Third-party cookie

Een third-party cookie is een cookie die op de harde schijf van een gebruiker wordt geplaatst door een website van een ander domein dan datgene dat de gebruiker bezoekt.

First-party cookies vs. third-party cookies

Beide soorten cookies zijn stukjes informatie die webgebruikersgegevens verzamelen. Beide worden doorgaans gebruikt om gebruikersgegevens op te slaan, zoals surf- en personalisatievoorkeuren en tracking-informatie. Het verschil zit hem in wie die gegevens gebruikt en voor wie de cookie gegevens verzamelt.

Eerste-partij-cookies. Een first-party cookie wordt op een website geplaatst door de uitgever/eigenaar van de site, en verzamelt gebruikersgegevens voor de uitgever/eigenaar. Ze worden vaak gebruikt om de gebruikerservaring (UX) te verbeteren door gebruikersvoorkeuren en -instellingen te onthouden. Items die zijn toegevoegd aan online winkelwagentjes, gebruikersnamen, wachtwoorden en taalvoorkeuren zijn informatie die door first-party cookies wordt opgeslagen. Ze kunnen ook worden gebruikt door een site-eigenaar om diensten te verlenen - live chats zijn hier een voorbeeld van.

Derde-partij cookies. Een third-party cookie wordt op een website geplaatst door iemand anders dan de eigenaar (een derde partij) en verzamelt gebruikersgegevens voor de derde partij. Net als standaardcookies worden third-party cookies geplaatst zodat een site op een later tijdstip iets over de gebruiker kan onthouden. Third-party cookies worden echter vaak geplaatst door advertentienetwerken waarop een site zich abonneert in de hoop de verkoop of het aantal hits te verhogen.

Bijv. een gebruiker bezoekt een website met de naam news.com. Cookies die door news.com op dit domein worden geplaatst, zijn first-party cookies. Een cookie dat door een andere site wordt geplaatst, zoals een adverteerder of een social media-site, is een third-party cookie.

Cookies in het algemeen worden ook wel HTTP-cookies, webcookies en browsercookies genoemd. Cookies van derden kunnen ook worden aangeduid als trackers.

Diagram met cookies van derden versus cookies van de eerste partij Een diagram waarin cookies van de eerste partij worden vergeleken met cookies van derden

Hoe cookies van derden werken

Derde-partijkoekjes werken door JavaScript van de ene website in te bouwen in een andere. Een website host de third-party cookie door third-party JavaScript in te bouwen. HTTP, het protocol dat wordt gebruikt voor surfen op het web, is een stateless protocol, wat betekent dat informatie niet wordt opgeslagen tussen browsing-sessies. Cookies onthouden stateful informatie (informatie die tussen sessies wordt onthouden) in de stateloze HTTP-omgeving.

Bij het aanmaken van een cookie worden cookie-attributen gespecificeerd in de HTTP-response-header die bepaalt of de cookie first of third party is. Met het "SameSite"-attribuut kan de maker van het cookie bepalen of het cookie een third-party cookie of een first-party cookie (same-site cookie) wordt. Wanneer een gebruiker een verzoek doet aan de browser (een actie uitvoert op de site), bepalen de cookie-attributen of en wanneer cookies worden meegestuurd met het antwoord.

Bijv. als een websitegebruiker een afbeelding opvraagt van hetzelfde site-domein (door op de afbeelding te klikken, bijvoorbeeld), zal de cookie met het attribuut SameSite gebruikersinformatie opslaan. Als de gebruiker een afbeelding aanvraagt van een site van een derde partij, waar de domeinnaam niet hetzelfde is, zal een cookie met het kenmerk SameSite geen gebruikersinformatie over verschillende sites verzamelen.

Het kenmerk SameSite bepaalt in principe dat de cookie first party zal zijn. Binnen SameSite zijn er een paar descriptoren.

