Overal waar u gaat laat u vingerafdrukken achter. In het echte leven, maar ook surfend, e-mailend en shoppend op het internet. En net als in het echte leven is de ‘fingerprint’ die u online achterlaat uniek.

Dat websites gegevens over hun bezoekers verzamelen is algemeen bekend. Dat doen ze onder andere via de bekende cookies. Met cookies kunnen websites een profiel van u opbouwen, bijvoorbeeld voor marketingdoeleinden. Minder bekend is een andere methode om zo’n profiel van websurfers te maken: het gebruik van browser fingerprinting, ook wel device fingerprinting genoemd omdat er vooral gegevens over uw apparaat (computer, laptop, telefoon, tablet) worden verzameld. 

Hoe werkt het?

Op het moment dat u een website opent, stuurt uw computer noodzakelijke informatie naar de server, die ervoor zorgt dat de website op uw apparaat tevoorschijn komt zoals het hoort. De site moet weten welke browser u gebruikt, welke lettertypes beschikbaar zijn, welke grafische kaart u heeft, op welke resolutie het scherm is ingesteld, van welk besturingssysteem u gebruikmaakt en nog talloze andere details en instellingen. De combinatie van al die gegevens levert een uniek plaatje op: uw online vingerafdruk. Dat is een lange reeks cijfers en letters die niet uw identiteit onthullen, maar u wel herkenbaar maken voor de website als terugkerende bezoeker. 

Hoe minder standaard uw instellingen zijn, des te unieker en dus herkenbaarder u bent. Bijvoorbeeld doordat u koos voor een minder doorsnee grafische kaart, specifieke adblockers heeft geïnstalleerd, niet met de meeste gebruikte browser werkt en uw schermgrootte heeft gefinetuned. Op sites als BrowserLeaks of Am I Unique? kunt u kijken hoe uniek uw kenmerken zijn. In andere omstandigheden is het misschien een pre om ‘one of a kind’ te zijn, maar in dit geval kan het nadelig zijn voor uw online privacy.

Het doel van fingerprinting 

Fingerprinting gebeurt niet per se met kwade of commerciële intenties, het heeft ook een beveiligingsdoel. Banken zeggen het bijvoorbeeld te gebruiken om fraude of identiteitsdiefstal te voorkomen. Wanneer u een keer vanaf een andere computer inlogt op bijvoorbeeld uw Google- Twitter- of Dropbox-account, dan krijgt u een beveiligingsmelding. Uw apparaatfingerprint komt dan niet overeen met wat de website eerder van u heeft vastgelegd en slaat alarm. 

Er zijn verschillende vormen en gradaties van fingerprinting. De passieve manier gebruikt voor het samenstellen van de vingerafdruk alleen de kenmerken die uw browser automatisch doorgeeft. Omdat het aantal eigenschappen op die passieve manier beperkt is, levert het een wat minder uniek profiel op. Daarom gaan sommige websites over tot actieve fingerprinting, waarbij de website zelf nog meer kenmerken probeert te achterhalen, bijvoorbeeld een lijst van lettertypes die u heeft geïnstalleerd. Een andere variant is canvas fingerprinting waarbij de website een script draait dat uw browser vraagt een (onzichtbare) tekening te maken en unieke kenmerken destilleert uit de specifieke manier waarop uw browser dat doet. De unieke(re) fingerprint die zo ontstaat, kan een website delen met partners, die de verzamelde informatie weer gebruiken om advertenties te personaliseren.

Apparaatfingerprinting kan dus wel degelijk gebruikt worden om surfgeschiedenis in kaart te brengen en gerichte advertenties te laten zien. Dat is vervelend voor mensen die juist proberen aan ‘tracking’ door middel van cookies te ontkomen.

Daarnaast is er inmiddels een criminele handel ontstaan in fingerprints, die samen met inloggevens natuurlijk waardevol zijn bij hackwerk en andere digitale misdaad. 

Fingerprinting beperken

Wilt u de informatie blokkeren die de website over u (of beter: uw apparaat) verzamelt, dan wordt surfen vrij onmogelijk. In tegenstelling tot cookies, die op uw computer worden opgeslagen en die u dus kunt blokkeren of weggooien, wordt de apparaatfingerprint op de website die u bezoekt opgeslagen. De fingerprint is ook niet te verbergen zoals uw IP-adres met VPN. 

Sommige fabrikanten van apparatuur ondernemen actie. Apple wil zowel passieve als actieve fingerprinting gaan blokkeren of voorkomen in Safari, door te zorgen dat elk apparaat minder uniek is

Ook door uw surfgedrag kunt u fingerprinting lastiger maken. Bijvoorbeeld door meerdere browsers te gebruiken, zo wordt het moeilijker voor een website om een profiel samen te stellen. En een VPN is niet dé oplossing, maar kan toch helpen om uw privacy te beschermen. Log daarnaast nooit in op uw socialmedia-accounts met een browser die u gebruikt om anoniem te blijven.

