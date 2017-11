Door een trackingcookie te verwijderen, raakt je volger het spoor bijster. Cookies zijn daarom feitelijk een bijzonder transparante manier van privacyschending en daar was echt geen wetgeving tegen nodig. Browser-fingerprinting is daarentegen veel lastiger te bestrijden en je moet als gebruiker meer stappen zetten om je te verbergen in de massa.

Browser-fingerprinting is een paraplunaam voor verschillende methodes die specifieke elementen detecteren die jouw browser uniek maken. Welke plug-ins, updates, schermresolutie, UA-string, onderliggende software en andere elementen je hebt, maken jouw browser uniek tussen miljoenen andere browsers.

Bezoekers opsplitsen

Een simpel rekenvoorbeeld: stel dat 10.000 mensen dit artikel lezen. Die groep kun je aan de User Agent-string alleen al opsplitsen. Die informatie wordt gebruikt door webdiensten om te zien wat voor browser contact probeert te leggen en bevat daarom informatie als browser-engine, versienummer en het OS dat de browser draait.

In het voorbeeld van de 10.000 Computerworld-lezers (puur naar algemene gebruikersstatistieken volgens NetMarketShare) gebruikt de meerderheid Chrome, gevolgd door IE en Firefox. De grootste groep, Chrome-gebruikers, kun je verder onderverdelen in versies: van die 10.000 bezoekers heb je nieuwe versie Chrome 62 (176 gebruikers), Chrome 61 (3516 gebruikers), Chrome 60 (219) en 56 mensen draaien nog steeds versie 59.

En verder verdelen

Die subgroepen zijn verder op te splitsen aan de hand van besturingssystemen. Als je kijkt naar de grootste groep van die 10.000 bezoekers - de groep van 3516 lezers die Chrome 61 draait - zijn dat statistisch gezien 1639 gebruikers met Windows 7, 1029 hebben Windows 10, 103 lezers een Linux-distributie en 117 stuks een Mac.

Nou zullen deze cijfers niet helemaal stroken met de werkelijkheid, omdat Linux-gebruikers traditioneel diversere browsers gebruiken (Opera, Chromium, Firefox) dan mensen die Windows draaien en Mac-gebruikers vaker Safari - maar je snapt het basisidee. En dat gaat alleen nog maar om verfijning met de UA-string, een van verschillende elementen die worden gebruikt om browsers van elkaar te scheiden.

Het canvas-element

Een andere techniek is het gebruiken van HTML5-element canvas . Zelfs zonder de UA-string kunnen webservers achterhalen met welke client ze van doen hebben, door de manier waarop tekens worden gerenderd in HTML5. Die rendering verschilt in detail per specifieke configuratie, aan de hand van je OS, browser, grafische kaart of chipset.

Met een relatief kleine set aan tekens die worden gerenderd, ziet de webserver al zoveel verschillende variaties tussen bezoekers om ze van elkaar te kunnen scheiden. In een uitgebreid rapport van twee onderzoekers van de universiteit van Californië wordt dit in detail uiteengezet (PDF).

Deze methode is de afgelopen week wat meer onder de aandacht gekomen, omdat Firefox vanaf versie 58 gebruikers een melding geeft als sites deze beeldinformatie willen hebben, waardoor gebruikers zich bewuster worden van deze feature. Dit is natuurlijk geen verkeerde ontwikkeling, maar het gebruik van canvas is dus slechts één factor van vele om unieke bezoekers te volgen.

Hierna: Client-side oplossingen zijn eigenlijk een work-around voor een structureel issue. Sommige projecten willen het web an sich veranderen.