  • Als de maker van het cookie SameSite op "Strict" zet, zal het cookie strikt first party zijn, en nooit worden verzonden bij cross-site verzoeken. Het wordt alleen geactiveerd als het domein van beide partijen in de uitwisseling afkomstig is van hetzelfde webdomein. Deze instelling werkt goed voor het onthouden van gebruikersvoorkeuren op de site, maar zal niet werken voor een verzoek afkomstig van een externe link. Dus, bijvoorbeeld, als de gebruiker klikt op een site link in een e-mail van een vriend, zal de cookie niet worden verzonden, omdat de gebruiker afkomstig is van een ander domein.
  • Als de cookie is ingesteld op "Lax," zal het worden verzonden op bepaalde cross-site verzoeken. Lax betekent dat de cookie wordt verzonden met beveiligde, top-level navigaties (top-level betekent dat de URL wel verandert). Lax staat niet toe dat sites van derden POST, of met andere woorden informatie laden op de oorspronkelijke gebruikerssite. Dit betekent dat een third-party cookie met "Lax" kan worden verzonden wanneer een gebruiker klikt op een link naar de site van de cookie, maar zal niet in staat zijn om advertenties te laden van een andere site in een iframe, bijvoorbeeld, omdat dit gebruik maakt van de HTTP commando POST, die wordt beschouwd als minder veilig.
  • Als er geen specificatie is gemaakt, zijn alle verzoeken onderworpen aan cookies, en de cookie is per definitie een third-party cookie. Het beperkt de POST-verzoeken niet, die door adverteerders, sociale netwerken en andere derden kunnen worden gebruikt om informatie van hun site te laden. Dit gebrek aan specificatie maakt cookies nuttig voor adverteerders, omdat zij vaak methoden gebruiken die niet voldoen aan de criteria van "SameSite = Strict" en "SameSite = Lax". Bijvoorbeeld, een externe site doet een GET-verzoek dat de URL niet wijzigt als top-level navigatie. Deze actie (die een <iframe> of <img> verzoek kan zijn) wordt geblokkeerd door zowel "Lax" als "Strict". Het ontbreken van een specificatie staat dit type communicatie toe, waarbij een pagina binnenin een andere pagina wordt geladen. Dit is een veelgebruikte manier om advertenties op webpagina's te laten verschijnen.

Waarom cookies van derden worden gebruikt en wie ze gebruikt

Derdepartijcookies worden zo genoemd omdat ze afkomstig zijn van een andere website dan die waarop de gebruiker zich op dat moment bevindt -- een derde partij met andere woorden. Ze worden vaak gebruikt door adverteerders en sociale netwerken om gebruikersactiviteiten online te monitoren en voor behavioral targeting. Dit is nuttig voor adverteerders omdat specifieke gebruikersgegevens het succes van de adverteerder kunnen vergroten bij de marketing van het juiste product voor de gebruiker. Zij volgen gebruikers over domeinen heen. Zowel adverteerders als socialemediaplatforms zijn sterk afhankelijk van gebruikersgegevens om de inhoud die zij samenstellen en creëren te onderbouwen. Met cookies van derde partijen kunnen gebruikers over verschillende sites worden gevolgd, wat een rijker beeld van het gedrag van de gebruiker oplevert dan cookies van eerste partijen zouden kunnen bieden door alleen gebruikersgegevens te verzamelen wanneer er interactie is met de site van de eigenaar. Op basis van deze gegevens kunnen gebruikersprofielen worden gemaakt om te bepalen hoe informatie aan de gebruiker wordt gepresenteerd, of het nu gaat om een pop-upadvertentie of een feed op sociale media.

Inschakelen, uitschakelen en blokkeren van cookies in webbrowsers

Cookies van derden worden vaak geblokkeerd en verwijderd via browserinstellingen en beveiligingsinstellingen zoals hetzelfde oorsprongsbeleid; Mozilla Firefox blokkeert standaard alle cookies van derden; Chrome en Apple Safari doen dit sinds kort ook. Het blokkeren van cookies van derden leidt niet tot inlogproblemen op websites (wat wel een probleem kan zijn na het blokkeren van first-party cookies) en kan ertoe leiden dat u minder advertenties op internet ziet. However, blocking all cookies can sometimes lead to problems, as some websites rely on first-party cookies to function properly.

