De nieuwe cookie: een digitale vingerafdruk van de computer

Onderzoekers ontdekten de nieuwste truc van marketeers: gegevens opslaan met canvas fingerprinting. Hoe werkt het?

De canvas fingerprint-cookie wordt door 5 procent van alle websites gebruikt.

Online advertentiemakelaars hebben sinds kort een nieuw instrument om consumenten op internet te volgen. Ze kunnen op de ene site een soort vingerafdruk maken van de computer van een bezoeker, om deze op een andere site te herkennen. Momenteel kunnen internetters zich moeilijk beschermen tegen deze truc, die al door zo’n 5 procent van de sites wordt gebruikt.

Dat melden onderzoekers van de universiteiten van Leuven en Princeton in een voorlopige publicatie. De techniek heet canvas fingerprinting. Daarbij vraagt een site aan de browser van een bezoeker om ‘buiten beeld’ een eenvoudige afbeelding te tekenen. De afbeelding kan bestaan uit letters of geometrische figuren tegen een gekleurde achtergrond. Anders dan je zou denken, wordt zo’n afbeelding niet op elke computer exact hetzelfde. Er zijn minuscule verschillen die ontstaan door verschillen in grafische kaart, monitor en geïnstalleerde lettertypes.

De eigenaar van de computer krijgt dit plaatje nooit te zien. In plaats daarvan wordt er een getal uit gedestilleerd; een zogeheten hash. De computers verschillen van elkaar en maken dus verschillende onzichtbare plaatjes. De hashes worden daardoor ook allemaal anders. Dit getal wordt teruggestuurd naar de site als de ‘vingerafdruk’ van de computer. „Op mobieltjes werkt het minder goed”, zegt Simon Hania, privacyexpert bij TomTom. „Alle iPhones zijn zo goed als identiek. Op Android zou het beter kunnen werken.”

Canvas fingerprinting is geschikt als alternatief voor cookies. Dat zijn tekstbestandjes die door websites op pc’s en mobieltjes worden achtergelaten en die worden gebruikt om computers te herkennen op internet. Cookies zijn controversieel; in Europa moeten websites hun bezoekers attenderen op het gebruik. Ook zijn cookies makkelijk te verwijderen of te blokkeren. Voor internetbedrijven is een alternatief dus welkom.

Canvas fingerprinting is moeilijk te detecteren omdat de afbeelding maar even bestaat. De auteurs van de studie hebben een eigen aangepaste versie van Firefox moeten bouwen om te onderzoeken of de truc in de praktijk werd toegepast. Tot hun verrassing bleek, van 100.000 prominente websites, ruim 5 procent canvas fingerprinting toe te passen.

Volgens internetjurist Arnoud Engelfriet van bureau ICTRecht is dit in strijd met de Nederlandse telecomwet. „Als het opslaan van gegevens niet gebeurt als dienst voor je klant of voor een technische noodzaak, dan moet je toestemming vragen. Daarnaast is duidelijke uitleg verplicht, dus iets als: ‘wij herkennen uw computer door een speciale tekening op maat’. En je moet uitleggen wat je daarmee doet.”

Het blokkeren van canvas fingerprinting is lastig, stelt Simon Hania. „De advertentiemakelaars waarvan nu bekend is dat ze dit doen, kun je blokkeren. Als je alleen fingerprinting wil blokkeren, is het wachten op nieuwe officiële versies van de browsers die het maken van zo’n verborgen afbeelding kunnen signaleren.”