Google heeft weer een nieuwe leukigheid: de Google Toolbar biedt sinds kort sidewiki. Daarmee kun je bij een willekeurige webpagina je eigen opmerkingen plaatsen en stemmen op de opmerkingen van anderen. Dit doe je niet anoniem, maar op basis van je Google profiel. Sidewiki maakt gebruik van een algoritme en gebruikersbeoordelingen om de volgorde te bepalen van de artikelen die in de zijbalk worden weergegeven. Naast stemmen kun je ook 'misbruik melden'. Google belooft na een melding zo snel mogelijk te kijken of de melding terecht is en indien nodig maatregelen te treffen. Wil je een tekst plaatsen via sidewiki dan moet je je eerst akkoord verklaren met de gebruiksvoorwaarden.

De afgelopen week heeft een aantal mensen heel erg hun best gedaan om de eerste te zijn met opmerkingen bij de grote websites. En ja hoor, ik ook. Ik was de eerste bij nu.nl, het ministerie van Defensie, de PVV, de KLM en het CDA.

Bloggers maken zich zorgen over deze ontwikkelingen. Jeff Jarvis, auteur van "What Would Google Do?", voert de aanval op sidewiki aan met de stelling dat dit een poging van Google is blogs en Web 2.0 te monopoliseren. Hij twijfelt aan het vermogen van Google om tijdig alle zeer onwenselijke content te verwijderen. Bij microsoft.com zie je al een interessante discussie: heeft Google de oorlog verklaard aan MS?: "It seems inconceivable to me that I can place a comment against Microsoft's website and exploit all of its marketing dollars and user base"."Competitors will snipe each other's websites." Bij foxnews staat bovenaan: "Indoctrination!" Waaronder Foxnews wordt betiteld als een extremistische propagandamachine. Op twee staat het bericht dat foxnewskijkers van alle nieuwskijkers het slechtst geïnformeerd zijn. Sidewikispam is dus gearriveerd, vrijwel op hetzelfde moment als sidewiki zelf. Hoewel Google het natuurlijk verbiedt.

Wat kun je hier als webmaster of bedrijf tegen doen? Kun je die sitebekladders aanklagen of zo? Strikt genomen bekladden deze spammers niet je site zelf, maar een laagje ervóór. Dus de normale juridische kaders gaan je niet helpen. Ook niet als er gevoelige informatie bij je site geplaatst wordt - beursgevoelige informatie, de naam van je minnaar, of je tien grootste missers? Het heeft veel weg van domein squatting. Maar het is wellicht afwijkend genoeg om niet onder die jurisprudentie te vallen. Dus voorlopig zijn alle website eigenaren vogelvrij.

Nu zijn sidewiki postings niet anoniem - om wat te schrijven heb je een Google profiel nodig. En om zo'n profiel aan te maken heb je weer een e-mailadres nodig. Maar dat lukt prima, zo heb ik zelf vastgesteld, met obscure domeinen en willekeurige mailadressen. En als een profiel verwijderd is, blijft de entry staan. Je hebt dus Google weer nodig om te achterhalen wie je site beklad heeft, met een zeer grote kans dat je er nooit achterkomt.

Wat je bijvoorbeeld kunt doen, als webmaster, is iedereen buitensluiten die Google Toolbar gebruikt. Daar zijn al handleidingen voor. Maar of je dat wilt is iets anders. Hoeveel mensen ontneem je dan tegelijkertijd de toegang tot je reclame-uiting?

Wil je zien wat anderen tegen je site aanplakken, dan moet je de Google Toolbar installeren. Die is gratis, dus dat is het probleem niet. Bovendien, als je beheerder bent van een domein, kan je je eigen sidewiki-artikelen toevoegen aan je site. Deze artikelen worden groen gemarkeerd bovenaan de sidewiki-zijbalk weergegeven, boven alle andere artikelen. Een simpele oplossing voor sidewikispam is dus een lange tekst toevoegen - de meeste mensen houden immers niet van scrollen. Een simpele oplossing. Maar wel eentje met een belangrijk nadeel. Want dan moet je wel de Google Toolbar inclusief de 'enhanced features' enablen. De enhanced feautures bevatten (natuurlijk) een uitgebreide Phone Home - Google wil immers bovenal weten waar je heen surft. Webmasters zijn een zeer belangrijke doelgroep die Google goed in de gaten wil houden.

De Google Toolbar regelt dat keurig: als je de enhanced features een keer activeert, kun je hem alleen per browsersessie uitschakelen. De volgende keer staat ie dus weer aan. Dat gedrag kenden we al van Pagerank, een andere feature voor de webmaster. De weg van de minste weerstand bij de webmaster leidt dus tot weer een heleboel zeer gerichte tracking informatie voor de adverteerder. Nu kun je natuurlijk een browser op een USB stick gebruiken die alleen voor alle Google zaken is, maar dat is extra werk en dus extra kosten. Laat je je daartoe chanteren?

Wat ik niet heb kunnen vinden is wat ik het beste zou vinden: een opt-in voor webmasters. Zelfs een opt-out mogelijkheid is er niet. Google laat weer eens zien dat ze altijd op de eerste plaats wil staan, ook bij de schenders van Privacy. De reactie hierop sprak ook boekdelen: volgens Google heeft privacyinternational.org banden met Microsoft dus zijn de beschuldigingen niet waar. Ach, zoals we vroeger in Ermelo al zeiden: zoals de waard is, stinken zijn kasten.

De Google aanpak laat zich goed samenvatten in: "gebruik onze producten, want anders ...". Nu vond een collega een briljante oplossing - eenvoudig en doeltreffend: sidewiki blijkt niet te werken op een site die https gebruikt. Nu IE bepaalde gratis certificaten vertrouwt, kan je gratis de hele site https laten praten. Dan moet je nog even alle Google tracking adressen blokkeren op de PC. Voor Firefox gebruikers gaat deze truc niet werken, NoScript blokkeert weliswaar de Google tracing maar begint te miepen over de gratis certificaten die het niet vertrouwt. Nu zijn deze certificaten ongetwijfeld niet allemaal even betrouwbaar, maar er zijn blijkbaar bedreigingen waartegen je je er wel mee kunt beveiligen. We zijn dus nu zo ver dat je afhankelijk bent geworden van een gat in Microsoft om je te beveiligen tegen Google.

Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter