Wat nou privacy, ik meet waar jij geweest bent
63
Het klinkt gek maar toch kan het: ik lees de historie van je browser uit en plaats deze gegevens in Google Analytics. Zo weet ik precies welke sites je allemaal bezocht hebt, scary he? Zo kan ik heel mooi een profiel maken van het type bezoeker wat hier op de site komt aangezien ik weet welke sites ze in het verleden (tot zo ver de Browser historie reikt) allemaal bezocht hebben.
Zo ziet mijn bezoekersprofiel er op dit moment uit:
En let op: die sites linken niet naar mij, het is echt Browser History data. Ik heb nog niet heel veel meetdata, maar zo te zien zijn mijn bezoekers ook trouwe Bol en Tweakers.net bezoekers.
Techniek
Hoe is dit technische mogelijk zul je je afvragen? Nou, middels een hack lees ik de back-knop én de historie van je browser uit. Dit is technisch mogelijk in Firefox, Internet Explorer en ook Chrome.
Vervolgens kun je de lijst met bezochte sites op slaan. Ik heb gekozen dit tijdelijk met Google Analytics te doen zodat ik vanuit daar een mooi rapport kan maken. Ik ga verder niet in op de technische details aangezien de impact op iemands privacy groot kan zijn.
Kansen
Met deze meetgegevens kun je hele interessant dingen doen. Je kunt bijvoorbeeld zien of bepaalde groepen sites missen in in de profielen van je bezoekers. Begin dan met een sitegerichte bannercampagne om zo nieuwe bezoekers die dus nog relatief onbekend zijn met jouw site te targetten.
Tegelijk levert het informatie op over de concurrenten die bezocht worden. Welke worden er nou veel en welke weinig bezocht door jouw bezoekers.
Privacy
Tja, wat denken jullie? Kan dit? In theorie is het mogelijk dat ik een scan doe op de aanwezigheid van adult sites in je Browser historie. Die sites sla ik dan op bij je naam of IP en heb direct een vervelend dossier over jou. De technologie is best interessant gezien de informatie die je krijgt, maar ik denk dat een heleboel mensen er toch problemen mee hebben dat iemand kan zien wat ze bezocht hebben.
Wat denken jullie? Hoeveel van jullie hebben ondertussen even de Browser historie verwijderd?
Ik geloof dat ik voorlopig even niet meer op je site kom André
Even voor de volledigheid, dit kan toch met elk statistiekenpakket? Je noemt Google Analytics nu als voorbeeld, maar met Omniture, Sitestat, HBX enzo kun je het zelfde doen toch?
Like this comment?
Ik heb de meting inmiddels gestopt, dus je bent veilig
En ja dit kan in principe gewoon met elk statistiekenpakket. Dat maakt het wel weer heel universeel inzetbaar.
Like this comment?
Mmmm.. lastig! Ik vind het als marketeer een fantastische vondst. Want je kunt nu ook de interesses van andere sites meten die gerelateerd zijn aan de jouwe. Voor veel bedrijven een nieuwe dimensie aan inzicht net zoals de interne zoekmachine destijds al.
Toch vind ik het een raar idee dat je, niet gerelateerde aan jou site, kunt meten met de tools. Ik snap de truc met de back knop, maar privacy hierin vind ik wel erg lastig. Stel voor je hebt net 20 sites bekeken die je eigenlijk niet had willen bekijken
en dan reageer ik hier. Jij koppelt dit IP adres aan mijn Back knop IP adres en kan dus zelfs koppelen wie, wat en wanneer doet!
Persoonlijk ben ik niet zo'n privacy liefhebber, al vond ik de km-kastjes toch geen fijne gedachte! Dus mijn inziens mag je alles wel van me uitlezen, maar dit is mijn persoonlijke mening. Transparantie, openheid en authenticiteit draait het tegenwoordig toch om.
Dus Marketing/Meten = YES, Privacy = kleine yes..
Groeten Schelte
Like this comment?
Waren er nog mensen dan die dachten dat hun browsegeschiedenis _niet_ op straat lag? wow.
Ben wel nieuwsgierig welke truuk je gebruikt..de kleurtruuk?
Like this comment?
@Nanne: ik denk dat bijna 99% van Nederland denkt dat dit geen openbare info is.
Like this comment?
Oeh, dat is een best smerige. Ik denk niet dat veel mensen, waaronder ikzelf, daar blij mee zijn.
Like this comment?
Ik denk niet dat je de kleurentruuk doet. Ik denk dat je, heel makkelijk, gewoon "history" uitleest met javascript.
Am I right?
Like this comment?
@Schelte Meinsma
Ik verwacht ook niet echt een andere mening van een marketeer.
Als er totale privacy zou zijn, zou je geen werk meer hebben.
Persoonlijk baart het mij zorgen hoe er met de privacy van consumenten omgegaan wordt om maar geld te kunnen verdienen.
Waarschijnlijk vind je de kmkastjes geen fijne gedachte omdat dat je in je portemonnee raakt, heeft dus niet veel met privacy te maken, maar misschien zit ik ernaast?
Like this comment?
Een mooi stukje R&D Andre!
Fijn dat je deze techniek nu ook beschikbaar stelt aan Marketeers, die er zeker misbruik van willen maken
Ik denk dat als je dit, en bv ook de re-marketing techniek van Google, aan gebruikers uitlegt dat ze zich zeer begluurd voelen en dat dat toch net weer een beetje over het randje van 'Evil' is.
Like this comment?
@Ronald: zo simpel werkt het gelukkig niet, dan zou het wel heel makkelijk zijn om te exploiteren.
@Henk: ik vind het ook niet een prettige gedachte dat je browser historie zo openbaar is.
@Job: ik stel momenteel nog niets beschikbaar, het is meer een discussie die ik aan wil slingeren
Like this comment?
@ronald: maar het historyobject is iig niet zonder grove breekijzers uit te lezen, het lijkt me stug dat daar een dergelijk gat in zit? I can het natuurlijk gemist hebben de laatste tijd, maar dat zou dan een gekke bug zijn lijkt me
Like this comment?
Het heeft vast te maken met sites die ook Google Analytics draaien....
Like this comment?
Tsja, er zijn hier twee dingen die meespelen. Ik denk dat dit door veel mensen een stuk minder storend wordt ervaren wanneer je geen persoonsgegevens (IP) aan de gevonden historie koppelt. Net zoals Google, dat naar eigen zeggen geen IP's opslaat bij het opslaan van je zoekgeschiedenis.
Like this comment?
Hoe meer je hierover nadenkt, hoe angstaanwekkender het inderdaad wordt! Nu vertrouw ik er wel op dat Andrescholten.nl niet echt vervelende dingen gaat doen met mijn browserhistory. Maar dit hoeft zeker niet voor alle websites te gelden!
Like this comment?
@ Nanne
En tevens een bug welke in drie verschillende browsers aanwezig is.
Dan denk ik eerder aan een feature.
Like this comment?
Ik dacht ook aan de css-kleurentruuk, maar die is oud. Ik heb daar 2 jaar geleden al 'ns over gepost. Dus we wisten al dat je browser history minder geheim is dan je denkt
Maar dit moet toch een andere techniek zijn, ik zit nu hard te denken hoe je dit geifxt hebt andré...
@NME Dit is potentieel heel gevaarlijk, los van de privacy schending. Er zijn best wel wat sites waar je kan inloggen met een hash. (LinkedIn, Hyves volgens mij ook) Als dir url + hash nog in je history staat kun je met deze hack veel schade aanrichten.
@André Is het niet juist handiger om de techniek wel te posten? Liefst in een engelstalige post? Dan is de kans het grootst dat er snel een oplossing voor komt. Er gaan nl. sowieso wel anderen (met wellicht minder goede intenties) ook achter deze hack komen.
