Internetgebruikers zijn alleen aan de hand van de websites die ze dagelijks bezoeken te herkennen, zo stelt Mozilla aan de hand van eigen onderzoek. De onderzoekers herhaalden een onderzoek uit 2012 dat ook al liet zien dat de browsegeschiedenis voldoende is om profielen van internetgebruikers aan te maken. Met dergelijke profielen is het vervolgens mogelijk om de gebruiker over het web te volgen.
Het onderzoek van 2012 maakte gebruik van een kwetsbaarheid waardoor websites de browsegeschiedenis van bezoekers konden uitlezen. Dit beveiligingslek is al enige tijd verholpen. Voor het nieuwe onderzoek verzamelden de onderzoekers de browsegeschiedenis van zo'n 52.000 Firefox-gebruikers die hiervoor toestemming gaven. De data werd gedurende twee weken verzameld. Vervolgens werd er gekeken of de data die in de eerste week was verzameld kon worden gebruikt om gebruikers aan de hand van de data uit de tweede week te identificeren.
Tijdens de onderzoeksperiode werden 660.000 unieke domeinen zo'n 35 miljoen keer bezocht. Er werden 49.000 verschillende browserprofielen vastgesteld, waarvan er 99 procent uniek waren. Alleen aan de hand van 150 verschillende domeinen was het al mogelijk om 80 procent van de gebruikers te identificeren. Met slechts vijftig domeinen kon ongeveer de helft van de gebruikers worden herkend.
Om iemands browseprofiel als trackingmethode te kunnen gebruiken moet die wel eerst worden aangemaakt. Dit houdt in dat een derde partij inzicht moet hebben in de websites die de betreffende gebruiker bezoekt, zo merken de onderzoekers op. Een andere mogelijkheid is het "sniffen" van de browsegeschiedenis. Iets wat in sommige jurisdicties verboden is.
Het gebruik van browseprofielen kan in combinatie met het tracken van ip-adressen en fingerprinting worden gebruikt. De onderzoekers merken op dat ip-adressen vaak lange tijd niet veranderen en eenvoudig zijn te verzamelen. In het geval van fingerprinting wordt er systeemconfiguratie van internetgebruikers verzameld. Deze configuratie is vaak ook genoeg om gebruikers van elkaar te onderscheiden.
De onderzoekers adviseren internetgebruikers om privacy-extensies voor hun browser te installeren, om zo tracking door derde partijen tegen te gaan. Meer details zijn te vinden in het onderzoek: "Replication: Why We Still Can’t Browse in Peace: On the Uniqueness and Reidentifiability of Web Browsing Histories" (pdf), dat vorige maand tijdens een USENIX-symposium in Boston werd gepresenteerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.