Websites kunnen een complete lijst met sites die een bezoeker eerder heeft bezocht, volledig geautomatiseerd binnentrekken. Dit gebeurt zonder dat de websurfer ook maar iets merkt. Het gaat dan niet om de zogenaamde referral links van alleen de laatst bezochte site, maar om de volledige browsegeschiedenis zoals die door browsers wordt opgeslagen.

Het via een hack achterhalen van deze links is een weinig bekend maar op zich niet nieuw fenomeen. Het gaat om de zogenaamde CSS History Hack die reeds in 2006 bekend was. Het is feitelijk het uitbuiten van een feature waardoor websites eerder bezochte links paars weergeven in plaats van blauw. Een voorbeeld hiervan is de site WhatTheInternetKnowsAboutYou.

Gekoppeld aan analytics

Wat nieuw is dat het voor de hack benodigde Javascript nu valt te koppelen aan elk webstatistiekenprogramma naar keuze. Hierdoor kan de zeer privacygevoelige browsegeschiedenis van sitebezoekers volledig automatisch worden binnengetrokken en geanalyseerd. Dat meldt online marketingexpert André Scholten aan Webwereld.

Hij heeft zelf de code geschreven om het oogsten van de browsegeschiedenis te automatiseren. Scholten wil hiermee vooral waarschuwen voor het fenomeen en geeft de code dan ook niet vrij, vertelt hij. "Bijna niemand kent deze truc. De meeste internetgebruikers weten hier niks van."

"Ik wil een breed publiek laten zien hoe eenvoudig het is om deze informatie te verzamelen. Het bestaat op zich al best wel lang, maar ik heb een script geschreven voor de koppeling aan analysesoftware." Scholten heeft de hack gedemonstreerd aan Webwereld.

Degene die deze data wil oogsten, moet wel eerst een lijst van sites definiëren om te kijken of bezoekers die eerder hebben bezocht. Maar die lijst kan naar believen worden uitgebreid. In combinatie met ip-adres en mogelijk ook gebruikersnaam - of echte naam - kunnen websites zo zeer uitgebreide en gedetailleerde databases aanleggen van het browsegedrag van hun bezoekers elders op het web.

Illegaal

Volgens ict-jurist Arnoud Engelfriet is deze hack zonder twijfel illegaal. "Je mag gegevens gebruiken die een klant aanlevert, maar daarvoor moet die expliciet of impliciet toestemming hebben gegeven." Dat geldt bijvoorbeeld voor de user agent of cookies. "Maar dit is absoluut niet te vergelijken met browserversie tracken of cookies zetten."

"Dit lijkt mij een securitylek in het systeem. En als jij niet vooraf expliciet toestemming vraagt: 'mag ik in je history kijken of daar wat grappigs tussenzit?', dan is dit niet toegestaan. Met toestemming zou het wellicht kunnen, maar zonder niet."

'Niet fout bezig'

"Volgens de wet bescherming persoonsgegevens kan dit gewoon niet." Engelfriet benadrukt dat hij niet vindt dat Scholten fout bezig is, te meer omdat hij de kwestie juist aankaart.

De simpelste methode om deze hack tegen te gaan is het uitschakelen van Javascript. De meest effectieve tegenmaatregel is de geschiedenis-functie in de browser uit te zetten. Beide tegenmiddelen hebben een flinke impact op websurfen.

De Nederlandse privacywaakhond College Bescherming Persoonsgegevens (CBP) was niet direct bereikbaar voor inhoudelijk commentaar op de kwestie.