een plaatje van Al Jazeera wordt gebruikt dan is idd Al Qaida precies op de hoogte van alle Sargasso bezoekers!

    En wie zegt mij dat de NRC niets doet met de sargasso-bezoekers-data? Juist kranten publiceren vaak met lousje verkregen gegevens!

    Goed iig dat niet iedereen meer zomaar plaatjes kan embedden, het is een begin.
    Enfin, ikzelf blijf ff een maandje weg – mss is dan eea gefixed :)

  9. 12

    @10: Je bedoelt dat je een ban van een maand hebt en je gaat onder een nieuw account nog even doen alsof het je eigen beslissing zou zijn geweest?

    En je gaat nu ook weer net doen alsof een site als binnenlandsbestuur.nl of google-fonts net als jij zonder te waarschuwen alle afgevangen ip adressen van mensen die via ons op hun site komen handmatig gaat koppelen, om hier vervolgens iets mee te gaan doen – precies de reden waarom wij jou die ban gegeven hebben?

    Maar nogmaals dank voor je kinderachtige hackpogingen hoor. Het heeft ons getoond dat we inderdaad niet veilig genoeg waren voor mensen met kwade bedoelingen – zoals jij zelf. We hebben het posten van plaatjes al afgesloten. Jammer voor de mensen die gewoon een plaatje willen laten zien, maar het kan niet anders. De goeden moeten onder de kwaden lijden.

    Wat we verder kunnen doen is jou langer dan een maand bannen zolang je terug blijft komen met nieuwe accounts om leugens te verspreiden om ons op ons eigen forum zwart te maken, en die accounts verder, hoe vaak je ook terug komt in het vervolg, handmatig blijven verwijderen – omdat we toch moeilijk ook nog eens omwille van trollen als jij het maken van nieuwe accounts onder nieuwe ip-adressen kunnen afsluiten…

    Ik gooi het in de groep en we nemen het in overweging. De groetjes.

  10. 13

    @10: als je wat constructiever zou zijn in je berichten, zou er meer gedaan worden met wat je aandraagt, voorzover nodig. Als Sargasso een fout maakt is het prima om daar op te wijzen, maar door zo tekeer te gaan wek je de indruk dat de intentie niet constructief is.

  11. 14

    @12: om die informatie bij bijv. fotoo.nl te krijgen moet iemand een plaatje van die site posten, dan kunnen ze aan de slag. Dat is voor geen van die sites het geval.

    Fotoo.nl is overigens wel een mooie in die lijst. Het is het domein van de link die @bolke plaatste. Dit bevestigt het vermoeden dat de browser van GP een pre-fetch doet op elke link op deze site. De pagina wordt dus al geladen voordat deze wordt opgevraagd. Dat wordt gedaan (maar niet door ons) om de browser-ervaring te verbeteren, maar is niet per definitie goed voor de privacy

  12. 16

    Wat is de mening van Jan met korte achternaam waard? Hoogstens als er specifieke info gelekt zou worden onder een alias hier van iemand die gevoelige details onthuld over een bedrijf of iets in de politieke besluitvorming. Anders niet interessant voor derden.

  13. 17

    @analist: Hij overtreedt aan de lopende band huisregels, heeft zonder instemming van onze gebruikers hun data verzameld en deze deels openbaar gemaakt.

    Het is een conditionele ban, waarbij hij terug mag komen als hij op een rustige en duidelijke manier aan ons uitlegt wat er volgens hem mis is en hoe wij dat zouden kunnen reproduceren en in gesprek kunnen gaan. Constant hetzelfde verhaal houden zonder enige blijk van begrip van de materie, daar passen we voor, te meer omdat hij onterecht onzekerheid over Sargasso verspreidt. Hij heeft overigens nooit ook maar de intentie gehad ons te informeren. Ook nu weer. In plaats van contact opnemen met ons, omzeilt hij de ban om wederom hetzelfde verhaal af te steken.

  14. 18

    @15: [ dat de browser van GP een pre-fetch doet op elke link op deze site. De pagina wordt dus al geladen voordat deze wordt opgevraagd. ]
    Hoeveel stroom kost dat eigenlijk? Al die links laden die nooit worden aangeklikt?
    Je leest dat ICT al meer dan 10% van het stroomverbruik opeist en toch gaan we maar door met the internet of things en nieuwe aps en nieuwssites met overal video waar een tekstje ruim voldoende is.

    Tijd voor een “groen” keurmerk voor apps, browsers en sites?

  15. 20

    Hilarisch dat onze privacy-ridder zelf een browser gebruikt die dergelijke pre-fetches doet.

    Wel zorgelijk dat dat soort pre-fetch blijkbaar standaard browsergedrag is. In een van mijn reacties opperde ik het idee, maar ik dacht eigenlijk dat het slechts een onzinnig idee uit mijn eigen brein was. In het kader van onnodig data- en energieverbruik en met het oog op de privacy lijkt me dat uiterst onwenselijk.

    Als mijn baas mijn internetverkeer monitort, verschijnen dan ook alle websites achter links waar ik niet op klik in de logs? Heeft er iemand een overzicht van browsers die dit doen?

  16. 21

    @20: Alle browsers behalve Safari hebben het standaard aanstaan.

    https://en.wikipedia.org/wiki/Link_prefetching

    Additionally, there are a number of criticisms regarding the privacy and resource usage implications of link prefetching:

    – Users and website operators who pay for the amount of bandwidth they use find themselves paying for traffic for pages the user might not actually visit, and advertisers might pay for viewed ads on sites that are never visited.
    – Web statistics such as browser usage, search engine referers, and page hits may become less reliable due to registering page hits that were never seen by the user.
    – Users may be exposed to more security risks by downloading more pages, or from un-requested sites (additionally compounded as drive-by downloads become more advanced and diverse).

    En wat betreft je baas:
    – Users may violate acceptable-use policies of their network or organisation if prefetching accesses unauthorised content.

  17. 24

    @22: Je kunt het in je regedit regelen, maar ik heb het in Firefox zelf geregeld. Bleek trouwens al uit te staan, dus of die standaard aan staan zoals de Wiki beweert betwijfel ik.

    Googel op pre fetching + browsernaam

  18. 26

    Was even zoeken in Opera, maar stond inderdaad standaard aan (‘Predict network actions to improve page load performance’)

    Ook meteen even de random VPN aangezet.

  19. 28

    Hmmm het getrol van G.P. lijkt een aardig interessante discussie op te leveren. Interessanter dan de meeste. @joost: in dat licht is een maandlange ban nog steeds het antwoord (als je even over egos heen stapt)

  20. 30

    @Analist: Jij vindt het misschien een leuke discussie maar wij worden als vrijwilligersteam van ons werk gehaald doordat iemand in onze site loopt te kloten, en wel meldt dat hij dat doet, maar niet hoe en waar. Als je dat laatste niet doet, dan behoor je gewoon in het hokje kwaadaardige hackers. Het kost ons onze kostbare tijd en onze bezoekers hun privacy, en het doel is enkel paniek zaaien, waarvan de helft nog onterecht ook, willens en wetens.

    Als dat niet tot een ban mag leiden, wat dan wel?
    Maar dank dat je kennelijk onze openlijke reactie met een stuk en openheid van discussie wel waardeert. De meeste websiteeigenaars hadden gewoon de reacties stilzwijgend weggehaald en de veiligheidsdiscussie binnenskamers gehouden. Maar dit is een van onze onderwerpen dus doen we er ook wat mee in het openbaar.

    Geef alleen de credits voor die discussie wel aan de goede partij aub.

  21. 31

    @analist: Het heeft weinig met ego’s te maken. Als GP de komende dagen zou doorgaan met het spamposten van die comments (iets wat hij al dagen doet, dus waarom zou hij stoppen?), zouden wij ermee bezig moeten blijven. Dat is enorm vermoeiend en staat normaal werk en stukjes schrijven (waar het hier om zou moeten gaan) in de weg. Over een maand kan hij terug komen en als hij dan normaal doet is er niets aan de hand.

  22. 32

    ..maar het IP-adres komt hoe dan ook bij Google terecht

    Daar is ook al een oplossing voor, PiHole. Daarmee heb je zelf volledige controle over waar wel en niet mee verbinding mag worden gemaakt. Aanrader voor diegenen onder ons die zich druk maken over online privacy.

  23. 33

    @32:

    Een toegewijde rPi is natuurlijk leuk maar ik denk dat Windows hier op Sargasso toch de norm zal zijn. Daarom is het best handig even te noemen dat het gewoon gaat om een host file die alles van (vooraf) bepaalde adressen naar een lokaal loop adres stuurt en dus per saldo de advertenties niet langer op je apparaat laat zien.

    http://someonewhocares.org/hosts/

    Ik ga er van uit dat de *nix-nerds zichzelf wel weten te redden.

  24. 34

    @32 / @33: Het punt is dat als je de informatie terug wilt hebben, de versturende partij wel het adres moet hebben waar de informatie naartoe gestuurd kan worden. Het ip-adres is dus een noodzakelijk kwaad.

  25. 35

    Ik ben van mening dat je (a) user-generated links naar externe content plaatjes niet moet toestaan (met wellicht wat slimme uitzonderingen voor betrouwbare bekende partijen) en (b) het default gedrag van browsers anders moet; bij het opvragen van content van andere hosts dan de site die je bezoekt, zouden geen cookies e.d. meegestuurd moeten worden. Dit soort tracking is dan niet meer zonder meer mogelijk als je bijvoorbeeld alleen maar bezoekers wil tellen met Google Analytics. Maarja…

  26. 36

    @34:

    Uiteraard. Je wisselt het ene in tegen het andere.
    Persoonlijk heb ik een heel summier-hostfile bestand met de voornaamste boosdoeners erin vermeld maar voor de rest denk ik dat een systeem als het internet nu eenmaal werkt zoals het doet.

    Vandaar dat ik ook zo fel tegen ben op overheidsbemoeienis.

    Plusje trouwens, voor het laten plaatsvinden van de discussie.

  27. 37

    @33:
    Als je één PC of laptop hebt is jouw oplossing, hostfile aanpassen, de korste klap. Maar als je ook nog tablets en smartphones gebruikt is de PiHole-oplossing handiger.

    @34:
    Je hoeft geen gebruik te maken van Google’s producten, er zijn genoeg alternatieven. Al moet ik eerlijk toegeven dat Google’s apps makkelijk werken, vaak gebruikersvriendelijk zijn dan die van de concurrent. Maar tja, in ruil lever je je privacy in: Ieder moet voor zichzelf maar uitmaken hoe belangrijk dat is.

  28. 38

    Kwestie van tijd dat er genoeg websites zijn die op zwart gaan als je ads blocked en dan is het snel afgelopen met het ad blocken omdat je dan nergens meer naar toe kunt kwa surfen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

| Registreren