Privacy: browser history (gedeeltelijk) te achterhalen

Eťn van de handige dingen van een webbrowser (zoals Internet Explorer of Firefox), is dat hij bijhoudt welke sites je allemaal bezocht hebt. Op die manier kun je met bijvoorbeeld de back-knop terug naar voorgaande websites, of vult de adresbalk automatisch een domeinnaam van een recent bezochte site aan, als je die intikt in de adresbalk.

Een andere feature van je browser is dat links die je bezocht hebt een ander kleurtje (kunnen) krijgen. Als een website geen instructies geeft over de linkkleur (doormiddel van CSS), dan wordt een link normaal gesproken blauw, en als je hem bezocht hebt paars. Als webdeveloper heb je invloed op die kleuren; op dit weblog zijn de tekstlinkjes (z)(l)icht blauw, en ook als je ze al wel bezocht hebt. Ga je er met de muis overheen, dan worden de linkjes roze, enz.

Als je die twee features van een browser aan elkaar knoopt (dus het feit dat je bezochte sites onthouden worden, en het feit dat linkjes naar bezochte sites een andere kleur of ander lettertype zouden kunnen krijgen), dan kun je op die manier dus gaan checken of een bezoeker van je site ooit al eens een bepaalde andere site heeft bezocht.

Dit fenomeen werd al in 2006 ontdekt en openbaar gemaakt, maar vandaag kwam ik via Andre Scholten's blog een nog subtielere methode tegen. De originele 'hack' maakte gebruik van Javascript (wat je in principe uit kunt zetten in je browser), maar die andere methode gebruikt CSS, en er zijn niet veel browsers die standaard de mogelijkheid hebben om CSS uit te zetten (nog afgezien van de vraag of je dat wel zou willen, maar dat is een andere discussie).

Al met al is er helaas niet heel veel aan te doen. De enige oplossing lijkt te zijn dat browsers de a:visited functie gaan uitschakelen of beperken, maar die kans acht ik ook niet heel groot aangezien dit een feature is die al door de allereerste moderne webbrowsers werden gebruikt.

Er is echter ook een (klein) positief puntje: via deze methoden kunnen alleen sites worden gechecked die vooraf door de maker van de site in een lijst zijn gezet. En daarnaast moet de URL van die pagina dan ook exact overeenkomen met de URL in de lijst. Feitelijk is zoiets dan alleen bruikbaar wanneer je een hele grote lijst hebt, met meestal alleen homepages van bekende sites erop. Niemand zal er ooit achter komen welke Hyves profielen, obscure hobby sites of Marktplaats advertenties je hebt bekeken, tenzij ze ooit op die lijst gezet zijn. Gezien het feit dat internet bestaat uit miljarden verschillende pagina's met evenzovele unieke internetadressen, moet zo'n lijst zich beperken tot bijv. de 100 of 1000 meest bezochte websites.

De hamvraag is natuurlijk of dit mag. Ik vermoed van niet, maar voor zover ik weet is er nog nooit een rechter geweest die uitspraak heeft gedaan in een dergelijke zaak. De moraal van het verhaal is daarom vooral: wees je ervan bewust dat dit soort dingen mogelijk zijn. En zet bijvoorbeeld de 'private browsing' functie aan in je browser, als je erg op je privacy gesteld bent.

17-03-10 Gepost door: Jelle-Jan van Veelen Comments (0)

Add Comment


E-Mail addresses will not be displayed and will only be used for E-Mail notifications.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA