Het mag eigenlijk geen ‘nieuws’ heten, aangezien de ‘hack’ al een paar jaar oud is. Toch werkt -ie nog steeds en zijn zo goed als alle browsers er gevoelig voor: het uitlezen van iemands browser history mbv een paar javascripts (browser history harvesting). Jaja, gewoon via een site, zonder dat je er erg in hebt. Om de zoveel tijd is er een site die er aandacht aan besteed (in dit geval Webwereld) en dat is zo gek nog niet, want het gaat hier om privacy. En privacy is ‘hot’. Heb je toevallig stiekem een site bezocht die je liever niet opslaat in je geschiedenis?

Om even concreet te maken waar we het over hebben: Jeremiah Grossman heeft een Javascript vrijgegeven dat jouw browser history vergelijkt met een aantal vooraf gedefinieerde sites. Op basis daarvan kan dus achterhaald worden of je wel of niet een bepaalde website hebt bezocht. Zelf testen? Dat kan hier. Mocht je onder de titel “Visited” geen sites aantreffen, surf dan eerst eens naar www.apple.com (of een van de andere sites die in het lijstje “not visited” staat) en daarna nog een keer het script laden (refresh). Overtuigd?

In de praktijk kan de lijst uiteraard veel uitgebreider zijn dan de twintigtal sites die hier worden gecontroleerd. Maar hoe vervelend is dit? Het is een privacy kwestie: jouw browser geschiedenis is jouw informatie. Het non-argument “als je niks te verbergen hebt” gaat ook hier niet op. Het gaat er niet om of je iets te verbergen hebt, het gaat er om dat iets onvrijwillig wordt afgegeven. Let wel, op de bovenstaande pagina is het duidelijk dat er een javascript controleert of je een aantal sites hebt bezoekt, maar datzelfde javascript kan op de achtergrond, zonder dat de bezoeker het in de gaten heeft.

Maarja, wie interesseert zich voor de sites die ik heb bezocht? Iedereen die iets te adverteren heeft? Iedereen die data wil opslaan. Let wel, standaard is je IP adres bekend. Dus IP adres + browsergeschiedenis… nee, ze zullen je niet kunnen aanwijzen op straat, maar het komt akelig dichtbij.

Een simpele oplossing is regelmatig je browsergeschiedenis te verwijderen. Daarnaast kan je in Safari en Internet Explorer kiezen voor de optie “Private Browsing”. Firefox lijkt de meest handige optie te hebben door layout.css.visited_links_enabled op “false” te zetten. Dat laatste kan je aanpassen door in de adresbalk “about:config” te tikken, en te klikken op de lay-out.css.visited_links_enabled optie die standaard op “true” staat.

Wellicht dat er over twee jaar weer over geschreven wordt, want het ziet er niet naar uit dat er in 4 jaar tijd heel veel vooruitgang is geboekt om dit soort privacy problemen op te lossen. Wellicht dat er anderen ook een belang bij hebben?