Wat nou privacy, ik meet waar jij geweest bent

Het klinkt gek maar toch kan het: ik lees de historie van je browser uit en plaats deze gegevens in Google Analytics. Zo weet ik precies welke sites je allemaal bezocht hebt, scary he? Zo kan ik heel mooi een profiel maken van het type bezoeker wat hier op de site komt aangezien ik weet welke sites ze in het verleden (tot zo ver de Browser historie reikt) allemaal bezocht hebben.

Zo ziet mijn bezoekersprofiel er op dit moment uit:

En let op: die sites linken niet naar mij, het is echt Browser History data. Ik heb nog niet heel veel meetdata, maar zo te zien zijn mijn bezoekers ook trouwe Bol en Tweakers.net bezoekers.

Techniek

Hoe is dit technische mogelijk zul je je afvragen? Nou, middels een hack lees ik de back-knop én de historie van je browser uit. Dit is technisch mogelijk in Firefox, Internet Explorer en ook Chrome.

Vervolgens kun je de lijst met bezochte sites op slaan. Ik heb gekozen dit tijdelijk met Google Analytics te doen zodat ik vanuit daar een mooi rapport kan maken. Ik ga verder niet in op de technische details aangezien de impact op iemands privacy groot kan zijn.

Kansen

Met deze meetgegevens kun je hele interessant dingen doen. Je kunt bijvoorbeeld zien of bepaalde groepen sites missen in in de profielen van je bezoekers. Begin dan met een sitegerichte bannercampagne om zo nieuwe bezoekers die dus nog relatief onbekend zijn met jouw site te targetten.
Tegelijk levert het informatie op over de concurrenten die bezocht worden. Welke worden er nou veel en welke weinig bezocht door jouw bezoekers.

Privacy

Tja, wat denken jullie? Kan dit? In theorie is het mogelijk dat ik een scan doe op de aanwezigheid van adult sites in je Browser historie. Die sites sla ik dan op bij je naam of IP en heb direct een vervelend dossier over jou. De technologie is best interessant gezien de informatie die je krijgt, maar ik denk dat een heleboel mensen er toch problemen mee hebben dat iemand kan zien wat ze bezocht hebben.

Wat denken jullie? Hoeveel van jullie hebben ondertussen even de Browser historie verwijderd?

Click to activate social bookmarks

 
  • Remi

    Ik geloof dat ik voorlopig even niet meer op je site kom André 😉

    Even voor de volledigheid, dit kan toch met elk statistiekenpakket? Je noemt Google Analytics nu als voorbeeld, maar met Omniture, Sitestat, HBX enzo kun je het zelfde doen toch?

  • Ik heb de meting inmiddels gestopt, dus je bent veilig 😉 En ja dit kan in principe gewoon met elk statistiekenpakket. Dat maakt het wel weer heel universeel inzetbaar.

  • Mmmm.. lastig! Ik vind het als marketeer een fantastische vondst. Want je kunt nu ook de interesses van andere sites meten die gerelateerd zijn aan de jouwe. Voor veel bedrijven een nieuwe dimensie aan inzicht net zoals de interne zoekmachine destijds al.

    Toch vind ik het een raar idee dat je, niet gerelateerde aan jou site, kunt meten met de tools. Ik snap de truc met de back knop, maar privacy hierin vind ik wel erg lastig. Stel voor je hebt net 20 sites bekeken die je eigenlijk niet had willen bekijken 😉 en dan reageer ik hier. Jij koppelt dit IP adres aan mijn Back knop IP adres en kan dus zelfs koppelen wie, wat en wanneer doet!

    Persoonlijk ben ik niet zo'n privacy liefhebber, al vond ik de km-kastjes toch geen fijne gedachte! Dus mijn inziens mag je alles wel van me uitlezen, maar dit is mijn persoonlijke mening. Transparantie, openheid en authenticiteit draait het tegenwoordig toch om.

    Dus Marketing/Meten = YES, Privacy = kleine yes..

    Groeten Schelte

  • Nanne

    Waren er nog mensen dan die dachten dat hun browsegeschiedenis _niet_ op straat lag? wow.

    Ben wel nieuwsgierig welke truuk je gebruikt..de kleurtruuk?

  • @Nanne: ik denk dat bijna 99% van Nederland denkt dat dit geen openbare info is.

  • MueR

    Oeh, dat is een best smerige. Ik denk niet dat veel mensen, waaronder ikzelf, daar blij mee zijn.

  • Ik denk niet dat je de kleurentruuk doet. Ik denk dat je, heel makkelijk, gewoon "history" uitleest met javascript.

    Am I right?

