Privacy & Google gaan samen

An article, posted more than 2 years ago filed in , , , , , , , & .

Op de blog van bits of freedom, een respectabele organisatie die ik ook steun, stond onlangs een artikel over tracking. Ik hou zelf ook niet zo van trackers, en bezoek bijna geen site zonder uBlock origin en Privacy Badger, maar van het onnodig zaaien van angst hou ik evenmin. Ik heb indertijd op de post gereageerd, maar wel zo handig om het hier nog eventjes dunnetjes over te doen :)

Privacy & Google gaan samen

“Gratis” Lettertypen

Google biedt “gratis” lettertypen aan via Google Fonts. Traditioneel kosten lettertypen geld, en het zomaar meeleveren van lettertypen online komt met veel bijkomende complexiteit. De lettertypen “van Google” (over het algemeen opensource-lettertypen) mag je zelf hosten op je eigen server, maar de meeste mensen maken gebruik van de hosting die Google aanbiedt, zodat je ze zelf niet in diverse formaten op je eigen server hoeft te zetten. Op eenzelfde wijze worden ook b.v. diverse populaire Javascript libraries (zoals jQuery), gehost. Deze extra dienst kost niets, maar zorgen maken over de privacy hoef je in dit geval niet. De lettertypen (en javascript bestanden) krijgen het verzoek mee om een jaar lang vastgehouden te worden in de lokale browsercache, dus al blijft er een beetje informatie achter bij Google bij het voor het eerst opvragen van bijvoorbeeld een lettertype, dit gebeurd slechts 1x per jaar per lettertype. Dus tenzij een gebruiker expliciet de cache ververst kan het goed zijn dat een bezoek aan een site met een populair lettertype zoals Roboto geen traffic naar Google oplevert. Slechts enkele datapunten per jaar is echter onvoldoende voor het goed profileren van jouw gedrag. Dus hierover zou ik echt niet wakker liggen.

Google Analytics

Ik blokkeer het verkeer standaard, maar de bekendste tracker, Google Analytics, is zo te configureren dat het alleen statistieken voor jouw site bewaard, in overeenstemming met de EU richtlijn. Maar niet iedereen wil of doet dat netjes. En natuurlijk is het de vraag in welke mate Google te vertrouwen is. De cookie die dan, indien juist ingesteld en ingeladen, wordt gezet is dan slechts gekoppeld aan jouw domein en dus ook niet cross-domain te koppelen (waardoor jouw bezoeken over verschillende domeinen gevolgd kan worden). Nu zijn cookies niet de enige wijze waarop Google informatie kan opvragen, maar ik heb nog geen reden om aan te nemen waarom Google hier dergelijke instellingen zou negeren. Ik denk ook dat, als Google het zou doen, het inmiddels wel boven was komen drijven, al was het maar als een gerucht. Ik denk dat Google de paar site eigenaren die hun dienst wel netjes configureren voor lief neemt, de massa neemt het immers toch niet zo nauw.

Youtube embeds

Sociale media zijn, zie hieronder, typisch beruchte privacy schenders. Voor Youtube-video’s is er echter altijd een https://www.youtube-nocookie.com-embed variant te maken die geen cookies zet wanneer ze geembed zijn op een site. Youtube kan dus ook niet, zonder trucks uit te halen, achterhalen dat jij, gelijktijdig ingelogde gebruiker op Youtube, op een andere site toch stiekem een aflevering kijkt over an… whatever. Doordat de video wordt geserveerd vanaf een ander domein (niet https://youtube.com) kan YouTube vanaf dit domein ook geen eerder gezette cookies uitlezen.

Twitter & Facebook share buttons

Facebook en Twitter nemen privacy een stuk minder serieus, al hebben ze privacy vriendelijkere manieren van link-deel acties (waarvoor ik een ruby-gem heb geschreven). Hun standaard deel-knoppen (met die leuke actuele tellertjes) harken echter grote hoeveelheden informatie naar binnen. Ze draaien op respectievelijk het facebook.com en het twitter.com domein en kunnen daarom gemakkelijk jouw bewegingen, ingelogd of niet op hun diensten, site na site volgen.

Tot slot

Voor de duidelijkheid: alle code die je uitvoert (of laat uitvoeren) van een derde partij heeft in principe genoeg mogelijkheden om alsnog een uniek profiel te maken van de gebruiker. Je browser versie, besturingssysteem, IP adres (en nog veel meer), het zijn gegevens die standaard worden meegegeven. Op basis hiervan kun je al geprofileerd worden. Ik vertrouw echter een bedrijf als Google wanneer zij expliciet zeggen dat ze dat niet doen wanneer de eigenaar van een site hier niet in mee wil gaan en de Google tracking-code netjes heeft geconfigureerd. Helaas worden de instellingen vaak te slecht begrepen. Dat is dan ook de reden dat de eerder genoemde tools uBlock origin en Privacy Badger dus eigenlijk toch onmisbaar zijn voor zij die zich enigszins anoniem willen begeven op het web.

Afbeelding door tangi bertin; Creative Commons licensed

Op de hoogte blijven?

Maandelijks maak ik een selectie artikelen en zorg ik voor wat extra context bij de meer technische stukken. Schrijf je hieronder in:

Mailfrequentie = 1x per maand. Je privacy wordt serieus genomen: de mailinglijst bestaat alleen op onze servers.