Getwist en Gezeur

De ontmaskering van weer eens een web-impersonator (die nadien een  impersonator-impersonator bleek)  had me doen denken of ik misschien niet iets rond anonimiteit op het internet kon doen op het komende Barcamp. 

Maarten Schenk was me echter voor een postte een knap gestructureerde checklist om anoniem te blijven bij het surfen, het opzetten van een site, emailen en reageren op sites.   Jezelf een andere identiteit aanmeten lijkt een frivole bezigheid… tenzij je politiek actief bent in een land als China.  Zo hoorde ik het eerst van Tor, waar Maarten ook naar verwijst, in een reportage over Chinese dissidenten -  ter illustratie deze post van 2 jaar terug maar ook deze recentere waarschuwing.

Niettemin, uit de notities die ik had gemaakt toch nog meer mogelijke weggevers:

• gebruik enkel webmail in combinatie met TOR om je mail te lezen.  Niet alleen kan je getricked worden om door te klikken naar een website, ook in (html) mails zelf kunnen afbeeldingen zitten die je op dat moment vanop de server ophaalt en je ip kunnen verraden zonder dat je doorklikt**.
• Zelfs al maskeer je je ip adres met TOR, als je al eerder op een site bent geweest, heb je waarschijnlijk cookies van die site waarmee je je vorig bezoek verraadt (en waarmee je gelinkt kan worden aan comments die je dan eventueel achtergelaten hebt - zie voorbeeld dit verhaal bij Emich).
• Het volstaat vaak zelfs niet (met Firefox in combinatie met één van de vele extensies die dat makkelijk maken) je cookies te deleten van de site zelf die je gaat bezoeken.  Veel sites hebben halen stukjes javascript of een tracking-image binnen vanop een andere site, waarvoor je de cookies niet hebt weggehaald. 
  • Dat zijn typisch bv bezoekersstatistiekenpakketten, die soms toelaten individuele bezoekers te “taggen” om nadien te herkennen: zie b.v. hoe Bart BlogBeat gebruikt (Blogbeat is ondertussen opgeslokt door Feedburner, dan weer opgeslokt door Google, maar getclicky biedt diezelfde optie).
  • Mybloglog (meer uitleg hier) is daarbij nog een speciaal geval: vooral bloggers blijven graag ingelogd in Mybloglog, omdat ze dan hun gezicht, en dus een stukje zichtbaarheid voor hun eigen blog zien op andere blogs en sites met het Mybloglog-widget.  Echter, iedereen kan gewoon de Mybloglog tracking code plaatsen zonder het rijtje recente-bezoekers-gezichten, zodat mensen zich er niet bewust van zijn dat ze worden getracked.  De mybloglog code staat op de hele Netlash site, maar  enkel op deze buiten-navigatie-pagina zijn de bezoekers te zien :-).   Het is niet ondenkbaar dat Facebook dezelfde weg opgaat en “visited”-widgets lanceert - op dit moment plaatsen ze al tracking code op een aantal grote (e-commerce) sites, met de bedoeling dat je via je mini-feed in Facebook vrienden automatisch aanbevelingen kan gaan doen.  Opt-out voor die minifeed-aanbevelingen is mogelijk, opt-out voor het bijhouden van je surfgedrag is er niet… tenzij de javascript code gewoon blokkeren.
    (Bijhouden van surfgedrag via widgets en cookies over verschillende sites heen is uiteraard niet nieuw, wel nieuw is dat het aan expliciete persoonsgegevens wordt gekoppeld in Facebook en je Mybloglog/Yahoo account én op één of andere manier zichtbaar wordt gemaakt.)
• Ook referer informatie kan je verraden.  Ik herinner me een blogrelletje over een referer vanop corporate webmail waaruit een (voor de blogger die het opmerkte) kritisch stuk email af te leiden was.  Een referer vanop http://intranet.bedrijfY.com/blog/kijk-eens-wat-die-idioten-van-bedrijf-X-nu-weer-gedaan-hebben/   vertelt ook één en ander, en een referer uit de administratie-interface van een blog (in Wordpress de /wp-admin/ directory) verraadt het bezoek van de beheerder van die blog.

Natuurlijk kan je je daar overal tegen wapenen: je kan referers maskeren of spoofen, je kan script geheel of gedeeltelijk blokkeren,  maar op den duur wordt je surfgedrag zo herkenbaar voorzichtig dat het weer traceerbaar is :-).  Een andere piste is dat je je surfgedrag gedisciplineerd gaat opsplitsen in verschillende persona’s.  Op pascal.vanhecke.info probeer ik daar binnenkort nog eens een mogelijk recept voor te schrijven…

** Ik heb ooit met een blogbabe-mail het ip-adres van de zogenaamde hackers van de Bwards blog aan Jeroen bezorgd - wat ik op dat moment niet (zeker) wist, was dat hij zelf de hacker was :-).