Deze studie is zo flawed als maar kan. De conclusies en veel van de assumpties
kloppen van geen kanten.
Foute assumpties / idiote statements :
* Een cookie word opgeslagen in een text-file, en is dus leesbaar voor iedereen.
Je kan ook cookies opslaan in een encrypted DB. Sterker nog, een text-file is de minst voor de hand liggende manier om cookies in op te slaan, omdat je dan geen index hebt, wat nogal langzaam wordt als je 1000'en cookies hebt. De meest voor de hand liggende manier om cookies te implementeren is via een encrypted DB, die alleen toegangkelijk is voor de gebruiker.
Natuurlijk zijn 'alle bets off' als anderen toegang tot je systeem hebben! Hoe moeilijk is het te begrijpen dat je geen gevoelige data moet opslaan op een systeem waar iedereen bij kan? Zowieso is een systeem waar andere mensen toegang toe hebben zeer insecure omdat keyboardsniffers, spyware, etc, etc, op het systeem gezet kunnen worden.
* Cookies moeten worden gebruikt als systeem om persoonlijke informatie in op te slaan.
Meeste cookies worden gebruikt om een tijdelijk ID (sessie ID) bij te houden. De gegevens van de gebruiker zelf staan op de server. Wie zegt dat de gegevens in de cookie zelf opgeslagen moeten worden? Cookies zijn vaak een onderdeel van het gegevens-inzamelsysteem, niet het inzamelsysteem zelf. Dit wordt NB. in haar onderzoek zelf waargenomen na metingen.
* Cookie-ID's geven geen inzicht in de informatie die bijgehouden wordt in de server over een gebruiker, en zijn dus slecht voor de privacy.
Dit is iets wat totaal los staat van de cookies. Je bent ook in staat om aan de hand van de userid (basic auth), of combi IP-adress+user-agent bij te houden wat iemand uitspookt op jouw site. De correcte probleemstelling zou in dit geval moeten zijn dat het uniek kunnen tracken van een user op een site slecht is voor de privacy.
De informatie die een site kan verzamelen valt trouwens mee. Het enige wat een site kan weten is wat jouw browser zelf doorgeeft (of wat je bewust in een form opgeeft aan de site).
* Quote: Cookies .. 'zijn ontworpen als methode om bij te houden welke producten een gebruiker wil aanschaffen op het internet'.
Dat is onzin. Quote van rfc2965 : 'This document specifies a way to create a stateful session with Hypertext Transfer Protocol (HTTP) requests and
responses.'
En dat is het idd.. een manier om als je dat wilt states te bewaren in een systeem dat fundamenteel stateless is. Dat dit ook toepasbaar is voor webshops is een toepassing. Het is nooit een doel geweest. Voordat hiervoor cookies gebruikt werden (en nog steeds), werd hier POST/GET data voor gebruikt. Het is dus zeker niet zo dat cookies ontwikkeld werden om webwinkes mogelijk te maken.
* Een referentie in een cookie betekend dat een site allerlei gegevens verzameld over de user, en deze verwerkt in een database.
De onderzoeker ziet wel dat 62,54% van alle cookies die gezet worden geruikt worden als ID's maar verteld er niet bij dat veel systemen automatisch cookies zetten om sessies bij te houden, zoals bijna elke PHP-applicatie. Dit wil niet zeggen dat ook privacy-gevoelige gegevens opgeslagen/bijgehouden word.
* Privacy-schending door cookies is direct gekoppeld aan Spam.
De author stelt dat doubleclick gegeven verzameld, en verteld in een een ruk door dat 'In Europa lijkt de hoeveelheid misbruik van ongevraagde e-mail versturen nog te overzien, uit onderzoek in Amerika wordt de economische schade door ongevraagde e-mail op bijna negen miljard dollar per jaar geschat'
Dit wekt de directe suggestie dat spam voornamelijk veroorzaakt wordt door bedrijven die gerichte profielen samenstellen aan de hand van online surfgedrag. Iedereen die wel eens een 'enlarge your penis / breasts now' spam mailtje gekregen heeft weet dat een van de belangrijkste kenmerken van spam is dat iedereen spam krijgt, ongeacht of de persoon aan een profiel voldoet of niet. De enige criteria waaraan een persoon moet voldoen om spam te krijgen, is om ergens online (in een newsgroup bijv.) zijn/haar emailadress achter te laten, zodat deze gevonden kan worden door een e-mailharvester. En zelfs dit is niet nodig, zoals te zien is door de grote hoeveelheid spam die binnenkomt op 'dictionary' namen.