How to enable or disable cookies in popular browsers:

  • Apple Safari:
    • Open Safari
    • Click Safari> Preferences in the upper left-hand corner of the screen
    • Click on Privacy. An option to "Block all cookies" will appear.
    • Check the box next to "Block all cookies" to disable all cookies.
    • Uncheck it to enable all cookies.
    • Check the "Prevent cross-site tracking:" option to block only third-party cookies.
  • Google Chrome:
    • Open Chrome
    • Click the button that looks like three dots in the upper right-hand corner of the browser window
    • Scroll down to the Privacy and Security section.
    • Click cookies and other site data. You will be presented with the following options
      • Allow all cookies
      • Block third-party cookies in incognito
      • Block third-party cookies
      • Block all cookies (not recommended)
    • Click the bubble next to the option that most applies to you.
  • Mozilla Firefox:
    • Open Firefox
    • Click the menu button (looks like three horizontal lines stacked on top of each other). Select options.
    • Select privacy and security. This will present your settings for enhanced tracking protection (including cookies).
    • Three options appear:
      • This means all cookies are enabled except for trackers. Trackers are for most intents and purposes the same as third-party cookies. This is the default setting.
      • Blocks most cookies, and may cause sites to break.
      • This allows you to choose which cookies are blocked.

Firefox gives the option for extra protection against social media trackers. For example, if a site contains a Facebook "like" button somewhere on the page, Facebook can track user browsing activity on the site even if the like button is never clicked.

Third-party cookies and data privacy

Third-party cookies, and cookies in general, pose a significant data security risk, and are viewed by some as infringing on user privacy rights. This is why all the main browsers mentioned above now block third-party cookies by default. In 2011 heeft de Europese Unie de cookiewet aangenomen die bepaalt dat gebruikers moeten worden geïnformeerd over de cookies waarmee ze te maken krijgen als ze een site bezoeken.

Hoewel cookies op zichzelf niet gevaarlijk zijn, kunnen ze worden gekaapt en door kwaadwillenden worden gebruikt om informatie te verkrijgen. Dit gebeurt wanneer een cookie met betrekking tot authenticatie niet veilig wordt verzonden. Kaspersky heeft bijvoorbeeld een Trojaanse cookie-dief ontdekt die hackers de mogelijkheid geeft om de social media-accounts van slachtoffers te controleren.

Cookies met betrekking tot authenticatie zullen normaal gesproken een beveiligingsvlag hebben die de browser instrueert om de cookie alleen via beveiligde kanalen (SSL/TLS) te benaderen. Als deze kanalen niet worden gebruikt, kunnen hackers de gegevens afluisteren en op illegale wijze toegang krijgen.

Andere veel voorkomende aanvallen waarbij cookies worden gebruikt, zijn:

  • Cross-site request forgery (CSRF)
  • Cross-site scripting (XSS)
  • Session hijacking

Wat gebeurt er met cookies van derden?

Er is een algemene verschuiving geweest van cookies van derden. Het blokkeren van cookies van derden verhoogt de privacy en veiligheid van de gebruiker, maar heeft een probleem gecreëerd voor consumenten-tracking/ad serving bedrijven, die vaak advertenties plaatsen die gebruikers over het web volgen.

Gecombineerd met het verwijderen van cookies van derden door andere middelen, schatten sommige bedrijven dat 40% van alle cookies van derden wordt verwijderd. Omdat dit van invloed is op hun voortbestaan, hebben webuitgevers geprobeerd deze veranderingen te ondermijnen door andere technieken te gebruiken, zoals respawning cookies, Flash cookies, entity tags (Etags) en canvas fingerprinting.

Browser fingerprinting vervangt ook third-party cookies als een manier om gebruikers online te identificeren. Een browser fingerprint bestaat uit een verzameling details over de gebruiker, bijvoorbeeld het type browser dat hij gebruikt, de inhoud van de browser cache, de tijd en datum en het besturingssysteem. Het verzamelt al deze gegevens in een hash-waarde, en de verzamelaar van de informatie kan dan op zoek gaan naar diezelfde combinatie van gegevens en gebruikers nauwkeurig volgen op het web.

Een groep onderzoekers van de Universiteit van Cambridge ontdekte dat smartphones bijzonder kwetsbaar zijn voor browser fingerprinting, op een manier waartegen de gebruiker zich niet kan beschermen. Op een computer kunnen gebruikers wel maatregelen nemen om browser fingerprinting tegen te gaan. Een eenvoudige manier is het wissen van de browser cache; andere manieren zijn het gebruik van een Tor browser, een incognito venster, of een verscheidenheid aan browser plugins die de blootstelling van gebruikersgegevens beperken.