Welcome to LetMeTrackYou.org. This page is not part of the original research, but summarizes the most important findings in Dutch and English. If you are interested in learning more about my research, I would love to invite you to visit the original research site or read the resulting paper.

I want to read the English version of this page
Ik wil de Nederlandse versie van deze pagina lezen

[EN] Let Me Track You

Hi! Welcome to LetMeTrackYou.org. You probably came here because you wanted to learn more about my research: tracking users based on their 'fingerprint', i.e. the data sent by your browser to every website it visits. This website was set up as part of my research to browser fingerprinting in November and December 2011. Unfortunately, you can't participate anymore. You can, however, find my research on this website.

What is fingerprinting?

Fingerprinting is profiling your browser. It is comparable with the print made by your fingers: based on the information you carry and leave everywhere you go, you can be identified - without performing anything special. Unfortunately, false positives are also possible; you can be confused with somebody else.

You leave your fingerprints everywhere you go, although you are not aware of this. Your keyboard, for instance, has your fingerprints all over it. Hopefully nobody will ever care about that, but someone looking to identify you, may use it.

Can you make this more concrete in the case of browsers?

Sure. When you are surfing on the internet, your browser sends so-called HTTP-requests to the server hosting the website. This request contains technical information, e.g. the browser's name and version, but also your language preference and operating system. This information can be used to customize the website for your browser, for instance when you are using a mobile browser. However, it is also possible to store this information and use this the next time you visit the webpage. If the information in your next request compares with your previous request, you are the same person.

But there are a lot of people using the same browser, right?

That's true. Based on the HTTP headers alone, you are not identifiable, except when using a very rare browser. There are loads of people using Firefox 6, so based on this information, lots of people would be identified incorrectly.

However, there is more data to be used for your fingerprint. Using Javascript - a browser language - more information can be retrieved, including your screen resolution, installed plugins and timezone. Your entire font list is even retrievable; installing an exotic font makes you almost always instantaneously identifiable.

How well does this work?

In my research I have shown 96% of browsers has an unique fingerprint. Another 2% was indistinguishable from exactly one browser. That leaves only 2% unidentifiable.

How did you know which browsers were unique?

For the purposes of this research, I did two things: (1) placing a cookie on the computer and (2) making a fingerprint. The cookie is the proven method to track people on the internet, and was used as a confirmation of the fingerprint. This means that people removing the cookie in the mean time, were counted twice, meaning that the 96% of the previous question is probably on the low side.

Does a fingerprint change when a browser is updated?

Yes, however I made certain assumptions to which data would change. For instance, the browser version will typically only increase - version 5.0 will not suddenly become 4.0, but more likely 5.5 or 6.0. Similar assumptions were applied to installed fonts - you typically will not remove fonts. My algorithm allows more specific and improved assumptions, but the ruleset was sufficient for my research.

Why is there only so little English information on this page?

Many people have asked me questions after I published my research. They didn't understand the English contents of my paper or website, and therefore I created this Dutch information page. This page is only a short summary of my findings, and I recommend you to visit the research website or read my paper.

Where can I find more information?

I want to reference you!

Great! I would love to read your work, so please send me an email with your publication. My email address can be found in the paper (please replace 'student' with 'alumnus'). The following kind people have already referenced me:

You can cite my paper as follows:

Ralph Broenink, Using Browser Properties for Fingerprinting Purposes. In Proceedings of the 16th biannual Twente Student Conference on IT (TSConIT), pp. 169-176, Twente University Press, January 2012.

January-February 2012

[NL] Laat me je volgen

Hallo! Welkom op LetMeTrackYou.org. Je bent hier waarschijnlijk gekomen omdat je meer informatie wilt over mijn onderzoek; het volgen van gebruikers aan de hand van hun 'vingerafdruk', oftewel de gegevens die de browser naar iedere website stuurt. Of je wilt weten waar dit allemaal over gaat. Ik moet je teleurstellen als je nog mee wilt doen aan het onderzoek: dat is inmiddels voorbij. In de maanden november en december 2011 heb ik veel mensen gevraagd om deze website te bezoeken. Aan de hand van de informatie die ze - zonder het te weten - meestuurden, heb ik geprobeerd ze te volgen. En dat is goed gelukt. Hieronder zal ik antwoord proberen te geven op al je vragen.

Wat is 'fingerprinting'?

Dat is het maken van een vingerafdruk van je browser (in dit geval). Het is goed vergelijkbaar met de afdruk van je vingers: aan de hand van de informatie die jij al met je meedraagt, kan je geïdentificeerd worden zonder dat jij er iets speciaals voor doet. Maar ook zijn er foutieve 'matches' mogelijk; je kunt misschien per ongeluk worden geïdentificeerd als iemand anders.

Bovendien laat je vingerafdrukken overal achter, maar je bent je er niet van bewust. Het toetsenbord waar je nu achter zit, bijvoorbeeld, zit vol met jouw vingerafdrukken. Waarschijnlijk gaat niemand daar ooit iets mee doen, maar iemand die graag wil weten wie jij bent, heeft erg veel aan jouw toetsenbord.

Kun je dat concretiseren voor browsers?

