image

Afname third-party content op EU-nieuwssites na invoering AVG

maandag 20 augustus 2018, 10:05 door Redactie, 4 reacties

Na de invoering van de Europese privacywetgeving AVG is de hoeveelheid third-party content en cookies op Europese websites afgenomen, zo blijkt uit onderzoek van het Reuters Institute for the Study of Journalism (pdf). Voor het onderzoek werd er gekeken naar meer dan 200 nieuwswebsites in Finland, Frankrijk, Duitsland, Italië, Polen, Spanje en het Verenigd Koninkrijk.

De AVG, die eind mei werd ingevoerd, stelt allerlei eisen op privacygebied en nieuwswebsites lijken hun werkwijze hierop aan te passen. Uit het onderzoek blijkt dat nieuwssites minder cookies zonder toestemming van gebruikers plaatsen. Zo nam het aantal geplaatste third-party cookies in juli ten opzichte van een meting in april met 22 procent af.

De afname in third-party cookies was afhankelijk van het soort content dat het cookie plaatste. Het aantal cookies voor optimalisatietools nam met 27 procent af, terwijl advertentie- en marketingcookies een afname van 14 procent lieten zien. Ten opzichte van april werden er in juli 9 procent minder socialmediacookies geplaatst. Het aantal nieuwssites dat socialmediacontent host, zoals knoppen om content op Facebook en Twitter te delen, daalde van 84 procent in april naar 77 procent in juli.

De Amerikaanse techbedrijven Google (96 procent), Facebook (70 procent) en Amazon (57 procent) blijven aanwezig op de meeste Europese nieuwssites. Alleen Facebook zag een grote daling in hun bereik na de invoering van de AVG met vijf procentpunten. Volgens de onderzoekers laten de resultaten zien dat nieuwssites de compliancerisico's van dergelijke content beseffen en de content hebben verwijderd of gekoppeld aan een opt-in van gebruikers.

Reacties (4)
20-08-2018, 10:56 door Bitwiper
Ik merk er nog helemaal niets van. Op veel sites staat het NoScript menu vol met third party sites die alles van je willen weten (en die plugin blokkeert slechts Javascript van third party sites, jouw browser kan dan nog steeds flink lekken). Alsof je een winkel of een overheidspand inloopt en een groep malloten met camera's als strontvliegen om je heen blijft zwermen en elke beweging vastlegt die je maakt, om die vervolgens aan de hoogste bieder te verkopen.

Alleen zie je daar op het web, als leek, helemaal niets van - behalve dat surfen soms tergend traag is, je de content moet zoeken tussen de bagger en jouw virusscanner af en toe alarm slaat (of dat had moeten doen, maar nalaat).

Bijvoorbeeld als je belastingdienst.nl in de URL balk van jouw browser invoert en op Enter drukt:

1) (Off-topic maar wel een risico) ook als je die site het afgelopen jaar op dezelfde wijze hebt bezocht, heeft jouw browser er geen HSTS informatie van opgeslagen, en vindt de request gewoon via http plaats (een MITM, die bijv. jouw modem gehacked heeft, kan dan eenvoudig een SSLstrip aanval uitvoeren; zie https://www.security.nl/posting/566101/NL%3A+veel+brakke+https+sites);

2) Als mijn browser, zonder MITM, (direct vanuit http://belastingdienst.nl/) is doorgestuurd is naar https://www.belastingdienst.nl, zie ik het volgende gebeuren m.b.t. third-party sites:
GET: https://cdn.optimizely.com/js/7957610188.js
GET: https://f1-eu.readspeaker.com/script/4329/ReadSpeaker.js?pids=embhl&skin=ReadSpeakerClassic
GET: https://survey.insocial.nl/loader/belastingdienst/survey.min.js?case=npg
GET: https://a7957610188.cdn.optimizely.com/client_storage/a7957610188.html
GET: https://f1-eu.readspeaker.com/script/4329/ReadSpeaker.Styles.css?v=2.5.12.5343
GET: https://f1-eu.readspeaker.com/script/4329/skins/ReadSpeakerClassic/ReadSpeakerClassic.css?v=2.5.12.5343
GET: https://f1-eu.readspeaker.com/script/4329/skins/ReadSpeakerClassic/ReadSpeakerClassic.js?v=2.5.12.5343
GET: https://f1-eu.readspeaker.com/script/4329/ReadSpeaker.Core.js?v=2.5.12.5343
GET: https://f1-eu.readspeaker.com/script/4329/ReadSpeaker.pub.Config.js?v=2.5.12.5343
POST: https://logx.optimizely.com/v1/events
GET: https://f1-eu.readspeaker.com/script/4329/ReadSpeaker.lib.Facade.adapter.jquery.js?v=2.5.12.5343
GET: https://bdtm.containers.piwik.pro/7e06d939-563e-4c29-b5d0-177ed38d416e.js
GET: https://f1-eu.readspeaker.com/script/4329/ReadSpeaker.Base.js?v=2.5.12.5343
POST: https://logx.optimizely.com/v1/events

Alle eigenaren van sites weten nu dat ik, zojuist, vanaf een gegeven IP-adres, met allerlei uniek identificerende gegevens vrijgegeven door mijn webbrowser (los van cookies ook zaken als schermresolutie, OS, taalinstellingen, welke plug-ins etc), de homepage van www.belastingdienst.nl heb bezocht, en sites als optimizely.com ook wat ik daar precies gedaan heb. Zoals waarop ik geklikt heb, of ik gescrolled heb, hoe lang ik een (of dat deel van de) pagina bekeken heb etc.