Verder is de hoeveelheid spam die in Europa binnenkomt niet subtianteel meer of minder dan in Amerika. Spammers maken geen onderscheid tussen verschillende domeinen. Als het een '@' heeft, spammen ze het.
* Browsers informeren de gebruiker over cookies, terwijl het primaat hiervoor bij de site hoort te liggen, omdat de browser voornamelijk gebruiksvriendelijk probeerd te zijn.
Ook dit is op zijn zachts gezegt discutabel, omdat het erg aannemlijk is dat cookies makkelijk gezet worden juist omdat sommige browsers er geen melding over geven. Als de grote browsers vanaf het begin voor elke cookie expliciet toestemming hadden gevraagt aan de gebruiker, dan waren cookies minder populair geweest, en werden ze alleen gebruikt bij toepassingen waarbij geen alternatief bestond.
Het idee dat de site de gebruiker moet informeren over de informatie die verzameld wordt over de site suggereerd dat de gebruiker dus niet moet vertrouwen op zijn eigen systemen, maar dat de gebruiker de site moet vertrouwen om de waarheid te spreken. Als er iets is wat we de afgelopen jaren geleerd hebben, is het wel om niet aan te nemen dat een site/bestand/informatie zomaar te vertrouwen is. Het idee dat er niet masaal geliegt zou worden door sites die de privacy schenden is erg naief, en in ieder geval geen goed uitgangspunt voor een privacy-beleid.
* Quote 'Door het informeren over te laten aan de internet browser wordt de betrokkenen inadequaat geinformeerd en de rechten van de gebruiker niet volledig beschermd' .
Bescherm tegen wie? Tegen sites die de privacy schenden!
Laten we deze zin even herschijven :
'Doordat sites die informatie verzamelen het informeren over te laten aan de internet browser wordt de betrokkene inadequaat geinformeerd en de rechten van de gebruiker niet volledig beschermd'
nogmaals, met bad intent :
'Sites die de privacy schenden en het informeren daarover overlaten aan de browser beschermen de rechten van de gebruiker niet adequaat.'
nogmaals, streetwise :
'Sites die de gebruiker een poot uitdraaien, en dat niet vertellen aan de gebruiker, draaien de gebruiker een poot uit.'
* Cookies worden automatisch verwerkt, en dus weet de gebruiker vaak niet dat cookies gezet worden. Dus zijn cookies fout.
Again.. het betekend dat de implementatie fout is. Dat browsers (IEx tenminste) niet vertelen dat een cookie gezet wordt, is een probleem van IEx, niet van de website, en het is evenmin een fundamentele fout in cookies.
* Cookies verhinderen een site om de gebruiker te vertellen dat gegevens verzameld worden, en/of te vertellen welke gegevens dat zijn.
Dit is weer onzin, omdat er geen enkele reden is waarom een site met een webapp die een cookie zet niet eerst de gebruiker informeerd waarom de cookie gezet wordt. Dit wordt trouwens ook weleens gedaan.
* Het cookie mechanisme biedt geen eenvoudige manier om te achterhalen waarvoor de website de informatie gebruikt.
Geen enkel mechnisme bied zekerheid over welke informatie verzameld wordt (via access-logs bijv.), en waar de informatie voor gebruikt wordt. Als er een protocol-uitbreiding zou zijn die zou kunnen aangeven dat bijv. informatie niet gebruikt wordt voor direct marketing, dan heb je geen garantie dat het niet stiekem wel voor marketing gebruikt wordt.
Veel sites zeggen trouwens wel waar informatie voor gebruikt wordt, maar dit gaat vaak om informatie die de gebruiker zelf opgeeft via een form.
De author maakt zelf de conclusie :
'Het informeren van de gebruiker over de identiteit van de gegevensverzamelaars is dus volledig afhankelijk van de oprechtheid van de domeineigenaar'
Dit is een geldige conclusie, maar een die geldt voor alle informatie op het internet. Ook een nieuw protocol zou dat niet veranderen. Een site kan immers niet oprecht zijn, en dus doodgewoon liegen. Zolang het de site zelf is die vaststeld wat zij verzamelend en de gebruiker daarover informeerd zal daar geen verandering in komen.