Er zijn ook technische hulpmiddelen. Een adblocker herkent actieve fingerprinting en kan dat blokkeren. Voor de browsers Chrome en Firefox zijn er extensies beschikbaar die specifiek canvas fingerprinting tegenhouden. Die vindt u hier: Canvas defender voor Chrome en Canvas defender voor Firefox.

Veilig online met XS4ALL

Met XS4ALL surft u bewust en veilig. Nu zelfs de eerste 4 maanden met 50% voordeel. Benieuwd naar de mogelijkheden?

Bestel nu  >

Deel dit:

Reacties

  1. David says:

    Wanneer wordt er eens gestopt met paniek zaaien door mensen die de klok hebben horen luiden maar .. vul zelf maar in. Voor een artikel van een service provider is het uiterst discutabel als er niet volledige informatie wordt verstrekt.

    “De banken zeggen” en iets met een beveiligingsmelding dekt niet de lading van het doel van browser of device fingerprinting.
    Fingerprinting is een van de belangrijkste componenten naast de short lived sessionID’s, om session hijacks of session replays te voorkomen (session assurance)
    Als tijdens een sessie of na een bepaalde interval dezelfde sessie een aantal van de parameters die zijn opgeslagen in de fingerprint wijzigen is het zeker dat je te maken hebt met een session hijack en kan je dus actie ondernemen voordat kwaadwillenden toegang krijgen tot de systemen die je als argeloze browser bezoekt of waar je net bent geweest.
    Browser fingerprints (vaak opgeslagen op de server) bevatten infomatie over de user-agent, de versie enz.
    Device fingerprints (vaak ook opgeslagen op de client) bevatten informatie over taalinstelling, schermresolutie, type (mobiel of pc) CPU architectuur. Dit is dan wel informatie over welk apparaaat je gebruikt maar bevat zelf weinig content over waar je bijvoorbeeld nog meer bent geweest. Ja het zit er wel in, over beter, een website kan die informatie over een gebruiker wel verkrijgen maar de genoemde cookies zijn veel interesanter.
    Fingerprints worden niet of nauwelijks verhandeld. De reden daarvoor is onder andere de verkorte SessionID geldigheid. Firefox en Safari hebben uit mijn hoofd standaard al een optie om fingerprinting te minimaliseren. Maar in dit geval is het medicijn vaak erger dan de kwaal.

  2. Albertien says:

    Wat ik mis is informatie over het browsen met duckduckgo. Beschermt dat ook tegen datadiefstal?

  3. cherry says:

    Ik kan het waarderen dat xs4all deze kennis op een begrijpelijke schrijfwijze publiceert.
    Alleen waar ik wel moeite mee heb, is dat xs4all niet de mogelijkheid biedt om (als je dat uitdrukkelijk wilt), een dynamisch extern ip adres te krijgen. Ik snap dat het ‘vroeger’ misschien juist een groot voordeel was als je externe ip adres vast stond, echter, hedendaags met dynamische DNS e.d. lijkt het mij voor velen overbodig. Het zorgt nu juist (als adverteerders het in de gaten hebben) voor de meest accurate ‘fingerprint’ die je maar kunt hebben, voor élke abonnee!
    Toch jammer.
    (Dus toch sommige zaken maar weer via een apart VPN abonnement laten lopen… )

  4. Len Stange says:

    xs4all / KPN …. ze leren het nooit.

    Ik lees het artikel.
    Controleer mijn ‘fingerprint’ en inderdaad, dat kan beter.
    Dus denk ik: ‘goeie tip’ en installeer Canvas Fingerprint Defender en laad nog eens dit blog in de browser met Canvas geïnstalleerd.
    Bam!!!!
    Een popup van Canvas Fp Defender:

    blog.xs4all.nl
    A fingerprinting attemt is detected!
    Your browser is reporting a fake value.

    Helemaal eens met Frank Bokern in de eerste reactie.
    Reclameblabla én fingerprinting tegelijkertijd.

  5. Bert says:

    Ik zie dat die Canvas Fingerprinting een soort noise genereert. Letterlijk ruis maar dat Mozilla hem nog als experimenteel betiteld. En dat ik mij zelf moet overtuigen van de veiligheid. Dus hoe veilig of effectief is het programma en hoe kan ik dat checken? Of hebben jullie dat al gedaan?

  6. Frank Bokern says:

    ‘Met xs4all surft u bewust en veilig,’ staat er dan opeens in de voetnoot. Daar zou ik dan ook wel wat uitleg over willen. Hoe helpt xs4all dan bij het tegengaan van dit tracken? Niet, denk ik, anders was dst wel verteld in het blog. Reclameblabla dus. En hier wel erg misplaatst.

  7. Heleen says:

    helpt een javascript blocker niet? Een goede javascriptblocker kan je per source het javascript blocken, vaak werkt de site prima als je de javascript van de bezochte site toestaat, maar dat van google blokkeert.