Umuligt at spærre for: Her er afløseren for tracking med cookies

31 kommentarer.  Hop til debatten
Umuligt at spærre for: Her er afløseren for tracking med cookies
Illustration: Bob Smith.
Ved at kigge på din computers specifikationer og installerede programmer kan du spores uden brug af cookies. Godt nyt for tjenester, der vil spore brugere, der ikke ønsker cookies - men dårligt nyt for alle andre.
19. juni 2013 kl. 11:51
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Cookies, de små tekstfiler, der lagres på din computer, når du besøger sider på nettet, har længe været omdiskuterede på grund af privacy-udfordringer. Blandt andet har EU forsøgt at sikre brugernes rettigheder med regler om cookies, og hjemmesider har i mere end ti år skullet informere om brugen af cookies. Men en ny teknologi kan genkende din computer uden at lagre noget hos dig, og det gør den svær, hvis ikke umulig, at spærre for, skriver det amerikanske medie Forbes.

Din browser kan indstilles til at afvise cookies, du kan bruge tjenesten Do Not Track og du kan bruge en mobil enhed, som ikke understøtter cookies. Der er mange muligheder for at undgå, at hjemmesider bruger cookies og lagrer en fil på din computer for at kunne spore dig. Målene kan være både god- og ondsindede og strækker sig fra alt fra at holde styr på indkøbskurve i netbutikker, til at kunne spore dig overalt på nettet.

Men i virkeligheden kan du spores uden brug af cookies, og dermed uden, at du kan gøre noget ved det. For kigger man udelukkende på de specifikationer, din computer har, når du besøger hjemmesider, kan man blandt andet se, hvilke plugins og software, du har installeret, din skærmstørrelse, tidszonen, sprog, skrifttyper og andre ting, som samlet giver et unikt billede af dig og din computer.

Ifølge the Electronic Frontier Foundation har 94 procent af browsere unikke identiteter, hvis de brugte udvidelser som Flash eller Java. Begge udvidelser er afgørende for at kunne bruge bestemte tjenester på nettet, fx er sidstnævnte et krav for brugen af NemID.

Artiklen fortsætter efter annoncen

Electronic Frontier Foundation har en side, hvor man kan få vist, hvilke informationer ens computer sender, når man besøger nettet.

Læs mere om problematikken på Forbes.com

31 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
25
20. juni 2013 kl. 14:49

Og blot til orientering, så rapporterer Ghostery, at version2's website tillader hele tolv trackers at spore vore besøg.

AddThis, ChartBeat, Emediate, Facebook Connect, Facebook Social Connect, Gemius, Google +1, Linkedin Widgets, New Relic, Open Addexchange, Twitter Button, Userreport.

24
20. juni 2013 kl. 14:38

Der er en fordummende tendens til at overlade vores ansvar til andre.

Det er i bund og grund vores eget ansvar at sikre os, at vores oplysninger ikke bliver viderebragt.

Hvordan det BURDE være, er interessant, men faktisk ikke særlig relevant.

Hvad der derimod er særdeles relevant, er hvordan vi bedst undgår at viderebringe oplysninger der kan benyttes til at spore vores færden på nettet.

Ja, ÉN af måderne er at forsøge at påvirke myndighederne til at indføre noget der virker i praksis (det har vist temmelig lange udsigter, med mindre der er mange stemmer, eller større tilskud til valgkassen end modstanderne vil hoste op med).

Derfor er det aller mest relevante lige nu; hvad kan vi selv, her og nu, gøre for at anonymisere vore besøg på diverse websites?

Altså! Findes der løsninger der forhindrer tracking, og hvordan bruges de?

31
20. juni 2013 kl. 22:46

Ikke i EU, hvor vi har en persondatalovgivning.

Det skal fedt hjælpe, hvis blot en af parterne er uden for EU.

Jeg gentager: det er i bund og grund vores eget ansvar.

Det hjælper ikke en pind at henvise til cookie bekendtgørelsen eller EU's regler, hvis din "modspiller" sidder i Nigeria.

Det hjælper heller ikke en pind at mene, at det bør være anderledes.

Her hjælper kun, hvad vi selv kan gøre.

21
20. juni 2013 kl. 14:17

Lokal/national lovgivning har ikke ret meget relevans på internettet.

Se, nu er det engang sådan, at lovgivning kun gælder for det område den lovgivende forsamling har hjemmel til at lovgive for. EU har nu engang kun lovhjemmel til at lovgive om hvordan virksomheder inden for EU behandler de oplysninger de indsamler, så derfor gælder "cookie direktivet" faktisk kun for virksomheder der driver forretning inden for EU's grænser.

Der er intet der forhindrer virksomheder udenfor EU, hverken i at indsamle oplysninger, eller i at bruge dem til lige hvad de har lyst til, inklusive at videregive dem til trediepart.