* Quote : 'het RFC document geeft geen aanwijzingen over het soort gegevens dat de gegevensverzamelaar wel of niet mag verzamelen'
Stel dat de RFC had gezegt: Je mag geen surfgedrag bijhouden. Hoe had de rfc dat willen afdwingen? Surfgedrag bijhouden is gebruik van een technologie, en net zo min af te dwingen als zeggen dat je een hamer niet mag gebruiken om iemand de kop in te slaan.
* sites kunnen een domeinnaam delen, en met elkaar afspreken dat ze toegang hebben tot elkaars cookie data.
Ja, en sites kunnen ook informatie delen door het per mail naar elkaar te sturen. Moeten we daarom mail verbieden? Daarna is het ook nog mogelijk via een HTTP-POST data aan elkaar door te geven... laten we dus ook maar webapplicaties verbieden. Het is echt niet mogelijk om sites die informatie willen delen tegen te gaan. Dit is alleen een bewuste keuze, en is niet iets wat 'zomaar' kan. Het is geen gebrek in het protocol.
* Cookies worden niet encrypted getransporteerd
Nee, net zo min als een HTTP-POST, GET, Basic auth data, etc, etc. HTTP is nu eenmaal niet encrypted. Daar is HTTPS voor. Als je dus gevoelige data hebt, moet je HTTPS gebruiken (of een andere transportbeveiliging). Dit is iets wat elke beginnende gebruiker toch wel zou moeten weten.
* Login & wachtwoorden worden soms opgeslagen in cookies.
Dat is stom, zoals iedereen weet (zou moeten weten). Authentificatie cookies zouden slechts gebruikt moeten worden voor de sessie-id's, en deze sessie-id's zouden bovendien gekoppeld moeten zijn aan een IP-adress, zodat een replay attack niet mogelijk is. Dit betekend alleen maar dat je cookie-technologie insecure kan inzetten (goh, wat een verrassing).
Oplossingen zijn daar trouwens allang voor, zoals het gebruik van CRAM-MD5, etc, in HTTP Auth, maar ze worden weinig gebruikt. Deze bestonden voor zover ik weet al voor cookies bestonden.
* Quote : 'In de RFC's is geen waarschuwing te vinden dat het mogelijk is om de wet te verbreken'
!!! ROTFL !!!
Zwart is de dag dat een technisch document het nodig vindt om aan te geven dat het mogelijk is dat er een implementatie van die technologie mogelijk is die de privacywetgeving van de EU overtreed. (Het is ook belachelijk dat op de Apache website nergens staat dat Apache gebruikt kan worden om kinderporno mee te serveren ;-)
* Sites op het internet houden zich niet aan de Europese Privacywetgeving
Dit is een typisch voorbeeld van een open deur intrappen. Het is heel leuk dat 'Persoongegevens slechts mogen worden doorgegeven aan een land buiten de EU indien dat land een passend beschermingsniveau biedt', in praktijk is dit totaal onhaalbaar. Iemand die een webforum opzet kan niet voldoen aan de eisen van de privacywetgeving van alle landen. De persoon kan niet eens op de hoogte zijn van al deze wetgeving.
Als de EU de bestaande wetgeving zou afdwingen op het internet, dan zouden ISP's alle kabels over de oceanen door moeten knippen. In de praktijk wordt de wetgeving afgedwongen op bedrijven die gevestigd zijn / een vestiging hebben in de EU, en sommige grote bedrijven in de US houden zich er vrijwillig aan.
Elk land ter wereld heeft wel 'IETS' aan wetgeving (belediging van godsdienst, rasisme, fasisme, privacywetgeving, notificatie-plicht bij aankopen, geld-terug regeling, garantie-wetgeving, product-informatie, accijns-afdrachten, groene belasting, etc, etc, etc) waar men zich op het internet massaal niet aan houd. Doe bijvoorbeeld een onderzoek naar product-vermelding van genetisch gemanipuleerd materiaal in voedsel dat online besteld wordt. Wedden dat blijkt dat men zich massaal niet houdt aan Europese labeling wetgeving?
Deze studie is van een bedroefend lage kwaliteit, en zou lachwekkend zijn als de het niet zo erg was dat dit soort info van de RUG komt.