  • Henk

    @Schelte Meinsma

    Ik verwacht ook niet echt een andere mening van een marketeer.
    Als er totale privacy zou zijn, zou je geen werk meer hebben.

    Persoonlijk baart het mij zorgen hoe er met de privacy van consumenten omgegaan wordt om maar geld te kunnen verdienen.

    Waarschijnlijk vind je de kmkastjes geen fijne gedachte omdat dat je in je portemonnee raakt, heeft dus niet veel met privacy te maken, maar misschien zit ik ernaast?

  • Een mooi stukje R&D Andre!

    Fijn dat je deze techniek nu ook beschikbaar stelt aan Marketeers, die er zeker misbruik van willen maken 😉 Ik denk dat als je dit, en bv ook de re-marketing techniek van Google, aan gebruikers uitlegt dat ze zich zeer begluurd voelen en dat dat toch net weer een beetje over het randje van 'Evil' is.

  • @Ronald: zo simpel werkt het gelukkig niet, dan zou het wel heel makkelijk zijn om te exploiteren.

    @Henk: ik vind het ook niet een prettige gedachte dat je browser historie zo openbaar is.

    @Job: ik stel momenteel nog niets beschikbaar, het is meer een discussie die ik aan wil slingeren 😉

  • Nanne

    @ronald: maar het historyobject is iig niet zonder grove breekijzers uit te lezen, het lijkt me stug dat daar een dergelijk gat in zit? I can het natuurlijk gemist hebben de laatste tijd, maar dat zou dan een gekke bug zijn lijkt me

  • Het heeft vast te maken met sites die ook Google Analytics draaien....

  • NMe

    Tsja, er zijn hier twee dingen die meespelen. Ik denk dat dit door veel mensen een stuk minder storend wordt ervaren wanneer je geen persoonsgegevens (IP) aan de gevonden historie koppelt. Net zoals Google, dat naar eigen zeggen geen IP's opslaat bij het opslaan van je zoekgeschiedenis.

  • Hoe meer je hierover nadenkt, hoe angstaanwekkender het inderdaad wordt! Nu vertrouw ik er wel op dat Andrescholten.nl niet echt vervelende dingen gaat doen met mijn browserhistory. Maar dit hoeft zeker niet voor alle websites te gelden!

  • Henk

    @ Nanne
    En tevens een bug welke in drie verschillende browsers aanwezig is.
    Dan denk ik eerder aan een feature.

  • Ik dacht ook aan de css-kleurentruuk, maar die is oud. Ik heb daar 2 jaar geleden al 'ns over gepost. Dus we wisten al dat je browser history minder geheim is dan je denkt
    Maar dit moet toch een andere techniek zijn, ik zit nu hard te denken hoe je dit geifxt hebt andré...

    @NME Dit is potentieel heel gevaarlijk, los van de privacy schending. Er zijn best wel wat sites waar je kan inloggen met een hash. (LinkedIn, Hyves volgens mij ook) Als dir url + hash nog in je history staat kun je met deze hack veel schade aanrichten.

    @André Is het niet juist handiger om de techniek wel te posten? Liefst in een engelstalige post? Dan is de kans het grootst dat er snel een oplossing voor komt. Er gaan nl. sowieso wel anderen (met wellicht minder goede intenties) ook achter deze hack komen.

  • Tijmen

    @gijswijs
    Waarom denk je dat het niet de kleurenhack is? Het resultaat is in ieder geval hetzelfde...
    Ook al is al een oude truc, het maakt de discussie niet minder actueel. En dat was juist de bedoeling van deze blogpost volgens mij...

  • Even een aanvullende opmerking: dit heeft niets met Google Analytics te maken, de meting kun je in elk willekeurig pakket doen.

  • Hmm. Twijfelachtig. Natuurlijk is dit waardevolle informatie voor elke marketeer / analist. Maar voor mij als bezoeker is dit wel een krab-achter-de-oren moment. Het wordt wel heel persoonlijk.

    Wat zijn eigenlijk de regels hierin? Zijn die er? Zo nee: zouden die er moeten komen? Hoe ver mag je gaan met het meten van persoonlijke details?