Like this comment?
@gijswijs
Waarom denk je dat het niet de kleurenhack is? Het resultaat is in ieder geval hetzelfde...
Ook al is al een oude truc, het maakt de discussie niet minder actueel. En dat was juist de bedoeling van deze blogpost volgens mij...
Like this comment?
Even een aanvullende opmerking: dit heeft niets met Google Analytics te maken, de meting kun je in elk willekeurig pakket doen.
Like this comment?
Hmm. Twijfelachtig. Natuurlijk is dit waardevolle informatie voor elke marketeer / analist. Maar voor mij als bezoeker is dit wel een krab-achter-de-oren moment. Het wordt wel heel persoonlijk.
Wat zijn eigenlijk de regels hierin? Zijn die er? Zo nee: zouden die er moeten komen? Hoe ver mag je gaan met het meten van persoonlijke details?
Like this comment?
Het history object is pertinent niet toegankelijk voor script, dus die aanpak werkt niet. Als ik het zo eens lees, lijkt het inderdaad een toepassing van de kleurenhack. De nauwkeurigheid van de "meet" (eigenlijk: "vergelijk")-data die je terugkrijgt is dan wel sterk afhankelijk van de lijst die je zelf aanlegt. Maar je krijgt op die manier wel _alle_ sites terug die men bezocht heeft, niet alleen degene die in die browser sessie bezocht zijn.
Dus al met al ben ik (vooral technisch gezien) geïnteresseerd wat de techniek hierachter is
Like this comment?
@Tijmen Omdat Andre zegt dat hij de history uitleest. De kleurenhack leest niet zo zeer je history uit, maar test of een gedefinieerde site in je history staat. Dat is toch net anders. Nu kan André natuurlijk doelbewust een beetje een verwarrende formulering hebben gebruikt, maar dat denk ik niet. Verder laat de dump van het bezoekersprofiel ook zien dat de volledige url er in staat (bv. http://www.bol.com/nl/index.html) Met de css hack zou je daar gewoon bol.com verwachten.
Like this comment?
Juridisch gezien lijkt me dit uiterst twijfelachtig. Je vist naar gegevens waarvan het niet de bedoeling is dat je ze krijgt. Je gebruikt daarbij een truc die niet bedoeld is voor dit doel en waarvan de meeste mensen het bestaan niet eens weten. Ik zou niet durven zeggen dat dit mag van de wet.
Sorry maar je vroeg erom
Like this comment?
@Gijswijs: ik ken en begrijp de risico's en ik weet ook dat ik blij ben als de gemiddelde site-eigenaar dit nooit toe gaat passen. Tegelijkertijd zijn er ook sites waarvoor ik het wel zou toestaan, omdat ik die sites vertrouw om er goed mee om te gaan. De gegevens ontkoppelen van het IP-adres waar ze bij horen is daarbij een goede eerste stap.
@Arnoud Engelfriet: wat als je gewone bezoekers niet op die manier logt maar geregistreerde gebruikers een vinkje geeft met de strekking "ik verleen toestemming om anonieme statistieken bij te houden van mijn browsegedrag?"
Like this comment?
@Arnoud: dank voor je bevestiging, het lijkt me daarom ook kwalijk dat dit kan. Maar zouden browsers dit moeten voorkomen, of ben je hier zelf verantwoordelijk voor. Dat is een mooie discussie.
Like this comment?
@André Als men wilt dat dit voorkomen wordt, moet javascript worden uitgeschakeld; of de a:visited functionaliteit (die als sinds de geboorte van het internet bestaat) moet uit de browsers gehaald worden.
Voor geen van beide zaken is echt wat te zeggen. Het laatste zal sowieso nooit gebeuren verwacht ik.
Like this comment?
