In het verleden zijn er verschillende onderzoeken gedaan naar het gebruik van browser fingerprinting om mensen op het web te volgen, maar de resultaten blijken niet te kloppen, wat inhoudt dat browserontwikkelaars wel maatregelen tegen deze vorm van tracking kunnen nemen.
Dat stellen onderzoekers van de Princeton University. Via http-headers die de browser verstuurt en JavaScript is het mogelijk om allerlei variabelen te achterhalen, zoals taalinstelling, tijdszone, besturingssysteem, schermresolutie en geïnstalleerde fonts en plug-ins. Uit eerdere onderzoeken, waaronder panopticlick.eff.org, bleek dat internetgebruikers op basis van hun unieke browser fingerprint zijn te identificeren. Daarnaast ontdekten onderzoekers dat advertentiebedrijven en trackers ook andere browsereigenschappen, zoals Canvas en WebRTC, voor fingerprinting gebruiken.
"De conclusie was duidelijk. Fingerprinting is extreem effectief en het zou zinloos voor browsers zijn om het fingerprinten tegen te gaan door minder informatie aan scripts beschikbaar te maken. Er waren teveel gaten om te dichten, teveel mogelijkheden voor fingerprinting", aldus de onderzoekers van Princeton. Een aantal maanden geleden verscheen er echter nieuw onderzoek naar fingerprinting waaruit bleek dat slechts een derde van de gebruikers een unieke vingerafdruk had (pdf). Bij mobiele gebruikers was het percentage met 20 procent nog lager.
Volgens de onderzoekers zijn er twee redenen die de verschillen met eerdere onderzoeken verklaren. Er deden meer mensen aan het nieuwe onderzoek mee en zelfselectie lijkt voor een vertekening in de eerdere onderzoeken te hebben gezorgd. Daarnaast worden Flash en Java veel minder gebruikt, waardoor fingerprinting verder afneemt. Zelfs een kleine maatregel die browsers doorvoeren kan al een groot effect hebben om fingerprinting tegen te gaan, zo stellen de onderzoekers. Zo kondigde Apple onlangs aan dat het fingerprinting in Safari zou proberen te beperken.
Het is dan ook de vraag hoe de misvatting over fingerprinting kon ontstaan. Volgens Arvind Narayanan van Princeton zijn statistieken lastig en kunnen niet-representatieve monsters het onderzoek ernstig verstoren. Daarnaast zijn gebruikers bij het nieuwe onderzoek niet om toestemming gevraagd of ingelicht. "Met internet-experimenten is er een spanning tussen traditionele geïnformeerde goedkeuring en geldigheid van de resultaten, en we hebben nieuwe ethische normen nodig om dit op te lossen", aldus Narayanan.
Ook laten de resultaten zien dat privacybescherming niet perfect hoeft te zijn. "Veel onderzoekers en engineers denken over privacy in termen van alles of niets. Een fout kan vernietigend zijn, en als een verdediging niet perfect is, zouden we het niet moeten uitrollen. Dat klopt voor sommige applicaties zoals Tor Browser, maar voor doorsnee gebruikers van standaardbrowsers bestaat het dreigingsmodel uit 'death by a thousand cuts', en slagen privacymaatregelen door de surveillance-economie te verstoren", merkt Narayanan op.
Hij wijst ook naar "privacydefaitisme". Door alle negatieve berichtgeving over privacy denken mensen dat er niets aan is te doen. De privacybalans is echter continu in beweging. "En hoewel er altijd ontwikkelingen zijn die inbreuk op de privacy maken, worden die van tijd tot tijd hersteld door juridische, technische en sociale maatregelen", zo laat de onderzoeker weten. "Browser fingerprinting blijft een belangrijk privacygevecht. De AVG maakt het lastiger voor fingerprinters en het is tijd dat browserontwikkelaars deze stiekeme praktijk ook gaan aanpakken."
Deze posting is gelocked. Reageren is niet meer mogelijk.