image

Column: Sidewikispam

zondag 18 oktober 2009, 19:44 door Peter Rietveld, 9 reacties

Google heeft weer een nieuwe leukigheid: de Google Toolbar biedt sinds kort sidewiki. Daarmee kun je bij een willekeurige webpagina je eigen opmerkingen plaatsen en stemmen op de opmerkingen van anderen. Dit doe je niet anoniem, maar op basis van je Google profiel. Sidewiki maakt gebruik van een algoritme en gebruikersbeoordelingen om de volgorde te bepalen van de artikelen die in de zijbalk worden weergegeven. Naast stemmen kun je ook 'misbruik melden'. Google belooft na een melding zo snel mogelijk te kijken of de melding terecht is en indien nodig maatregelen te treffen. Wil je een tekst plaatsen via sidewiki dan moet je je eerst akkoord verklaren met de gebruiksvoorwaarden.

De afgelopen week heeft een aantal mensen heel erg hun best gedaan om de eerste te zijn met opmerkingen bij de grote websites. En ja hoor, ik ook. Ik was de eerste bij nu.nl, het ministerie van Defensie, de PVV, de KLM en het CDA.

Bloggers maken zich zorgen over deze ontwikkelingen. Jeff Jarvis, auteur van "What Would Google Do?", voert de aanval op sidewiki aan met de stelling dat dit een poging van Google is blogs en Web 2.0 te monopoliseren. Hij twijfelt aan het vermogen van Google om tijdig alle zeer onwenselijke content te verwijderen. Bij microsoft.com zie je al een interessante discussie: heeft Google de oorlog verklaard aan MS?: "It seems inconceivable to me that I can place a comment against Microsoft's website and exploit all of its marketing dollars and user base"."Competitors will snipe each other's websites." Bij foxnews staat bovenaan: "Indoctrination!" Waaronder Foxnews wordt betiteld als een extremistische propagandamachine. Op twee staat het bericht dat foxnewskijkers van alle nieuwskijkers het slechtst geïnformeerd zijn. Sidewikispam is dus gearriveerd, vrijwel op hetzelfde moment als sidewiki zelf. Hoewel Google het natuurlijk verbiedt.

Wat kun je hier als webmaster of bedrijf tegen doen? Kun je die sitebekladders aanklagen of zo? Strikt genomen bekladden deze spammers niet je site zelf, maar een laagje ervóór. Dus de normale juridische kaders gaan je niet helpen. Ook niet als er gevoelige informatie bij je site geplaatst wordt - beursgevoelige informatie, de naam van je minnaar, of je tien grootste missers? Het heeft veel weg van domein squatting. Maar het is wellicht afwijkend genoeg om niet onder die jurisprudentie te vallen. Dus voorlopig zijn alle website eigenaren vogelvrij.

Nu zijn sidewiki postings niet anoniem - om wat te schrijven heb je een Google profiel nodig. En om zo'n profiel aan te maken heb je weer een e-mailadres nodig. Maar dat lukt prima, zo heb ik zelf vastgesteld, met obscure domeinen en willekeurige mailadressen. En als een profiel verwijderd is, blijft de entry staan. Je hebt dus Google weer nodig om te achterhalen wie je site beklad heeft, met een zeer grote kans dat je er nooit achterkomt.

Wat je bijvoorbeeld kunt doen, als webmaster, is iedereen buitensluiten die Google Toolbar gebruikt. Daar zijn al handleidingen voor. Maar of je dat wilt is iets anders. Hoeveel mensen ontneem je dan tegelijkertijd de toegang tot je reclame-uiting?

Wil je zien wat anderen tegen je site aanplakken, dan moet je de Google Toolbar installeren. Die is gratis, dus dat is het probleem niet. Bovendien, als je beheerder bent van een domein, kan je je eigen sidewiki-artikelen toevoegen aan je site. Deze artikelen worden groen gemarkeerd bovenaan de sidewiki-zijbalk weergegeven, boven alle andere artikelen. Een simpele oplossing voor sidewikispam is dus een lange tekst toevoegen - de meeste mensen houden immers niet van scrollen. Een simpele oplossing. Maar wel eentje met een belangrijk nadeel. Want dan moet je wel de Google Toolbar inclusief de 'enhanced features' enablen. De enhanced feautures bevatten (natuurlijk) een uitgebreide Phone Home - Google wil immers bovenal weten waar je heen surft. Webmasters zijn een zeer belangrijke doelgroep die Google goed in de gaten wil houden.