@NME Je kunt niks met deze informatie waar ik vrolijk van wordt. Je kunt me ermee profilen en dan nog irritantere reclames op mij afvuren. Daar zit ik niet op te wachten. Nu ik het zeg, Google heeft hier vast wel oren naar.
@Patrick De CSS hack werkt inmiddels ook al zonder javascript. http://ha.ckers.org/weird/CSS-history.cgi
Like this comment?
Van uit marketing oogpunt erg intersant, maar van uit privacy heeft het nog wel wat haken en ogen. En het mag waarschijnlijk in GA niet, in verband met pii.
Like this comment?
@Gijswijs: het hele idee van profilen is juist dat je niet irritantere reclames op je dak krijgt, maar reclames die wél relevant voor je zijn. Daarnaast kun je bedrijfsmatige beslissingen baseren op die data en daarmee het aanbod van informatie op je site beter toespitsen op je bezoekerskern. Je kan hier prima valide dingen mee uithalen; of het legaal of wenselijk is is een tweede.
Like this comment?
@nwe: zo'n vinkje zou je kunnen doen maar de tekst moet wel anders want als je mijn browserhistory uitsnuffelt dan is dat geen "anonieme statistieken" maar "een uitgebreid en gepersonaliseerd gebruikersprofiel gebaseerd op uw internetgedrag".
Like this comment?
Het is anoniem wanneer je de gegevens niet koppelt aan persoonsgegevens, toch?
Like this comment?
@NMe: klopt, als je gegevens opslaat zonder dat ze naar een individu te herleiden zijn, dan handel je legaal. Maar een IP-adres is ook een persoonsgegeven dus die mag je er al niet bij hebben, en cookies al helemaal niet.
Like this comment?
Dit wist ik niet eens, geeft me eerlijk gezegd een onveiliger gevoel dan ik al had op het internet.
Like this comment?
Laat in ieder geval zien dat Andre een absolute topper is.... of iemand met weinig andere hobbies dan GA. Ik ben in ieder geval zwaar onder de indruk. Ten aanzien van het gebruik ervan, persoonlijk geen problemen mee, maar ik ben bang dat velen het daar niet mee eens zijn. De gemiddelde nederlander gaat er dan vanuit dat Andre ook zijn inlogcodes van zijn telebankieren kan achterhalen en andere zaken die je automatisch worden opgeslagen... en wie weet kan hij dat ook al weer..Leuke post om te lezen en de commentaren te volgen. Nu nog even googlen op de kleurenhack.
Like this comment?
Interessant artikel! Dergelijke gegevens zijn natuurlijk enorm waardevol!
We weten dan gelijk op welke sites we moeten adverteren of retargeten en in hoeverre ze ook bij de concurentie kijken.
MAAR persoonlijk vind ik het veel te ver gaan en is het een kwalijke zaak dat de 3 grootste browsers dit "gat" niet hebben gedicht. Of is het puur een misvatting van ons allen dat je history niet openbaar is en ook nooit is geweest?
Like this comment?
@Robin:
Feitelijk is dit geen gat in de browser. De browser houdt historie bij van waar je bent geweest. Met deze history markeert hij de links die al bezocht zijn standaard met een andere kleur. Hierdoor weet de gebruiker dat hij er geweest is.
De truc is nu om een lange lijst met url's aan te leggen, die laat weergeven en op die manier controleert of deze de 'visited' kleur krijgt. Zo kun je dus zien of iemand die site heeft bezocht.
Het is dus geen kwestie van het uitlezen van de history, maar meer het matchen van de history tegen een bestaande lijst met adressen en dan kijken of iemand die site heeft bezocht.
Like this comment?
Sterke post weer Andre. Aan het aantal en de inhoud van de reacties te zien heb je een zeer interessant onderwerp aangeboord. Ben benieuwd naar het vervolg!
Like this comment?
Met de referrer had je al de mogelijkheid om te zien waar iemand vandaan komt. Blijkbaar gaat dit nog een stap verder.
Like this comment?