23
20. juni 2013 kl. 14:24

Du har ret - EU er selvfølgelig ikke den eneste puslespilsbrik i verden.

Men det handler jo også om tillid til internettet, og det har resten af verden jo også en interesse i. Det hele er selvfølgelig ikke noget, man klarer overnight - det kan vi vist godt blive enige om :-)

17
20. juni 2013 kl. 13:29

@Peter,

Bare fordi det er galt med den tekniske indretning, betyder det vel ikke, at det er i orden? Det er det samme med annoncer i nyhedsstrømmen på Facebook, som teknisk ikke er indrettet til at overholde markedsføringsregler om uanmodet henvendelse - men derfor er det jo stadig ikke i orden at spamme, eller i denne situation tracke uden samtykke.

18
Indsendt af Peter Binderup (ikke efterprøvet) den tor, 06/20/2013 - 13:42

Bare fordi det er galt med den tekniske indretning, betyder det vel ikke, at det er i orden?

Nej, men vi skal også til at have lidt realitetsfornemmelse ind i debatten, for skal man have kontrol over fingerprinting i forhold til tracking, så skal der pludselig en helt anden type og langt mere "hårdhændet" kontrol til. Styrelsen kan ikke kontrollere om reglerne bliver overholdt med mindre de får adgang til serverne og den kode der bliver afviklet på den, og det tror jeg at de kan skyde en hvid pil efter. I så fald vil NSA's prism overvågning virke som uskyldigt ved siden af.

Og igen det er din browser der sender data til min server, ikke min server der beder om en masse information fra din "terminal" - så modsat cookies så er det dit ansvar at lukke for data lækage fra din terminal.

19
20. juni 2013 kl. 13:56

Jeg har ikke forholdt mig til det praktiske, der vedrører andet end samtykke - som fx håndhævelsen og tilsynet - så det vil jeg ikke kommentere på.

Men det, jeg slår til lyd for, er det problem, at man trackes uden at blive informeret om det og trackingens formål og ikke kan vælge det fra. Dét er grundlæggende retsstridigt, og har så tætte lighedstræk i sin grund-idé med cookies, at jeg mener, at reglerne også bør finde/finder anvendelse her. Det mener jeg godt kan antages ud fra reglernes ordlyd og formål.

Den tekniske indretning kan og bør vel følge med udviklingen til gavn for almindelige menneskers retssikkerhed.

20
Indsendt af Peter Binderup (ikke efterprøvet) den tor, 06/20/2013 - 14:06

Jeg har ikke forholdt mig til det praktiske, der vedrører andet end samtykke - som fx håndhævelsen og tilsynet - så det vil jeg ikke kommentere på.

Men du kan ikke bruge "cookie direktivet" som dækker over en anden kommunikationsretning end fingerprinting tracking. Cookie direktivet forbyder mig at gemme tracking cookies på din terminal og derefter tilgå dem i tracking øjemed uden samtykke - fingerprinting bryder ikke den regel og er (som jeg læser direktivet) slet ikke omfattet af cookie direktivet. Så der er slet ikke et krav om samtykke.

Og det er min helt klare holdning at det er slutbrugerens eget ansvar at forhindre tracking hvis slutbrugeren har et problem med det - det er slutbrugerens ansvar at forhindre sit terminaludstyr i at lække data.

27
20. juni 2013 kl. 21:16

Men du kan ikke bruge "cookie direktivet" som dækker over en anden kommunikationsretning end fingerprinting tracking. Cookie direktivet forbyder mig at gemme tracking cookies på din terminal og derefter tilgå dem i tracking øjemed uden samtykke - fingerprinting bryder ikke den regel og er (som jeg læser direktivet) slet ikke omfattet af cookie direktivet. Så der er slet ikke et krav om samtykke.

Vi er enige om at cookie bekendtgørelsen ikke dækker her, eftersom der ikke sker lagring af oplysninger i brugerens terminaludstyr.

Men persondataloven regulerer din behandling af personoplysninger. Når du gemmer så mange oplysninger at du kan identificere (genkende) en person, vil din databehandling være omfattet af persondataloven.

Det giver dig næppe færre forpligtelser eller begrænsninger end cookiebekendtgørelsen.

29
20. juni 2013 kl. 21:29

Det lader til at være en udbredt fejlagtig opfattelse, hvad cookie-bekendtgørelsen dækker. Den dækker naturligvis lagring af cookies o. lign., men derudover dækker den altså også adgangen til oplysninger i terminaludstyret, jf. det borgerlige navn "Bekendtgørelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr" - aka »Cookie-bekendtgørelsen«.

22
20. juni 2013 kl. 14:19

Jo, det mener jeg godt man kan (men jeg kan godt fornemme, at vi ikke bliver enige :-) ).