  • Het history object is pertinent niet toegankelijk voor script, dus die aanpak werkt niet. Als ik het zo eens lees, lijkt het inderdaad een toepassing van de kleurenhack. De nauwkeurigheid van de "meet" (eigenlijk: "vergelijk")-data die je terugkrijgt is dan wel sterk afhankelijk van de lijst die je zelf aanlegt. Maar je krijgt op die manier wel _alle_ sites terug die men bezocht heeft, niet alleen degene die in die browser sessie bezocht zijn.
    Dus al met al ben ik (vooral technisch gezien) geïnteresseerd wat de techniek hierachter is 🙂

  • @Tijmen Omdat Andre zegt dat hij de history uitleest. De kleurenhack leest niet zo zeer je history uit, maar test of een gedefinieerde site in je history staat. Dat is toch net anders. Nu kan André natuurlijk doelbewust een beetje een verwarrende formulering hebben gebruikt, maar dat denk ik niet. Verder laat de dump van het bezoekersprofiel ook zien dat de volledige url er in staat (bv. http://www.bol.com/nl/index.html) Met de css hack zou je daar gewoon bol.com verwachten.

  • Juridisch gezien lijkt me dit uiterst twijfelachtig. Je vist naar gegevens waarvan het niet de bedoeling is dat je ze krijgt. Je gebruikt daarbij een truc die niet bedoeld is voor dit doel en waarvan de meeste mensen het bestaan niet eens weten. Ik zou niet durven zeggen dat dit mag van de wet.

    Sorry maar je vroeg erom 🙂

  • NMe

    @Gijswijs: ik ken en begrijp de risico's en ik weet ook dat ik blij ben als de gemiddelde site-eigenaar dit nooit toe gaat passen. Tegelijkertijd zijn er ook sites waarvoor ik het wel zou toestaan, omdat ik die sites vertrouw om er goed mee om te gaan. De gegevens ontkoppelen van het IP-adres waar ze bij horen is daarbij een goede eerste stap.

    @Arnoud Engelfriet: wat als je gewone bezoekers niet op die manier logt maar geregistreerde gebruikers een vinkje geeft met de strekking "ik verleen toestemming om anonieme statistieken bij te houden van mijn browsegedrag?"

  • @Arnoud: dank voor je bevestiging, het lijkt me daarom ook kwalijk dat dit kan. Maar zouden browsers dit moeten voorkomen, of ben je hier zelf verantwoordelijk voor. Dat is een mooie discussie.

  • @André Als men wilt dat dit voorkomen wordt, moet javascript worden uitgeschakeld; of de a:visited functionaliteit (die als sinds de geboorte van het internet bestaat) moet uit de browsers gehaald worden.
    Voor geen van beide zaken is echt wat te zeggen. Het laatste zal sowieso nooit gebeuren verwacht ik.

  • @NME Je kunt niks met deze informatie waar ik vrolijk van wordt. Je kunt me ermee profilen en dan nog irritantere reclames op mij afvuren. Daar zit ik niet op te wachten. Nu ik het zeg, Google heeft hier vast wel oren naar.

    @Patrick De CSS hack werkt inmiddels ook al zonder javascript. http://ha.ckers.org/weird/CSS-history.cgi

  • Van uit marketing oogpunt erg intersant, maar van uit privacy heeft het nog wel wat haken en ogen. En het mag waarschijnlijk in GA niet, in verband met pii.

  • NMe

    @Gijswijs: het hele idee van profilen is juist dat je niet irritantere reclames op je dak krijgt, maar reclames die wél relevant voor je zijn. Daarnaast kun je bedrijfsmatige beslissingen baseren op die data en daarmee het aanbod van informatie op je site beter toespitsen op je bezoekerskern. Je kan hier prima valide dingen mee uithalen; of het legaal of wenselijk is is een tweede.

  • @nwe: zo'n vinkje zou je kunnen doen maar de tekst moet wel anders want als je mijn browserhistory uitsnuffelt dan is dat geen "anonieme statistieken" maar "een uitgebreid en gepersonaliseerd gebruikersprofiel gebaseerd op uw internetgedrag".

  • NMe

    Het is anoniem wanneer je de gegevens niet koppelt aan persoonsgegevens, toch?

  • @NMe: klopt, als je gegevens opslaat zonder dat ze naar een individu te herleiden zijn, dan handel je legaal. Maar een IP-adres is ook een persoonsgegeven dus die mag je er al niet bij hebben, en cookies al helemaal niet.

  • Dit wist ik niet eens, geeft me eerlijk gezegd een onveiliger gevoel dan ik al had op het internet.

  • jeroen

    Laat in ieder geval zien dat Andre een absolute topper is.... of iemand met weinig andere hobbies dan GA. Ik ben in ieder geval zwaar onder de indruk. Ten aanzien van het gebruik ervan, persoonlijk geen problemen mee, maar ik ben bang dat velen het daar niet mee eens zijn. De gemiddelde nederlander gaat er dan vanuit dat Andre ook zijn inlogcodes van zijn telebankieren kan achterhalen en andere zaken die je automatisch worden opgeslagen... en wie weet kan hij dat ook al weer..Leuke post om te lezen en de commentaren te volgen. Nu nog even googlen op de kleurenhack.