Voor een voorbeeld van het ophalen van jouw browser-history: What the internet knows about you. Scary!
Like this comment?
@Erwin:
Dat is niet het ophalen van de history, maar meer het matchen van je history tegen een lijst van sites via de eerdergenoemde kleurentruc.
Like this comment?
Aangezien Google het duidelijk in zijn privacy voorwaarden aangeeft dat je geen persoonlijke gegevens in Google Analytics mag verzamelen, lijkt me dit een duidelijke schending van hun terms of conduct. Het verzamelen van deze gegevens zou je dus wel eens in de problemen kunnen brengen. Al heb ik nog niet een geval gehoord dat Google een account heeft gesuspend ofzo. Is iemand dat ooit een keer tegengekomen?
Het is natuurlijk wel een beetje beangstigend dat het op een redelijk makkelijke manier kan. Misschien komt die browser plug-in van Google om te opt-outen toch op het juiste moment.
Like this comment?
Ok.. Wel erg bruikbaar voor marketing doeleinden lijkt me.. Interessant gegevens overigens!
Like this comment?
Wat een te gek artikel! Natuurlijk is het voor marketeer onwijs gaaf dat dit technisch mogelijk is. Wat een schat aan informatie. Maar is het nog verantwoord? Kan het door de beugel? Dat vind ik een te moeilijke vraag.
Ik ga de comments wel in de gaten houden, want dit is het vetste artikel dat ik in tijden heb gelezen!
Like this comment?
Het uitlezen van de browsergeschiedenis zag ik een jaar of 10 geleden al eens en gelukkig ben ik mij daarom er van bewust dat dit kan gebeuren. Ik vraag mij af of je de gegevens op deze manier nog wel uit kan lezen wanneer iemand bijvoorbeeld de Private-browsing functie in bijvoorbeeld FireFox aan heeft staan?
Like this comment?
@Sander:
In principe werkt het niet met private browsing functies, omdat je geschiedenis dan gewist wordt. En als er geen geschiedenis is, is er niets om mee te matchen.
Like this comment?
Het wordt nog enger wanneer je de volgende twee boeken hebt gelezen van de auteur: Charles Den Tex, een Nederlandse schrijver. De verhalen spelen zich ook af in Nederland. Ik noem de twee titels, wanneer je intersse hebt in deze boeken dan moet je ze ook in deze volgorde lezen. (ik de sufferd deed het andersom) 'De macht van Meneer Mille' en 'CEL' Wanneer je deze boeken hebt gelezen, dan snel je, jezelf wederom naar de boekwinkel. Waarom? Om een kladblok en een pen te kopen. Vervolgens ga je naar de Euromast en gooi je daar je HD naar beneden, je zoekt in de bosjes en de resten van je HD verbrand je in oven van achtduizend graden. Zo eng kan internet zijn. Charles Den tex leeft u ergens onder een brug, zijn identiteit werd gestolen ia het internet. http://nl.wikipedia.org/wiki/Charles_den_Tex En nu ga ik naar mijn FireFox history kijken.
Like this comment?
ps.
Inderdaad.... alles stond open, één nadeeL, nu moet je telkens je gegevens invoeren wanneer je een reactie wilt geven, ergens, op een site. Voordeel: Ik hoef niet meer naar de Euromast en mijn Mac. is veilig..... hoop ik.
Like this comment?
Beetje simpel verhaal, het vergelijken van een aantal van te voren bepaalde websites met de websites in iemands geschiedenis is heel wat anders dan de hele geschiedenis van deze gebruiker uitlezen (wat dus niet gebeurt). Dit trucje is al een jaartje of vier oud en wordt telkens herontdekt.
Like this comment?
Ik wist niet dat het kon. Zeker dus leuk om een keer zoiets te zien. Kun je de getoonde content ook matchen aan iemand zijn history?
Lijkt me interessant voor bijvoorbeeld het tonen van advertenties.
