Een cookie van eigen deeg: vriendelijkheid, veiligheid en veelzijdigheid tegenover privacy

Hoewel geen normale web gebruiker ze weet te vinden, zijn cookies toch een belangrijk onderdeel van het debat over privacy op internet. Ze maken het nu eenmaal mogelijk voor bedrijven om bezoekers te volgen en te begrijpen waarom ze hun website bezoeken en, misschien belangrijker, deze weer verlaten. Net zoals echte cookies laten ze namelijk een spoor van kruimels achter die eenvoudig zijn te volgen. Technisch een charmante oplossing voor meer gebruikersvriendelijkheid, die helaas ruimte laat voor onbedoeld gebruik.

Geen gebruiker wil bij elke handeling moeten bewijzen dat hij deze mag uitvoeren. Een applicatie die dit vereist is simpelweg onbruikbaar. Het web is echter zo ontworpen dat een web-applicatie direct vergeet wie of wat hem zojuist een verzoek stuurde. Op één of andere manier moet de gebruiker bij elk verzoek opnieuw vertellen wie hij is, zodat de server weet of hij het verzoek mag uitvoeren. Over het algemeen wordt dit opgelost door de gebruiker een unieke code of token te geven. Zodoende kan hij aangeven wie hij is, zonder dat er bij elk verzoek gebruikersnaam en wachtwoord nodig zijn. Technisch is het op een aantal manieren mogelijk het token terug te sturen, namelijk door deze:

• op te nemen in het pad die de gebruiker opvraagt 
• met behulp van JavaScript aan het verzoek toe te voegen
• op te slaan als cookie, die met elk volgend verzoek aan de web-applicatie automatisch wordt meegestuurd

De eerste oplossing is het onveiligst, omdat gebruikers hiermee eenvoudig, en vaak onbewust, hun toegangsrechten aan iemand anders kunnen overdragen. De tweede oplossing is wel veiliger, maar voorkomt dat een gebruiker in een nieuw venster kan verder werken. De derde oplossing is om bovenstaande redenen dus tot nu toe de oplossing gebleken om een gebruiker de beste ervaring te geven binnen een web-applicatie.

Het grote nadeel wat aan deze oplossing kleeft, is dat de server iets kan opslaan bij de gebruiker wat dus automatisch bij elk verzoek wordt meegestuurd. Ook wanneer de gebruiker zelf geen handeling uitvoert binnen de web-applicatie. Omdat hiermee bezoekers gevolgd kunnen worden is dit een bonus voor bedrijven die reclame of andere inhoud willen afstemmen op een gebruiker. Door on-line te winkelen, zoeken of gewoon maar rond te klikken onthult de gebruiker onbewust een klein stukje van zijn identiteit. Uiteindelijk, door voldoende stukjes in elkaar te puzzelen, wordt het beeld van de gebruiker hiermee steeds gedetailleerder. Ik vermoed (en ik niet alleen) dat grote spelers soms meer van hun gebruikers afweten dan zijzelf...

Als ontwikkelaar zie ik dus een duidelijk voordeel aan cookies: ze helpen mij een veelzijdige, gebruikersvriendelijkere applicatie te ontwikkelen echter ben ik mij ook bewust van de "extra's" die hiermee gepaard gaan. Veel web-applicaties gebruiken om integere redenen cookies, bescherming van privacy zal hier dan ook nauwelijks relevant zijn. Het probleem zit in in websites en applicaties die hun gebruikers markeren en vervolgens over het web (achter)volgen (zogenaamde "trackers").

Als voorgestelde "oplossing" bestaat er tegenwoordig een "do-not-track" optie. Of dit gaat helpen valt nog maar te betwijfelen: de eigenlijke implementatie ervan ligt bij de websites en applicaties die juist gebaat zijn hun bezoekers te volgen. De vraag is dus of deze ongewenste volgers de privacy van hun bezoekers zullen respecteren, wanneer ze daarmee waardevolle informatie moeten afstaan. Actieve bescherming van de privacy ligt, volgens mij, in eerste instantie bij de gebruiker zelf en daarmee bij het middel wat hij gebruikt: de browser.

Gelukkig bestaan er voor browser veel uitbreidingen die de gebruiker helpen om hun privacy te beschermen. Op dit moment gebruik ik zelf PrivacyChoice Trackerblock. Deze add-on is weliswaar alleen voor Firefox beschikbaar, maar ik verwacht dat voor andere browsers er vergelijkbare uitbreidingen bestaan.