[De Security (b)log van deze
week leent zich niet voor externe publicatie. Daarom deze week hier een nog
niet eerder extern gepubliceerde aflevering uit 2016. De rubriek Grote boze buitenwereld
komt wél uit de actuele Security (b)log.]
Bij het samenstellen van de rubriek Grote
boze buitenwereld plak ik de URL's uit de adresbalk van de browser in de
tekst. Het valt op dat er soms erg lange URL's tussen staan en als je daar dan
beter naar kijkt zie je er bijvoorbeeld "twitter" tussen staan. Hé,
wat doet dat daar? Houden ze soms in de gaten waar ik vandaan kom? Tijd voor
nader onderzoek.
We hebben hier te maken met zogenaamde UTM-codes, -parameters of -tags
(Urchin Traffic Monitor). Ze zijn ontwikkeld door Urchin Software Corporation,
dat een gestileerde zee-egel als logo voerde. En '(sea) urchin' betekent
inderdaad zee-egel. Het bedrijf werd in 2005 overgenomen door Google en
omgedoopt in Google Analytics. Met deze wetenschap komen we al een stuk dichter
bij de kern van de zaak.
De 'TM' in UTM verklapt al waar het om gaat: het monitoren van verkeer.
UTM-codes geven de maker van een URL antwoord op de vraag hoe de bezoeker op
een webpagina is terechtgekomen, en waarom. Het is dus een marketinginstrument.
Als je googlet op UTM, dan kom je vooral op sites terecht die uitleggen hoe je de
codes optimaal in een marketingcampagne kunt inzetten.
UTM bestaat uit een bescheiden set parameters; het zijn er maar vijf:
- utm_source geeft aan waar het verkeer vandaan komt, bijvoorbeeld Google of Twitter;
- utm_medium verklapt het type link, bijvoorbeeld cost per click of e-mail;
- met utm_campaign kan de eigenaar de naam van zijn marketingcampagne meegeven, bijvoorbeeld sale;
- in utm_term kunnen de zoektermen van de gebruiker worden opgenomen;
- utm_content bevat speficieke informatie over waar de gebruiker precies op heeft geklikt, bijvoorbeeld op een banner.
Vanuit marketingoogpunt kan ik me goed voorstellen dat dit interessante
informatie oplevert: meten is weten. Maar hoe zit het met de privacy? Op de
site van de Autoriteit Persoonsgegevens (voorheen College Bescherming
Persoonsgegevens) levert de zoekterm 'UTM' niets op, maar ze hebben wel een
mening over Google Analytics: "Gebruikt u Google Analytics, dan verwerkt u
met analytische cookies persoonsgegevens van uw websitebezoekers." De AP heeft
zelfs een gedetailleerde Handleiding
privacyvriendelijk instellen van Google Analytics opgesteld. Eerste
aandachtspunt daarin is dat je een bewerkersovereenkomst met Google moet
sluiten, hetgeen uit de Wet bescherming persoonsgegevens voortvloeit. Dat kost
je overigens slechts een paar muisklikken.
Maar goed, dit was even een uitstapje naar tracking cookies. Over
UTM-codes in relatie tot beveiliging en privacy is niets te vinden op het web.
Toch voelt het niet helemaal comfortabel. Ik wil graag ongezien ergens naar
binnen kunnen glippen, zonder dat 'ze' weten waar in vandaan kom. Maar hoe
graag wil ik dat? Het betekent dat ik niet meer gewoon op links kan klikken,
maar een URL via knippen en plakken naar de adresbalk van de browser moet
overbrengen en daar de UTM-codes moet verwijderen (of wijzigen…) alvorens te
enteren. Dat gaat 'm niet worden vrees ik. Te bewerkelijk. Maar wacht eens
even… als ík hierover nadenk, dan heeft iemand anders dat ook vast wel gedaan.
En inderdaad: er zijn UTM-killers beschikbaar als browser-extensie of als
service op een website. Als ik URL’s in de blog plak, dan verwijder ik de
UTM-codes. Deze keer heb ik ter illustratie ook een paar (onklaar gemaakte)
URL’s mét codes geplaatst.
Omdat ik Google niet blind vertrouw als ik iets onaardigs over een
Google-activiteit probeer te vinden, heb ik ook gezocht met Bing en Duckduckgo.
De verschillen waren niet schokkend, al is het aardig om te zien dat ik met
Google niet bij de Autoriteit Persoonsgegevens terechtkwam. Misschien heeft dat
er toch mee te maken dat ‘urchin’ ook nog andere betekenissen heeft: kwajongen,
bengel, straatjongen.
... kijkt
men met belangstelling hoe het nu verder gaat bij ons.
https://tweakers.net/nieuws/121277/belastingdienst-start-interne-onderzoeken-naar-mogelijk-beveiligingslek.html
hxxps://tweakers.net/nieuws/121277/belastingdienst-start-interne-onderzoeken-naar-mogelijk-beveiligingslek.html?utm_source=dlvr.it&utm_medium=twitter
https://tweakers.net/nieuws/121277/belastingdienst-start-interne-onderzoeken-naar-mogelijk-beveiligingslek.html
hxxps://tweakers.net/nieuws/121277/belastingdienst-start-interne-onderzoeken-naar-mogelijk-beveiligingslek.html?utm_source=dlvr.it&utm_medium=twitter
... bezorgt
de cloud ons nogal wat schaduw-IT waar we niet blij mee zijn.
... is de
NASA een voorbeeld van een organisatie met veel schaduw-IT.
... doen veel bedrijven het bij gebrek aan security-kennis wat rustiger aan met hun cloud-adoptie.
hxxps://securingtomorrow.mcafee.com/business/cloud-security/cloud-ubiquity-coming-not-yet/?utm_content=sf56029221&utm_source=twitter&utm_campaign=Enterprise#sf56029221
... kun je
advertenties op Google ook al niet meer vertrouwen.
... heb je
straks meer zicht op door wie een bedrijf jouw gegevens laat verwerken.
hxxps://ictrecht.nl/ictrecht/toestemming-voor-het-inschakelen-van-subbewerkers-onder-de-avg/?utm_content=buffer9a2f5&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer
... helpt
DMARC tegen spam en phishing.
... heeft
de Veilige E-mail Coalitie nog allerlei andere standaarden in de aanbieding.
... loopt
je privacy gevaar bij de Amerikaanse grens.
...
bedenken mensen allerlei trucs om onder de gretige ogen van de Amerikaanse
grensbewaking uit te komen.
... heeft
je iPhone heel wat privacy-instellingen.
... hackte
de dertienjarige Sem uit Warnsveld zijn school. Dankzij een docent die zijn
computer onbeheerd achterliet. Vergrendel je computer!
... doet de
Nationale Ombudsman onderzoek naar Mijn Overheid en de Berichtenbox.
... hebben
IT-securitymanagers maar weinig in de melk te brokkelen.
Geen opmerkingen:
Een reactie posten