De Google Toolbar regelt dat keurig: als je de enhanced features een keer activeert, kun je hem alleen per browsersessie uitschakelen. De volgende keer staat ie dus weer aan. Dat gedrag kenden we al van Pagerank, een andere feature voor de webmaster. De weg van de minste weerstand bij de webmaster leidt dus tot weer een heleboel zeer gerichte tracking informatie voor de adverteerder. Nu kun je natuurlijk een browser op een USB stick gebruiken die alleen voor alle Google zaken is, maar dat is extra werk en dus extra kosten. Laat je je daartoe chanteren?

Wat ik niet heb kunnen vinden is wat ik het beste zou vinden: een opt-in voor webmasters. Zelfs een opt-out mogelijkheid is er niet. Google laat weer eens zien dat ze altijd op de eerste plaats wil staan, ook bij de schenders van Privacy. De reactie hierop sprak ook boekdelen: volgens Google heeft privacyinternational.org banden met Microsoft dus zijn de beschuldigingen niet waar. Ach, zoals we vroeger in Ermelo al zeiden: zoals de waard is, stinken zijn kasten.

De Google aanpak laat zich goed samenvatten in: "gebruik onze producten, want anders ...". Nu vond een collega een briljante oplossing - eenvoudig en doeltreffend: sidewiki blijkt niet te werken op een site die https gebruikt. Nu IE bepaalde gratis certificaten vertrouwt, kan je gratis de hele site https laten praten. Dan moet je nog even alle Google tracking adressen blokkeren op de PC. Voor Firefox gebruikers gaat deze truc niet werken, NoScript blokkeert weliswaar de Google tracing maar begint te miepen over de gratis certificaten die het niet vertrouwt. Nu zijn deze certificaten ongetwijfeld niet allemaal even betrouwbaar, maar er zijn blijkbaar bedreigingen waartegen je je er wel mee kunt beveiligen. We zijn dus nu zo ver dat je afhankelijk bent geworden van een gat in Microsoft om je te beveiligen tegen Google.

Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter


Reacties (9)
19-10-2009, 09:57 door Anoniem
Klinkt inderdaad als vreemde zaak dat een simpele plugin je site kan zwartmaken als overlay.(dat dat nog niet eerder verzonnen is eigenlijk) Wat ook betekend dat iedereen zonder die plugin het dus niet kan zien.
Toch maar eens kijken wat die plugin mogelijk maakt - nog niet eerder van gehoord.

Misschien een leuke poll erbij om te kijken wie van ons de google toolbar gebruikt?
Want ik gebruik dat onding zelf nooit, omdat het nergens voor nodig is - de vermeede extra functionaliteit.

Mvg, KnightOfThePost
19-10-2009, 10:05 door Redactie
Door Anoniem: Misschien een leuke poll erbij om te kijken wie van ons de google toolbar gebruikt?
Want ik gebruik dat onding zelf nooit, omdat het nergens voor nodig is - de vermeede extra functionaliteit.

Mvg, KnightOfThePost

U vraagt, wij draaien.
19-10-2009, 11:21 door Syzygy
Als stem nummer 15 zie ik dat er al een score van 93% op nee valt.

15 is natuurlijk nog geen representatief getal voor een waardeoordeel over de verspreiding van de Google Toolbar onder de Security.nl geinteresseerden maar het geeft wel al een richting aan.

Ik distantieer me normaliter van Google producten maar moet in aller eerlijkheid wel toegeven dat ik Google Chrome standby heb staan als ik even SNEL wil Internetten.


Wel leuk om even te volgen dit bericht
19-10-2009, 11:56 door Anoniem
Kan iemand mij vertelen waarom ik geen Google account meer heb?
19-10-2009, 14:18 door [Account Verwijderd]
[Verwijderd]
19-10-2009, 23:12 door Anoniem
Ik weet niet of dit hetzelfde doet als de google toolbar, maar bij de aanbevolen FF addons staat nu Reframe it:
"Comment anywhere on the web without the permission of a site. Reframe It lets you comment next to the text or images of any website. With it you can highlight comment and share you thoughts in context. Say what you want where you want."

Overigens mooi dat zoveel mensen op security.nl geen google toolbar hebben :)
20-10-2009, 00:43 door Skizmo
Door Anoniem: Kan iemand mij vertelen waarom ik geen Google account meer heb?
Als jij ons eerst verteld waarom je een had.
20-10-2009, 09:01 door RobertoG
Door Syzygy: Ik distantieer me normaliter van Google producten maar moet in aller eerlijkheid wel toegeven dat ik Google Chrome standby heb staan als ik even SNEL wil Internetten.
Daarom heb ik SRWare Iron geïnstalleerd. Eenvoudig en start snel. Makkelijk als je "even" iets wil opzoeken. Het is Chrome zonder de Google Phone Home fratsen.
24-12-2009, 00:02 door Anoniem
in ieder geval verdient google niet veel aan mij, ik gebruik adblock + customizegoogle ffox plugins
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.