Natuurlijk! Als jij op het internet surft, stuurt jouw browser zogenaamde HTTP-requests naar de server waar je website staat. Dit houdt zo ongeveer in dat je browser 'vraagt' om een website. In dit verzoek zit technische informatie, zoals je browsernaam en -versie, maar ook je taalvoorkeur en het besturingssysteem. Deze informatie kan worden gebruikt om de website aan te passen aan bijvoorbeeld een mobiel scherm omdat je een mobiele browser gebruikt. Echter, het is ook mogelijk om deze informatie in een database op te slaan en de volgende keer dat jij de site weer bezoekt, te vergelijken met de nieuwe gegevens. Komen deze overeen, dan ben jij dezelfde persoon.

Maar, er zijn toch heel veel mensen met dezelfde specifieke browser?

Dat klopt, wat goed dat je dat opmerkt. Aan de HTTP-gegevens heb je in het algemeen niet genoeg, tenzij je een heel obscure browser gebruikt. Er zijn heel veel mensen die Firefox 6 gebruiken, dus aan de hand van die informatie zou ik heel veel personen dubbel identificeren.

Daarom is er meer data dat moet worden binnengehaald voor een unieke 'vingerafdruk'. Met behulp van Javascript, een taal die door alle browsers wordt begrepen, kan er nog meer informatie op worden gehaald. Je schermresolutie, je geïnstalleerde plugins en de tijdzone zijn enkele voorbeelden hiervan. Maar, met nog wat creatief gedoe is het ook mogelijk om de volledige lijst met geïnstalleerde lettertypes op te halen. Dus, als jij een exotisch lettertype op je computer hebt geïnstalleerd, ben je vrijwel altijd identificeerbaar.

Hoe goed werkt dat dan?

Uit mijn onderzoek is naar voren gekomen dat 96% van de browsers een unieke vingerafdruk heeft. Nog eens 2% is uniek met precies één andere browser. Dat betekent dat ik 2% van de browsers niet kon onderscheiden van precies 1 andere browser.

Hoe weet je dat die browsers ook daadwerkelijk uniek waren?

Mijn onderzoek deed precies twee dingen: (1) ik plaatste een cookie op de computer van de gebruiker en (2) ik maakte een vingerafdruk van de gebruiker. Met de cookie - de traditionele en bewezen methode om mensen op het internet te volgen - kon ik kijken of een browser hetzelfde was. Vervolgens ging ik kijken of de vingerafdruk van alle verschillende browsers (zoals de cookie bepaalde) overeen kwam. Dat betekent dus dat ik mensen die hun cookie in de tussentijd verwijderden, dubbel heb geteld. Dat betekent dat de 96% in de vorige vraag waarschijnlijk hoger is.

Verandert een vingerafdruk niet als iemand zijn browser updatet?

Ja, dat is zo. Om die reden heb ik een aantal aannames gemaakt. Zo heb ik aangenomen dat - voor mijn algoritme - de browserversie bijvoorbeeld wel hoger mag worden, maar niet lager. Als iemand een browserversie 5.0 heeft, dan zal dit niet opeens 4.0.0 worden, maar waarschijnlijker 5.5 of zelfs 6.0. Een vergelijkbare aanname heb ik gedaan voor geïnstalleerde lettertypes: het is niet waarschijnlijk dat je een lettertype verwijdert als je deze eenmaal hebt geïnstalleerd. Mijn algoritme staat toe dat er meer specifieke en betere aannames gedaan kunnen worden, maar voor mijn onderzoek volstond de huidige regelset.

En, werkte het?

Voor 87% van de browsers werkte mijn algoritme; ik kon dus 87% van de bezoekers opnieuw identificeren, ook nadat ze hun browserversie hadden veranderd. Ik heb 5% niet opnieuw kunnen identificeren, maar dit is een tekortkoming van mijn algoritme. Het algoritme kan aan worden gepast zodat dit percentage lager wordt. Bovendien moet worden bedacht dat mijn onderzoek ook aanmoedigde tot het actief wijzigen van browsereigenschappen. In mijn onderzoek werd bovendien 8% ten onrechte geïdentificeerd. Dat houdt in dat ik iemand voor iemand anders aanzag. Dit kan worden verklaard onder andere doordat men mijn cookie kon verwijderen om als 'nieuw' te worden beschouwd. Naar verwachting betreft dat ongeveer de helft van de ten onrechte geïdentificeerde gebruikers.

Hoe zit het met mobiele apparaten? Zijn die niet allemaal hetzelfde?

Ja, en dat is ook wel gebleken. Telefoons hebben vaak dezelfde browser, lettertypes en plugins geïnstalleerd, wat het moeilijk maakt om browsers uniek te identificeren.

'Gelukkig' stuurt bijvoorbeeld Vodafone de X-VF-ACR-header mee, een header die unieke (anonieme) klantenherkenning verzorgt. Deze klantenherkenning maakt het voor partners van Vodafone mogelijk om klanten uniek te herkennen, ook nadat van cookies, een browser of een toestel is ontdaan (dus een heel erg persistente cookie). 'Helaas' is de interface die hiervoor nodig is, niet voor derden beschikbaar.

