Anonymizer.com is al vaker gestruikeld over Javascript in webpagina's. Twee jaar geleden ontdekte Richard Smith, destijds beveiligingsdeskundige van Phar Lap Software en tegenwoordig directeur technologie van de Privacy Foundation, een soortgelijke fout. Drie andere geteste webdiensten bleken eveneens lek te zijn. Ook toen wist Anonymizer.com het lek te dichten.

Javascript vormt ook een struikelblok voor veel andere webdiensten om anoniem te surfen, zo bleek uit een test van Netkwesties afgelopen najaar. Javascript heeft veel krachtiger mogelijkheden dan HTML, maar zorgt daarvoor ook voor veel beveiligingsellende. De meeste diensten kunnen er slecht of helemaal niet mee omgaan.

Wat het verwerken van Javascript nog eens extra lastig maakt, is dat het op bijna alle plaatsen in een webpagina kan voorkomen. De meeste browsers accepteren zelfs Javascript op plaatsen die volgens de officiële standaard eigenlijk niet zijn toegestaan.

Daarin schuilt ook de bug die Richard Smith twee jaar geleden vond. Anonymizer.com haalt normaliter alle Javascript uit webpagina's weg, maar Smith vond heel listig een plekje dat de webdienst over het hoofd zag, namelijk in een formulier - om precies te zijn: in de tekst na de -tag.

Concurrentie

Anonymizer.com maakt onderscheid tussen een gratis en betaalde versie (5 dollar per maand). De gratis versie heeft een kunstmatige vertraging en levert alle webpagina's ook nog eens met extra banner af. De performance is, vermoedelijk vanwege zijn grote populariteit, soms zo slecht dat opgevraagde pagina's door een time out helemaal niet meer in beeld komen.

Inmiddels heeft Anonymizer.com tientallen concurrenten, waarvan sommige zelfs beduidend beter presteren in kwaliteit en snelheid. In de test van Netkwesties scoorden SafeWeb en The Cloak het beste.

Desondanks blijft Javascript het grote probleem voor dergelijke diensten. Als je consequent alle Javascript uit elke webpagina weghaalt, holt de functionaliteit van die pagina hard achteruit. Maar als je Javascript laat staan, is er bijna altijd wel een truc te verzinnen om via een omweg toch het IP-adres van de bezoekers te achterhalen. Tot nu toe is dit dilemma onoplosbaar gebleken.

Bugnosis

Richard Smith heeft inmiddels voor een andere koers gekozen, namelijk die van de plug-ins. Zijn organisatie, de Privacy Foundation, biedt software aan voor Internet Explorer 5 en hogere versies. Het programma, genaamd Bugnosis, alarmeert de gebruiker als een webpagina slecht is voor zijn privacy - zeg maar een soort virtuele beschermengel.

Nogal wat websites gebruiken trucs om persoonsgegevens te achterhalen en te verzamelen. Een speciale categorie zijn de web bugs, onderdelen van webpagina's die eigenlijk afkomstig zijn van andere sites. Daardoor komen die andere sites te weten dat iemand de eerste pagina heeft bezocht. De gebruiker merkt hier doorgaans niets van. Bugnosis lokaliseert die trucs en stelt de gebruiker daarvan op de hoogte.

De website SecuritySpace biedt een overzicht van sites met privacygevoelige trucs. Een opvallende naam in dit rijtje is Google, een site die in het recente onderzoek van de Duitser Marc Roessler naar privacy van zoekmachines er juist genadig vanaf kwam. Ook Nederlandse sites komen in het overzicht voor, met name Nedstat.

Netkwesties ging zelf ook eens een uurtje surfen met Bugnosis. Het resultaat bij de overheid viel niet tegen: van alle ministeriële sites waren alleen Buitenlandse Zaken en Defensie verdacht, en dat louter wegens een simpele NedStat-teller.

Maar bij de pers op internet was de situatie totaal anders. Bij meer dan 20 Nederlandse krantensites deed slechts één krant het alarm niet afgaan: De Telegraaf. En van meer dan 10 e-zines met internetnieuws was er eveneens maar één waar Bugnosis niets op aan te merken had: Netkwesties. Privacybewuste internetters weten dus nu waar ze voortaan hun nieuws vandaan moeten halen...

(21 juni 2001)