  • Interessant artikel! Dergelijke gegevens zijn natuurlijk enorm waardevol!

    We weten dan gelijk op welke sites we moeten adverteren of retargeten en in hoeverre ze ook bij de concurentie kijken.

    MAAR persoonlijk vind ik het veel te ver gaan en is het een kwalijke zaak dat de 3 grootste browsers dit "gat" niet hebben gedicht. Of is het puur een misvatting van ons allen dat je history niet openbaar is en ook nooit is geweest?

  • @Robin:
    Feitelijk is dit geen gat in de browser. De browser houdt historie bij van waar je bent geweest. Met deze history markeert hij de links die al bezocht zijn standaard met een andere kleur. Hierdoor weet de gebruiker dat hij er geweest is.

    De truc is nu om een lange lijst met url's aan te leggen, die laat weergeven en op die manier controleert of deze de 'visited' kleur krijgt. Zo kun je dus zien of iemand die site heeft bezocht.

    Het is dus geen kwestie van het uitlezen van de history, maar meer het matchen van de history tegen een bestaande lijst met adressen en dan kijken of iemand die site heeft bezocht.

  • Sterke post weer Andre. Aan het aantal en de inhoud van de reacties te zien heb je een zeer interessant onderwerp aangeboord. Ben benieuwd naar het vervolg!

  • Met de referrer had je al de mogelijkheid om te zien waar iemand vandaan komt. Blijkbaar gaat dit nog een stap verder.

  • Voor een voorbeeld van het ophalen van jouw browser-history: http://www.whattheinternetknowsaboutyou.com/, Scary!

  • @Erwin:
    Dat is niet het ophalen van de history, maar meer het matchen van je history tegen een lijst van sites via de eerdergenoemde kleurentruc.

  • Aangezien Google het duidelijk in zijn privacy voorwaarden aangeeft dat je geen persoonlijke gegevens in Google Analytics mag verzamelen, lijkt me dit een duidelijke schending van hun terms of conduct. Het verzamelen van deze gegevens zou je dus wel eens in de problemen kunnen brengen. Al heb ik nog niet een geval gehoord dat Google een account heeft gesuspend ofzo. Is iemand dat ooit een keer tegengekomen?

    Het is natuurlijk wel een beetje beangstigend dat het op een redelijk makkelijke manier kan. Misschien komt die browser plug-in van Google om te opt-outen toch op het juiste moment.

  • Ok.. Wel erg bruikbaar voor marketing doeleinden lijkt me.. Interessant gegevens overigens!

  • Wat een te gek artikel! Natuurlijk is het voor marketeer onwijs gaaf dat dit technisch mogelijk is. Wat een schat aan informatie. Maar is het nog verantwoord? Kan het door de beugel? Dat vind ik een te moeilijke vraag.

    Ik ga de comments wel in de gaten houden, want dit is het vetste artikel dat ik in tijden heb gelezen!

  • Het uitlezen van de browsergeschiedenis zag ik een jaar of 10 geleden al eens en gelukkig ben ik mij daarom er van bewust dat dit kan gebeuren. Ik vraag mij af of je de gegevens op deze manier nog wel uit kan lezen wanneer iemand bijvoorbeeld de Private-browsing functie in bijvoorbeeld FireFox aan heeft staan?

  • @Sander:
    In principe werkt het niet met private browsing functies, omdat je geschiedenis dan gewist wordt. En als er geen geschiedenis is, is er niets om mee te matchen.

  • Het wordt nog enger wanneer je de volgende twee boeken hebt gelezen van de auteur: Charles Den Tex, een Nederlandse schrijver. De verhalen spelen zich ook af in Nederland. Ik noem de twee titels, wanneer je intersse hebt in deze boeken dan moet je ze ook in deze volgorde lezen. (ik de sufferd deed het andersom) 'De macht van Meneer Mille' en 'CEL' Wanneer je deze boeken hebt gelezen, dan snel je, jezelf wederom naar de boekwinkel. Waarom? Om een kladblok en een pen te kopen. Vervolgens ga je naar de Euromast en gooi je daar je HD naar beneden, je zoekt in de bosjes en de resten van je HD verbrand je in oven van achtduizend graden. Zo eng kan internet zijn. Charles Den tex leeft u ergens onder een brug, zijn identiteit werd gestolen ia het internet. http://nl.wikipedia.org/wiki/Charles_den_Tex En nu ga ik naar mijn FireFox history kijken. 🙂

  • ErwinSK

    ps.

