Browser geeft surfgeheimen makkelijk prijs

21 mei 2010
Het is voor uitbaters van websites niet al te moeilijk om de browsergeschiedenis van hun bezoekers te verzamelen. Met dank aan een kwetsbaarheid die al een jaar of 10 bekend is. Het is de tweede privacybedreigende eigenaardigheid van webbrowsers die deze week bekend werd.

Eerder deze week meldde de Electronic Frontier Foundation dat browsers in het gebruik – onder andere door wijzigingen van de instellingen, add-ons en plug-ins - een eigen identiteit ontwikkelen. Op basis daarvan is 84 procent van de pc’s waarmee een website bezocht wordt, te identificeren. Nu blijkt dat ook de bezoekgeschiedenis van een internetter veel eenvoudiger dan tot nog toe gedacht werd, is af te leiden uit specifieke http-code die in de communicatie met bezochte websites gewisseld wordt.

Het was al een jaar of 10 bekend dat een webmaster van een site erachter kan komen waar een bezoeker van zijn site nog meer is geweest door het analyseren van http-codes die bij de browser opgevraagd kunnen worden. Tot nog toe werd aangenomen dat deze methode niet praktisch was, omdat het te omslachtig en tijdrovend zou zijn om uit de http-code de webadressen te genereren. Twee onderzoekers hebben echter een hanteerbare methode ontwikkeld om dat in real time te doen. Kern van hun methode is een algoritme dat supersnel de in htttp-code geïmpliceerde links interpreteert, met een tempo van 30.000 links per seconde. De efficiëntie van de analyse wordt verhoogd door die links vervolgens te vergelijken met de adressen van de pakweg 6500 meest bezochte websites, en als er een hit is met een tweede lijst van pagina’s binnen die websites.

Dat het werkt, laten de onderzoekers Artur Janc and Lukasz Olejnik zien op hun website What the internet knows about you. Die laat meteen bij opkomen zien, waar je zoal naartoe surft. Dat lukte tot nog toe bij 74 procent van de ruim 270.000 bezoekers van de site.

Het probleem van het uitlekken van de browsergeschiedenis is lastig aan te pakken. Zowel Microsoft als Mozilla hebben bijvoorbeeld al naar oplossingen gezocht om het lekken tegen te gaan. Dat heeft nog niet tot een afdoende oplossing geleid, omdat het gaat om mechanismen die tot de kern van het http-protocol behoren. Mozilla belooft wel een afdoende oplossing in Firefox 4, en er zijn ook enkele add-ons die het probleem kunnen tegengaan.

Ook  Artur Janc en Lukasz Olejnik noemen enkele maatregelen die men kan nemen, van het uitschakelen van de browsergeschiedenis tot het installeren van genoemde add-ons. Meer details daarover, en over de kwetsbaarheid zelf, zijn te vinden op de website What the internet knows about you.

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.