En dit is een site die bijna iedere Nederlander verplicht moet bezoeken...
20-08-2018, 11:43 door Anoniem
ReadSpeaker is toch een tool om teksten op te lezen, zodat mensen met een visuele beperking toch de informatie te weten kunnen komen. Ongetwijfeld een eis waar de overheid aan moet voldoen. Of het ook je data oogst? Geen idee.

Optimizely, ik moest het even opzoeken, lijkt me een A/B-testing tool. Lijkt me niet dat daar persoonlijke gegevens mee opgevraagd worden, maar dat zou uit het privacy statement te halen moeten zijn.

Is Piwik Pro juist niet bedoeld om on-premise te draaien? Of dat gebeurt weet ik niet, maar waarom zou je anders de Pro-versie gebruiken als je ook de "gratis"-versie kan gebruiken?

InSocial.nl (moest ik ook opzoeken) heeft ook te maken met customer experience.

Dus geen idee wat verzameld wordt. Dat deze diensten/software gebruikt wordt, wil niet zeggen dat er niet voldaan wordt aan de AVG. Los daarvan: als het verzameld wordt dan is aan dit overizcht niet te zien hoe lang het bewaard wordt en wat er mee gedaan wordt.
Nogmaals: zou duidelijk moeten worden uit privacy statement.
20-08-2018, 13:38 door Anoniem
Privacy Statement of niet Bitwiper heeft wel gelijk met zijn tracking overzicht en wie kunnen er nog meer bij de (=jouw) data?

Maar dit zou je toch maar liever blokkeren: https://n01d05.cumulus-cloud.com/trackers/tag.php?t=img&cid=3313637265&chid=81236&rdid=%5Brdid%5D&ts=%5Btimestamp%5D en ook deze ad-tracker:
https://a7957610188.cdn.optimizely.com/client_storage/a7957610188.html
& https://cdn.optimizely.com/js/7957610188.js

uMatrix blokkeert dit tenminste voor mij via de Blockzilla lijst.
. Zie: https://webcookies.org/cookies/www.belastingdienst.nl/19103294

Alles mag dan wel kloppen qua AVG en de GPDR, toch is het webverkeer daar ook niet vrij van het algemene tracking en monitoring gebeuren via cookies, widgets, cloaking, canvas tracking en wat dies meer zij aan Big Data Commerce tracking methoden, die er allemaal ontwikkeld zijn. Zeg niet dat de site van de belastingdienst dit allemaal zou doen, maar Big Data Commerce is nu eenmaal het core business model op het Internet en dat wringt ten principale met onze privacy en anonimiteit.

luntrus
20-08-2018, 22:06 door Anoniem
De volgende scan levert ook interessante resultaten op.
https://privacyscore.org/site/113610/

Kijk eens naar zeven 3rd party embeds, vijf bekende 3rd party trackers, 1 cookie gezet door cumulus-cloud.com,
geen HSTS pre-loading aangetroffen, TLS_fallback_SCSV wordt niet gebruikt. Geen CSP-header ingesteld, geen privacy-vriendelijke referer policy aanwezig. De server staat verder open voor de zogenaamde Secure-Client-Renegotatie-Aanval.

Kijk ook eens naar de issues hier: permalink: https://webhint.io/scanner/a77cc6e1-d5fb-4a96-9f0b-e46bc8c6271e
met 39 beveiligingsfouten qua: no-protocol-relative-urls: 2 errors ; sri: 19 errors; strict-transport-security: 4 errors; x-content-type-options: 13 errors; en tenslotte via Snyk gevonden: no-vulnerable-javascript-libraries: 1 error.

Vergelijk voor het laatste dit jQuery library overzicht, wat het Snyk resultaat weer tegenspreekt: https://retire.insecurity.today/#!/scan/70916335c368e7180e3e7d57a0bbe1eb5b2706905685cad81a2cd27285cc037c'Bootstrap@3.3.5' has 1 known vulnerability (1 medium). See 'https://snyk.io/vuln/npm:bootstrap' for more information. Ook hier niet aangegeven https://retire.insecurity.today/#!/scan/831b45fa8227dca7fad08507f13b37c40c15857cee59855c03398ec1b6743198Kijk naar de javascript foutmelding hier survey.insocial.nl/loader/belastingdienst/survey.min.js?case=npg info: [decodingLevel=0] found JavaScript error: undefined variable acj.parentNode error: line:1: SyntaxError: missing ; before statement: error: line:1: var acj.parentNode = 1; error: line:1: ....^ error: line:5: SyntaxError: missing = in XML attribute: error: line:5: <!DOCTYPE html> error: line:5: ..............^ file: 8fd9194ff357d518467d885eba6c737d3cee8982: 23890 bytes via een javascript unpacker. (script) f1-eu.readspeaker.com/script/4329/ReadSpeaker.js?pids=embhl&amp;skin=ReadSpeakerClassic Dit script overschreed ook nog eens de maximum runtime, wat duidt op onveiligheid Waarvan akte, Dit alles is verkregen via openbare 3rd party cold reconnaissance scanning,zonder ooit daadwerkelijk de site in kwestie te bezoeken. Maar het zegt m.i. al voldoende over eventuele kwesties rond privacy waarborgenen ondersteunt volledig Bitwiper's bevindingen.luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.