    Inderdaad.... alles stond open, één nadeeL, nu moet je telkens je gegevens invoeren wanneer je een reactie wilt geven, ergens, op een site. Voordeel: Ik hoef niet meer naar de Euromast en mijn Mac. is veilig..... hoop ik.

  • martin

    Beetje simpel verhaal, het vergelijken van een aantal van te voren bepaalde websites met de websites in iemands geschiedenis is heel wat anders dan de hele geschiedenis van deze gebruiker uitlezen (wat dus niet gebeurt). Dit trucje is al een jaartje of vier oud en wordt telkens herontdekt.

  • Ik wist niet dat het kon. Zeker dus leuk om een keer zoiets te zien. Kun je de getoonde content ook matchen aan iemand zijn history?

    Lijkt me interessant voor bijvoorbeeld het tonen van advertenties.

  • Jaap Jolman

    niet om het een of ander maar is het niet verboden door de wet om zonder toestemming van de gebruiker de hele geschiedenis uit te lezen het klinkt namelijk nogal illigaal

  • @Jaap Jolman:
    Zoals in de vele reacties al te lezen is wordt de history niet uitgelezen. Er wordt gekeken welke lijst van sites al een keer bezocht is a.d.h.v. de link-kleur die een bezochte link krijgt.

  • Patrick de Tweede

    @Andre
    Kan je bevestigen dat dit verder gaat dan x-duizend urls door een loop heen trekken en de visited array pushen met degene die een ander kleurtje hebben? Ik heb testjes gedaan waar je dit met 25.000 urls per seconde voor elkaar kreeg, wat toch pretty much neerkomt op 'met aan zekerheid grenzende waarschijnlijkheid' meer dan 9 van de 10 laatst bezochte websites van iemand kunnen 'raden' binnen een seconde of 4 (100.000 top-sites 'testen').

  • Dat kan ik bevestigen 😉

  • Via

    Is dit een waarschuwing om andrescholten.nl niet meer te bezoeken? 😉

  • Lenen met uitkering

    Leuk dat er nu nog iemand mee kan genieten aan mijn bezoekjes aan Tweakers.

    Maar door dit soort dingen blijkt maar weer dat je niet voor privacy op het internet moet zijn.

  • Voor de mensen die bang worden van privacy-schending. Een redelijk eenvoudige manier om ondanks zulke technieken toch 'veilig' te kunnen surfen is door bijvoorbeeld gebruik te maken van http://www.browzar.com/ vooral als je dan ook nog gebruik maakt van een proxy (zie bijvoorbeeld het TOR-project).

  • Of gewoon bij je browser instellen dat hij niets opslaat (of browse-gegevens wist bij afsluiten). Net zo makkelijk en geen gedoe met _nog_ een extra browser.

  • Heb gelijk me browser geschiedenis gewist. Ik schrik hier toch wel erg van!

  • Jay

    Heftig hoor dit! Maar goed als je iemand wil hacken kan dat natuurlijk altijd.. Zou mooi zijn als er browser plugin was die je van dit soort praktijken op de hoogte stelt.

  • @André
    Kan je hiermee ook de volgorde van de bezochte sites zien? Voor marketeers zou dit gouden informatie zijn, dan kunnen ze precies de stappen tot de aankoop zien. Wat de mogelijkheid geeft tot heel gericht reclame te plaatsen op websites die later conversies op kunnen leveren.
    Dit is wel een flinke privacy schending, goed dat je laat zien dat het kan gebeuren. Al zorgt het er bij mij nog niet voor dat ik permanent in privacy mode ga surfen.

  • @Ruben: helaas, de volgorde is niet te meten. Dat zou inderdaad ook handig zijn.

  • Tja... tweestrijd... Niet cool dat je het bij mij doet, maar zou het wel op mijn eigen website willen implementeren 🙂

  • Marisol Perry

    @André Kan je hiermee ook de volgorde van de bezochte sites zien? Voor marketeers zou dit gouden informatie zijn, dan kunnen ze precies de stappen tot de aankoop zien. Wat de mogelijkheid geeft tot heel gericht reclame te plaatsen op websites die later conversies op kunnen leveren. Dit is wel een flinke privacy schending, goed dat je laat zien dat het kan gebeuren. Al zorgt het er bij mij nog niet voor dat ik permanent in privacy mode ga surfen.

  • Knap werk André. Heb eens gegoogled maar buiten de CSS-hack niets gevonden dat in de buurt komt. Denk dat je veel mensen (waaronder ik) nieuwsgierig hebt gemaakt.
    Oké we kunnen nu wel gaan zagen over privacy enzo... maar je moet echt wel naïef zijn te denken dat je persoonlijke gegevens niet worden gebruikt zowel online als offline.