Attack of the killer cookies

Vandaag bericht de Washington Post dat cookies misbruikt worden door de NSA om de computers van hun doelwitten te kunnen hacken. Heus, da's voor uw eigen veiligheid. Maar omdat wat de NSA kan ook de gemiddelde maffiabaas in Rusland binnenkort kan en omdat jij toch niets verbergt dat ze zouden moeten willen vinden, is het hoog tijd om te zorgen dat jouw cookies je niet in gevaar kunnen brengen. Praktische tips en een plan voor de toekomst.

Stap 1: Zet uit.

Ze cookies uit. Doe het nu. Heel makkelijk: je gaat naar de privacyinstellingen van je browser en kies voor weigeren van cookies. Enige jammere: internet is dan dus stuk. Je kunt geen boodschappen meer doen, moet voortdurend je wachtwoord opnieuw invullen en van veel sites wordt je gewoon subiet afgekickt. Misschien toch niet zo'n geweldig plan. Maar wat wel kan is het niet meer accepteren van 3rd party cookies. Dat gaat een stuk beter. Is niet helemaal veilig, maar maakt internet niet stuk.

Stap 2: Verzin een list

Cookies moeten anders, want de NSA. En de Russische maffia, als je je daar meer zorgen over maakt. En omdat je nou eenmaal je computer niet wilt laten hacken, door niemand niet. Want integriteit enzo. Dus een list. Dat kan niet alleen, maar we moeten ergens beginnen. Een goed begin zou kunnen zijn een systeem met een door de gemeenschap onderhouden witte lijst. Of, om in jargon te vervallen: een community maintained whitelist. Dit is een lijst van cookies die wel gezet mogen worden, die door alle internetgebruikers samen wordt onderhouden. Jij vertrouwt een bepaalde cookie en accepteert hem. Dat gegeven deel je met je vrienden, die hun browser hebben verteld dat ze alle cookies die jij accepteert zelf ook willen accepteren. Of andersom: je vriend weigert een cookie en dus weiger jij hem ook zonder meer.

Zo bouw je een collectieve informatieset op over welke cookies mogen en welke niet. Je kunt zelf aangeven hoe zwaar je het advies wilt geven. Door het voortdurende onderlinge delen ontstaat er een flexibele lijst met betrouwbare en niet-betrouwbare cookies. Bovendien wordt de lijst regelmatig gecontroleerd. Er zou zelfs een systematiek van herevaluatie in kunnen worden gebouwd, zodat mensen die weten wat ze doen met regelmaat geconfronteerd worden met de vraag of een cookie wel echt betrouwbaar of onbetrouwbaar is. Zo houdt het systeem zichzelf schoon.

Natuurlijk gaat de NSA dit proberen stuk te maken, want ze zijn de NSA. Dus proberen ze a) hun eigen cookies standaard geaccepteerd te krijgen b) de cookies die ze kunnen misbruiken standaard geaccepteerd te krijgen c) zich een positie te verwerven als betrouwbare beoordelaar, om die te kunnen misbruiken d) het hele systeem te ondermijnen. Daartegen moeten maatregelen worden genomen. Nadenken is dus nog nodig.

Damn dit stuk had in het Engels gemoeten.