Hele formålet med reglerne, der har rod i persondatabeskyttelsesreglerne er, at almindelige mennesker ikke skal spores uden at være informeret om det og skal have mulighed for at fravælge det.

Om det foregår på den ene tekniske måde eller den anden (det du kalder kommunikationsretning) er i den sammenhæng i princippet lige meget. Det mener jeg klart, at cookie-reglerne tager højde for i ordlyden, og at det må være teknisk muligt at indrette også.

12
20. juni 2013 kl. 11:52

*men Cookies har belejligt lagt navn til bekendtgørelsen

10
20. juni 2013 kl. 11:34

Cookie-direktivet omfatter ikke kun cookies, men lignende teknologier, som får adgang til lagrede oplysninger på slutbrugerens udstyr, fx hvilken software, man har installeret osv. Cookies er jo bare et eksempel, men bekendtgørelsen har jo belejligt lagt navn til det.

Hvordan sporingen foregår er i princippet lige meget, og brugeren skal stadig give samtykke til at sporingen finder sted og til dens formål. Direktivet er jo teknologi-neutralt, og fokus er stadig de grundlæggende frihedsrettigheder som ret til information og privatlivets fred.

Jeg synes ikke, artiklen giver det fulde billede af reglerne, men nærmere agerer skræmmekampagne for noget, som egentlig er reguleret.

13
Indsendt af Peter Binderup (ikke efterprøvet) den tor, 06/20/2013 - 12:43

@Lise

Ikke som direktivet er beskrevet (https://www.retsinformation.dk/Forms/R0710.aspx?id=139279 - §3), så er der tale om at man må ikke gemme oplysninger på brugernes computer/browser uden at informere dem om det og tilgå det bagefter eller lade 3. part tilgå det. Med fingerprinting gemmer man ikke noget hos slutbrugeren - brugeren afgiver helt (u)frivilligt en masse information, som er unikt nok til at man kan spore en person.

Det er information der på ingen måde er hemmeligt, og noget browserne i årevis har afgivet, og som de nok også bliver ved med at afgive i fremtiden. Det er blot anvendelsen af de data du sender afsted der nu kan blive anvendt anderledes - jeg kan som hjemmeside ejer IKKE gøre noget for at du sender informationen til mig.

Når du som besøgende frivilligt går ind på en hjemmeside, så er det altså ikke hjemmeside ejerens problem (med fingerprinting) at du måske ikke vil spores, for vil han gøre brug af fingerprinting så er der ikke noget der forhindre ham i det - der er heller ikke nogen der kan kontrollere om hjemmeside ejeren gør brug af fingerprinting til tracking - hvem skulle være kontrolinstans med server adgang? Skal vi give digitaliseringsstyrelsen NSA lignende adgang til vores servere for at de kan tjekke at hjemmesiderne ikke benytter sig af de muligheder en ganske almindelig serverlog i årevis har givet mulighed for?

Og der er tale om information du som slutbruger afgiver, ikke oplysninger som udbyder skal bede om. Så er der nogen styrelsen, EU og DJØF'erne skal efter nu er browser producenterne - for nu skal browser producenterne til at forhindre at du sender information til hjemmesiderne.

Så vi er tilbage til udgangspunktet, som, efter min mening, burde pege i retningen af at det er slutbrugerens eget ansvar hvad ham/hun afgiver af information - og så samtidig lovgive internationalt (EU og USA primært) om hvordan reklamebranchen/analytics branchen skal håndtere de data de kommer i besiddelse af

15
20. juni 2013 kl. 13:05

Jeg synes, det klart overses - hvilket også fremgår af bekendtgørelsen - at reglerne også gælder (ikke kun lagringen men også) den uretmæssige opnåelse af adgang til oplysningerne i terminaludstyret. Det er fingerprinting jo også en form af, hvis indholdet er så unikt, at en person reelt kan spores.

Som sagt, så er det jo ikke teknologien, men det at der spores, der er problemet, hvis brugeren ikke ønsker det. Jeg synes ikke, man kan lægge det over på (for)brugeren at vide, hvordan en computer afgiver oplysninger. Det kan godt være, det ikke er hemmeligt, men det er for en gennemsnitlig bruger ikke almen viden.

Nu er jeg ikke teknik-nørd (hatten af for dem, der virkelig har indblik i det tekniske), men det burde vel kunne lade sig gøre, at implementere et samtykke, som også omfatter fingerprinting, således at man ikke spores på nogen måde, hvis ikke man ønsker det - nøjagtig som cookies.

16
Indsendt af Peter Binderup (ikke efterprøvet) den tor, 06/20/2013 - 13:22

Men Lise

Som det er i dag så sender din browser det afsted uanset om jeg som hjemmeside ejer vil gøre brug af det eller ej - jeg beder ikke om det - du sender det. Hele problematikken er nu vendt på hovedet, så det er helt holdent slutbrugerens ansvar at lade være med at sende data afsted.