Ook KPN stuurt identificerende informatie mee, zoals de 'brand' (bijvoorbeeld Hi) waarmee wordt gesurft. Ook het interne adres van het toestel wordt meegestuurd.

Hoewel dit dus allemaal niet direct leidt tot een specifiek persoon, vergroot het wel de vingerafdruk van deze persoon, wat hem beter herkenbaar maakt.

Waarom zou een website niet gewoon een cookie gebruiken?

De Tweede Kamer is bezig met een wet die het gebruik van cookies zou moeten verbieden. Dit betekent dat cookies voor de doeleinden waarvoor ze nu vaak gebruikt worden, niet meer gebruikt kunnen worden.

Bovendien zijn cookies eenvoudig op te sporen. Als een website een cookie gebruikt, plaatst deze een klein stukje informatie op jouw computer, vaak een unieke identificerende tekst. Iedere keer dat je dezelfde website weer bezoekt, stuurt je browser dit stukje informatie mee. Maar, je kunt in je browser zelf heel eenvoudig zien welke websites cookies op jouw computer hebben geplaatst, waardoor later te bewijzen is dat je 'getroffen' bent.

Daarnaast zijn cookies heel eenvoudig te verwijderen, terwijl je aan je vingerafdruk weinig kunt doen. Die heb je sowieso, laten we maar zeggen.

Waarom zou een website dit überhaupt willen doen?

Om de simpele reden dat online winkels en advertentiebedrijven heel graag een profiel van jou op willen bouwen. Het is heel handig om te weten wie wat koopt en wat ze op het internet doen, omdat dan gerichte advertenties mogelijk zijn.

Maakt mij dat uit?

Waarschijnlijk niet, maar het zou je wel uit moeten maken. Het opbouwen van een profiel kan voordelig zijn, omdat je dan geen advertenties meer krijgt over wat je toch niet wilt kopen, maar het gevaar is dat het profiel ook voor andere zaken wordt gebruikt. Zo kan er een verkeerd beeld van je worden geschetst of kan de informatie worden gebruikt voor identiteitsdiefstal.

Ik kan dat veel minder goed uitleggen dan de mensen die het filmpje Privacy Matters hebben gemaakt.

Wat kan ik doen?

Bar weinig. Uit het onderzoek is gebleken dat de privacy-modi van browsers absoluut niet werken tegen deze vorm van privacyschending. Met de Tor Browser ben je nog het beste af, maar als gebruiker van die browser ben je wel identificeerbaar als gebruiker van die browser. Dat klinkt niet zo erg, maar in sommige landen is het al strafbaar om dit soort methodne te gebruiken. En als je de enige bent die die browser gebruikt (op je kantoor of in het algemeen), dan ben je paradoxaal genoeg ook identificeerbaar.

Weet dat je niet privé bent op het internet. Houd daar rekening mee en gebruik je recht op privacy verstandig.

Waar vind ik meer informatie?

Deze pagina was in vogelvlucht wat ik heb onderzocht. In mijn paper vind je veel meer informatie over hoe het onderzoek uit is gevoerd en wat er nog meer aan is getroffen. Hieronder staat een lijstje met interessante links.

Dit onderwerp is op 11 februari ook uitgebreid behandeld in het VARA-programma 'Kassa'. Je kunt deze uitzending terugkijken op hun website.

Enige tijd geleden heb ik ook (in het Engels) geblogd over privacy. Hierin staan meer bronnen en interessante links voor als je geïnteresseerd bent in je eigen privacy.

De laatste slide van je presentatie, wat is dat?

Bij mijn onderzoek heb ik meer informatie aangetroffen dan alleen de vingerafdruk. Ik heb ook gezien waar mensen naar zochten in de maand december. De slide geeft heel duidelijk de tijdsgeest aan.

Heb ik jou niet in de media gehoord/gelezen?

Dat kan kloppen! Een klein deel van mijn onderzoek, het gedeelte dat Vodafone de internetrequests aanpast, is in de media terechtgekomen. Hieronder een kort overzicht van de nieuwsberichten (waarin ik heb geprobeerd de alleen de originele artikelen op te nemen; een volledig overzicht kun je vinden met Google).

Hoe staat het nu met de 'cookiewet'?

Er zijn in de Eerste Kamer op 1 februari vragen gesteld over de praktijk van 'browser fingerprinting' (met dezelfde statistiek als uit mijn onderzoek is gebleken - toeval?). Hierop komt binnenkort antwoord.

Ik wil je citeren!

Cool! Ik zou met liefde je werk lezen, dus stuur me een e-mail met je publicatie. Mijn e-mailadres kun je vinden in mijn paper (vervang 'student' door 'alumnus'). De volgende geweldige mensen hebben me al geciteerd:

Je kunt me als volgt citeren:

Ralph Broenink, Using Browser Properties for Fingerprinting Purposes. In Proceedings of the 16th biannual Twente Student Conference on IT (TSConIT), pp. 169-176, Twente University Press, January 2012.

januari/februari 2012

My email address will soon become unavailable. Please replace 'student' with 'alumnus' in the address found in the paper.