Sinds de geboorte van de tracking cookie in 1994 is er een haast onzichtbare wedloop gaande op internet. Aan het ene front staan de websites. Zij hebben deze kleine softwarebestandjes nodig om te onthouden wie Achter dit front staan de adverteerders, die persoonlijke profielen willen opbouwen van ons, zodat ze ‘relevante aanbiedingen’ kunnen doen: lees een hogere return on investment halen.

Het andere front bestaat uit bezoekers, zoals jij en ik. We zijn geen indrukwekkend leger. De meesten malen er niet om dat iedere webhandeling door tientallen bedrijven wordt gadeslagen. Een groot deel van de websurfers laat, vaak onbewust, honderden cookies per dag toe op zijn computer.

Anderen willen niet door iedereen gevolgd worden. Voor hen zijn er om cookies te weigeren en schreeuwerige advertenties (die ook vaak vol zitten met trackers) te verbergen.

De websites en adverteerders zitten nooit stil. En wat ze nu hebben verzonnen, is werkelijk verbazingwekkend.

Cookies kun je verwijderen of blokkeren, maar dit script is niet uit te schakelen

Het Amerikaanse onderzoeksjournalistieke platform ProPublica het bestaan van zogenoemde ‘canvas fingerprints.’ Dit is een softwarecode die je browser opdracht geeft om een onzichtbare tekening te maken op je scherm. Omdat iedere browser dat op een unieke manier doet, kan een adverteerder je herkennen en dus volgen. Waarschijnlijk wordt het script al twee jaar gebruikt, al is niet bekend op welke schaal.

Cookies kun je verwijderen of blokkeren, maar dit script is niet uit te schakelen. Je zult met de virtuele Van Gogh, of waarschijnlijk eerder een Bob Ross, moeten leren leven.

Opvallend is ook op hoeveel websites dit script is aangetroffen: meer dan vijfduizend. Daar zitten veel grote sites tussen, zoals die van het Witte Huis, Starbucks, anti-virusbedrijf Kaspersky en Saillant is dat canvas fingerprinting ook is gevonden op een paar honderd locaties waar je als bezoeker meestal liever niet gevolgd wil worden: pornosites. Onder andere seksgigant Youporn maakt gebruik van de scripts.

Het script is eveneens gevonden op 32 sites die op .nl eindigen, zoals Voetbalzone.nl, Beslist.nl, Buienradar.nl, Flabber.nl, Uit eerder onderzoek van correspondent Maurits Martijn en mij bleek al dat de beheerders van een aantal van deze sites geen flauw idee hebben welke trackers ze allemaal

100.000 websites bekeken

Canvas fingerprinting is ontdekt door een groep computerwetenschappers van de Katholieke Universiteit Leuven en Princeton, wetenschappers die al jaren baanbrekend onderzoek doen naar Ze bezochten geautomatiseerd de 100.000 populairste websites en kwamen het script in meer dan 5 procent van de bezoeken tegen.

Dit grote aantal is makkelijk te verklaren. De veelgebruikte webdienst heeft het in zijn producten verwerkt. AddThis levert gratis software aan websites waarmee ze bijvoorbeeld hun artikelen deelbaar kunnen maken op social media, net zoals het social media-balkje onder dit stuk (dat van ons is en waar geen tracker op zit). Niets is gratis. AddThis krijgt te zien wie wat met de wereld deelt op de websites waar een van haar tools is geïnstalleerd - en maakt die kennis ten gelde.

Canvas fingerprinting is niet de enige nauwelijks te verwijderen tracker. Zo wordt er ook gebruikgemaakt van device fingerprinting. Daarbij kijkt een website naar hoe je browser is ingesteld, welke lettertypes worden gebruikt, enzovoorts.

Blijkbaar leveren al die instellingen een unieke ‘vingerafdruk’ op waarna adverteerders en sites ons kunnen herkennen. Google nieuwe manieren om gebruikers te kunnen volgen, al zijn de details nog niet bekend. Google heeft al stiekem een in Android-smartphones waaraan adverteerders je herkennen.

Die goeie ouwe cookies lijken opeens zo slecht nog niet.

Update 6:47: een eerdere versie van dit stuk meldde in de lede onterecht dat ProPublica de trackers had aangetroffen. Dat is niet waar. ProPublica is, samen met tech-site Mashable, de eerste die erover schreef.

Update 10:20: Lezer Paul Schoonhoven meldt dat ProPublica ook een updat heeft, waarvoor dank. ‘A YouPorn.com spokesperson said that the website was "completely unaware that AddThis contained a tracking software that had the potential to jeopardize the privacy of our users." After this article was published, YouPorn removed AddThis technology from its website.’

Update 11:45: De uitgever van iCulture laat weten het script van zijn site te verwijderen.

Update 16:54: Flabber.nl kondigt ook aan maatregelen tegen het script tenemen.

Update 24 juli, 12:44: Buienradar.nl heeft het script verwijderd. Het script werd aangetroffen op een oude pagina. Er zijn daarom weinig bezoekers mee in aanraking gekomen.

Wat is device fingerprinting? Als je surft, word je niet alleen gevolgd met behulp van cookies, maar steeds vaker ook door device fingerprinting. Wat is dit en waarom kan je er niets tegen doen? Lees verder Big Business is watching you Met geavanceerde trackers op websites slaan onbekende bedrijven talloze persoonsgegevens van ons op. Hoewel er miljarden aan worden verdiend, weet niemand wat deze bedrijven er precies mee doen. Lees verder Dit gebeurt er allemaal onder de motorkap van je smartphone Eerder schreven correspondent Maurits Martijn en ik over online trackers die ons gedrag registeren via pc’s en laptops. Vandaag het vervolg: wat houdt het apparaat in onze broekzak allemaal over ons bij? Na langdurig onderzoek naar 85 populaire apps ontdekte ik hoe de smartphone vol privacygevoelige lekken zit. https://decorrespondent.nl/1034/Dit-gebeurt-er-allemaal-onder-de-motorkap-van-je-smartphone/50352698-785491ea Jouw aandacht wordt talloze malen per dag verhandeld Zonder dat je het weet, word je iedere dag tientallen keren in milliseconden geveild op online advertentieplatforms, tjidens zogenaamd Real Time Bidding. Hoe gaat deze veiling, waarmee vele miljoenen per jaar worden verdiend, precies in zijn werk? Lees verder