Like this comment?
niet om het een of ander maar is het niet verboden door de wet om zonder toestemming van de gebruiker de hele geschiedenis uit te lezen het klinkt namelijk nogal illigaal
Like this comment?
@Jaap Jolman:
Zoals in de vele reacties al te lezen is wordt de history niet uitgelezen. Er wordt gekeken welke lijst van sites al een keer bezocht is a.d.h.v. de link-kleur die een bezochte link krijgt.
Like this comment?
@Andre
Kan je bevestigen dat dit verder gaat dan x-duizend urls door een loop heen trekken en de visited array pushen met degene die een ander kleurtje hebben? Ik heb testjes gedaan waar je dit met 25.000 urls per seconde voor elkaar kreeg, wat toch pretty much neerkomt op 'met aan zekerheid grenzende waarschijnlijkheid' meer dan 9 van de 10 laatst bezochte websites van iemand kunnen 'raden' binnen een seconde of 4 (100.000 top-sites 'testen').
Like this comment?
Dat kan ik bevestigen
Like this comment?
Is dit een waarschuwing om andrescholten.net niet meer te bezoeken?
Like this comment?
Leuk dat er nu nog iemand mee kan genieten aan mijn bezoekjes aan Tweakers.
Maar door dit soort dingen blijkt maar weer dat je niet voor privacy op het internet moet zijn.
Like this comment?
Voor de mensen die bang worden van privacy-schending. Een redelijk eenvoudige manier om ondanks zulke technieken toch 'veilig' te kunnen surfen is door bijvoorbeeld gebruik te maken van http://www.browzar.com/ vooral als je dan ook nog gebruik maakt van een proxy (zie bijvoorbeeld het TOR-project).
Like this comment?
Of gewoon bij je browser instellen dat hij niets opslaat (of browse-gegevens wist bij afsluiten). Net zo makkelijk en geen gedoe met _nog_ een extra browser.
Like this comment?
Heb gelijk me browser geschiedenis gewist. Ik schrik hier toch wel erg van!
Like this comment?
Heftig hoor dit! Maar goed als je iemand wil hacken kan dat natuurlijk altijd.. Zou mooi zijn als er browser plugin was die je van dit soort praktijken op de hoogte stelt.
Like this comment?
@André
Kan je hiermee ook de volgorde van de bezochte sites zien? Voor marketeers zou dit gouden informatie zijn, dan kunnen ze precies de stappen tot de aankoop zien. Wat de mogelijkheid geeft tot heel gericht reclame te plaatsen op websites die later conversies op kunnen leveren.
Dit is wel een flinke privacy schending, goed dat je laat zien dat het kan gebeuren. Al zorgt het er bij mij nog niet voor dat ik permanent in privacy mode ga surfen.
Like this comment?
@Ruben: helaas, de volgorde is niet te meten. Dat zou inderdaad ook handig zijn.
Like this comment?
Tja... tweestrijd... Niet cool dat je het bij mij doet, maar zou het wel op mijn eigen website willen implementeren
Like this comment?
@André Kan je hiermee ook de volgorde van de bezochte sites zien? Voor marketeers zou dit gouden informatie zijn, dan kunnen ze precies de stappen tot de aankoop zien. Wat de mogelijkheid geeft tot heel gericht reclame te plaatsen op websites die later conversies op kunnen leveren. Dit is wel een flinke privacy schending, goed dat je laat zien dat het kan gebeuren. Al zorgt het er bij mij nog niet voor dat ik permanent in privacy mode ga surfen.
Like this comment?
Knap werk André. Heb eens gegoogled maar buiten de CSS-hack niets gevonden dat in de buurt komt. Denk dat je veel mensen (waaronder ik) nieuwsgierig hebt gemaakt.
Oké we kunnen nu wel gaan zagen over privacy enzo... maar je moet echt wel naïef zijn te denken dat je persoonlijke gegevens niet worden gebruikt zowel online als offline.
Like this comment?