De Amerikaanse student Jonathan Mayer maakte vorige week bekend dat Microsoft een manier gevonden had om bezoekers van haar websites altijd en overal te volgen. Ook als een gebruiker zijn cookies verwijdert.

JavaScript

Daarvoor sloeg Microsoft een JavaScript op in de cache directory van een bezoeker. Dat script zorgde ervoor dat het cookie opnieuw werd gecreëerd zodra een gebruiker die verwijderd had. Bovendien was er een unieke identificatiecode in het script te vinden. Die id was ook te vinden in een ETag die opgeslagen was in de cache directory van een gebruiker. Een Etag is een http-header die eigenlijk bedoeld is om de internetcache efficiënter te maken.

Kort nadat dit in de publiciteit kwam besloot Microsoft de gewraakte code van haar website te verwijderen. Het bedrijf meldt dat in een kort bericht op haar weblog maar wil verder niet vertellen wat het met de onverwijderbare cookies deed.

Geschiedenis synchroniseren

“We weten niet echt wat ze doen met deze informatie", aldus Mayer tegen de Britste techsite The Register. “Het is aan Microsoft om uit te leggen hoe de code daar kwam, hoe ze het gebruikten en hoe ze zich er van verzekeren dat dit niet opnieuw gebeurt. Toen we het mechanisme zagen dachten we lang na over hoe Microsoft dit legitiem zou kunnen gebruiken. We konden niets bedenken", zegt hij.

Met de onverwijderbare cookies kon Microsoft de internetgeschiedenis van gebruikers synchroniseren tussen de websites bing.com, microsoft.com, msn.com, live.com, xbox.com, en atdmt.com. Die laatste is de domeinnaam voor het advertentienetwerk van Microsoft.

Verouderde code

Microsoft sust in haar blogpost dat het script zich alleen onder bepaalde omstandigheden gedroeg als een onverwijderbaar cookie. “Dat kwam door verouderde code die alleen op onze website aanwezig was. We waren al van plan om die code te verwijderen", aldus het bedrijf. “We hebben dat proces versneld en de code snel verwijderd". De unieke id's zouden met niemand buiten Microsoft gedeeld zijn.

Het is niet voor het eerst dat er ophef is over onverwijderbare cookies. Drie weken geleden kwamen onder andere Spotify en Hulu in opspraak omdat zij hun sites hadden voorzien van cookies die zelfs werkten wanneer een gebruiker privébrowsen aan heeft staan. Een Amerikaan startte al eerder een rechtszaak tegen Microsoft vanwege cookies. Die zaak werd vorige week geseponeerd omdat de eiser niet kon aangeven wat haar financiële schade was. Die rechtszaak ging overigens over Flash-cookies.