Det er IE, Firefox, Chrome osv. der skal skrives om så de ikke afsender den information - det er altså ikke hjemmesiden du besøger der har det ansvar cookies er noget helt andet for der er det hjemmesiden der sætter informationen på slutbrugerens terminal.

Og samtykket du efterspørger. Hvem skal kontrollere at det bliver overholdt? Jeg giver altså ikke digitaliseringsstyrelsen adgang til de servere jeg har ansvaret for.

Så loven har været tåbelig fra start til slut, men hensigten nobel.

26
20. juni 2013 kl. 21:13

Som det er i dag så sender din browser det afsted uanset om jeg som hjemmeside ejer vil gøre brug af det eller ej - jeg beder ikke om det - du sender det. Hele problematikken er nu vendt på hovedet, så det er helt holdent slutbrugerens ansvar at lade være med at sende data afsted.

Sende data af sted er lige at stramme den. Du sender en 'user agent' afsted, men oplysningerne om plugins, skærmstørrelse, systemfonte m.v. kan kun aflæses af webstedet ved at afvikle Javascript på din computer.

Et lille tip til at blokere font enumeration i Flash er at tilføje følgende til Adobe Flash configurationsfilen mms.cfg

  1. # Disable access to information about installed fonts
  2. DisableDeviceFontEnumeration = 1

Det blokerer for EFF's font check på min Ubuntu 12.04 LTS. Værdien af at lave denne blokering bliver større, desto flere som gør det. Ifølge EFF er det p.t. 1 ud af 1500 som har en tom fonts information.

6
19. juni 2013 kl. 15:22

Bruger man Torbrowser i standardinstillingen, så er den svær at spore. Til dagligt kører jeg med Safari, hvor der ikke er installeret Flash, skal jeg undtagelsesvis bruge Flash, så åbner jeg siden i Google Chrome, der har en sandboxed Flash. Java er kun slået til til brug for NEM ID, ingen andre sites kan få adgang til Java, med mindre jeg giver tilladelse til det.

8
19. juni 2013 kl. 21:19

Bruger man Torbrowser i standardinstillingen, så er den svær at spore.

Nu er det et godt stykke tid siden jeg har brugt TOR sidst, så et helt oprigtigt spørgsmål: modificerer TORs proxy din browsers request-header? For det er dét, det her handler om... de standard-oplysninger browseren sender med i hver eneste HTTP request.

Derudover: hvis man nu virkeligt paranoia-trimmer hvad ens browser sender afsted, får man så reelt set et mindre unikt fingerprint? Hvor mange folk trimmer oplysningerne ned til et minimum?

9
19. juni 2013 kl. 23:53

Det smarte kunne være at man kan slå en random-funktion til, så man for hver side man besøger, fremviser en ny identitet.

7
19. juni 2013 kl. 15:59

Jesper, det her handler om de header oplysninger man kan trække ud af computeren via standard metoder. Oplysninger som alle browsere svarer på, hvis ikke man gør noget særligt. Oplysninger om f.eks. skærmopløsning og installerede browser addons og programmer på computeren.

Prøv at besøge det link til EFF der er sidst i teksten. Selv hvis der er spærret for dit og dat (incl. java), så er der alligevel et mylder af oplysninger, f.eks. alle mine fonte.

11
20. juni 2013 kl. 11:36

Det handler jo ikke om HTTP headers, men om en blanding af browser sniffing & god DOM feature detection.

Hvordan kommer "headers" ind i billedet her?

14
20. juni 2013 kl. 12:57

Måske fordi en hel del af oplysningerne faktisk kan hentes via headers.

5
19. juni 2013 kl. 14:11

.. med en diskussion om, hvilken info der bør ændres/skjules.

Det er f.eks. nok de færreste der vil kunne finde ud af at sætte de relevante headers op i Modify Headers, der som udgangspunkt ikke spærrer noget som helst.

4
Indsendt af Peter Binderup (ikke efterprøvet) den ons, 06/19/2013 - 13:32

at cookie direktivet hele tiden har været en omgang juridisk sjuskarbejde fra start til slut?

Hvis analytics sites som Google Analytics slår indsamling af data til via serverside scripting, så tror jeg da at de fleste firmaer gør brug af det og ikke oplyser om det - for der lagres ikke noget på slutbrugeres maskine, men der indsamles det samme (hvis ikke mere?).

Dermed burde det fra start af være brugernes ansvar at slå beskyttelse til, fuldt ud på samme niveau som firewalls, antivirus osv er det.

2
19. juni 2013 kl. 12:49

Det har vi da vidst længe?