Een lezer wees me op een blogbericht dat signaleerde dat de Amerikaanse provider Mediacom is begonnen met het invoegen van advertenties op webpagina’s die je bekijkt als je via die provider online gaat. Dit doet men door aan de HTML-code van een webpagina een <SCRIPT-regel toe te voegen die een Javascript aanroept waarmee de advertenties ingeladen worden. Daarvoor moet dus echt op packetniveau in het dataverkeer worden ingegrepen.
Op DSLReport wordt opgemerkt dat deze technologie ook in 2007 al eens uitgeprobeerd werd. Toen was het een experiment (ongetwijfeld door een overactieve stagiair) maar nu lijkt het echt een serieuze activiteit te zijn. En u voelt hem al aankomen: mag dat ook in Nederland?
In januari maakte telecomtoezichthouder OPTA de regels bekend over netneutraliteit: ga je gang maar meld wel duidelijk wat je doet. OPTA meldde bij Webwereld daarover:
“De regels omtrent netneutraliteit zijn afkomstig uit Brussel”, zegt zij. “Concurrentie tussen ISPs is de beste garantie voor een open internet, maar we willen vooralsnog geen specifieke verplichtingen ten aanzien.van openheid internet.
Provider UPC kreeg in 2009 nog een boze blikbrief van de toezichthouder omdat zij verkeer afkneep van klanten zonder dit duidelijk te melden. Daarbij gooide de OPTA het over de boeg van de contractswijziging: door ineens te gaan afknijpen werd het contract met de klant aangepast, want UPC deed niet meer wat oorspronkelijk was afgesproken. Op grond van artikel 7.2 Telecommunicatiewet mag dat alleen als het van tevoren is gemeld en de klant de gelegenheid is geboden op te zeggen.
Het lijkt me dat ook het invoegen van eigen advertenties binnen dat kader legaal is, hoewel natuurlijk buitengewoon hinderlijk (tot je een advertentieblokker hebt geïnstalleerd). Het moet dus vooraf worden gemeld en je moet je contract kunnen opzeggen voordat de maatregel in werking treedt.
Of je als website iets kunt doen aan deze aangepaste presentatie van je informatie, vraag ik me af. Je zou het dan moeten gooien op ‘verminking’ van je werk, wat verboden is op grond van de Auteurswet (artikel 25). Maar dat gaat me wel wat ver; als de eigen advertentie bij de presentatie duidelijk gescheiden is van de webpagina dan zie ik werkelijk niet wat daar de verminking zou kunnen zijn. Ook al ziet de Google-homepage uit het screenshot rechtsboven er wel heel tacky uit zo.
Een leuke op het gebied van vergelijkende reclame wordt nog als bij de bedrijfswebsite een advertentie voor de concurrent getoond wordt. Je mag aannemen dat de provider de reclames afstemt op de bezochte sites, en dan kan er zomaar een Blackberry aangeprezen worden bij de homepage van Apple.
Arnoud
Inderdaad een lastige zaak, misschien kan je iets met de Wbp. Sommige pagina’s, zoals email, bevatten persoonsgegevens welke verwerkt worden. Hetzelfde argument dat bij gmail wordt gebruikt die ook advertenties weergeeft op basis van de inhoud van je email. Alleen weet ik niet of dit ook onder verwerken valt.
Op deze manier advertenties invoegen wijzigt de DOM (document object model) van de webpagina en het is dan ook niet ondenkbaar dat er scripts op die pagina zijn die hier niet goed mee omgaan en als gevolg daarvan niet meer of niet meer juist kunnen functioneren. Ik kan me zelfs voorstellen dat dat tot economische schade kan leiden (bv door een niet meer functionerend, fail-close, validatiescript op een inschrijfformulier).
Andere fijne mogelijke gevolgen: per ongeluk afdekken van absoluut gepositioneerde AdSense advertenties met een EULA schending voor de webmaster tot gevolg, of het breken van exclusiviteitsafspraken ten aanzien van advertenties/merken op een website (doordat ISP een ad van een concurrent toont).
En zolang ik hier – te ver van de wijkcentrale wonend voor fatsoenlijk ADSL – precies de keuze heb tussen 1 kabelinternetprovider, is die vrije markt van ISPs en de daarmee samenhangende vrije keuze om bij zo’n provider weg te gaan ook enkel fictief.
Maar de pagina source wordt toch aangepast? Is dit niet tegen de anti hacking wet? Er wordt code geinjecteerd.
Je breekt in in de communicatie tussen twee partijen.
Ben even aan het zoeken maar lijkt me dat dit vast wel aan te pakken is.
Je zou ook kunnen zeggen dat zij nu de pagina serveren, het komt ten slote van hun servers, en dan maken ze in het voorbeeld misbruik van googles logo.
Persoonlijk vind ik het niet kunnen, en zou dus ook snel weg zijn.
Is er geen vergelijking te maken met het embedden van auteursrechtelijk beschermd werk, zoals bijvoorbeeld het embedden van youtube muziekclips en radiostreams? Ik meen mij te herinneren dat als je daar reclame bij vertoont je honderd miljoen miljard moet afdragen aan de Buma/stemra, is dit niet vergelijkbaar? Ze vertonen reclames naast teksten waar de webmaster het auteursrecht over heeft.
Met Adblocker kom je sommige sites niet op. Kan je provider hetzelfde doen?
En een tweede vraag: Je zegt: en je moet je contract kunnen opzeggen voordat de maatregel in werking treedt. Kan daar ook bij horen “en je moet een redelijk alternatief kunnen vinden/aansluiten voordat de maatregel in werking treedt.”? Internet is immers een eerste levensbehoefte voor sommige bedrijven.
Wanneer je dit als provider doet, hoe zit het dan met wetgeving rond aansprakelijkheid e.d.? Het argument van de provider is altijd dat je alleen maar de pakketten doorgeeft, zonder dat je weet wat er in staat. Die vlieger gaat dan m.i. niet meer op…
Ik denk dat Franc hier een goed punt heeft. Als het een willekeurig ander persoon was die dit deed, zou er een stevige straf op dit soort man-in-the-middle aanvallen staan. Men kan hiermee, afhankelijk van hoe het precies inelkaar steekt, bijna alles; van profielen bouwen (en verkopen! Immers, deze gegevens gaan via de advertenties naar degene die de advertenties serveert) tot bankgegevens afluisteren (en veranderen!).
Overgens gaat het hierbij dan niet zo zeer om de advertenties, maar het feit dat het verkeer eerst door een eigen server gaat voordat het doorgegeven word.
Verder tast een dergelijk ingreep op een site de mogelijkheden aan van de site om zelf reclame te maken. Sites zijn altijd bezig met een optimale mix van content en reclame. Ze grote topsites met miljoenen hits optimaliseren in hoge mate hun reclame uitingen. Dat wordt ernstig verstoord door injectie van extra reclames.
Ook is het relevant of de geinjecteerde reclame schermruimte inneemt of een popup/overlay reclame is. Een popup/overlay reclame conflicteert met sites die dat al gebruiken voor de site en een reclame die schermruimte in neemt confliteert met de schermoptimalisaties van sites voor een bepaalde schermgrootte. Zeker als sites straks steeds meer gebruik gaan maken van CSS media queries (dynamisch sites die zich aanpassen aan de schermgrootte van de bezoeker) is dat rampzalig.
Op bijvoorbeeld mobiel telefoons die bijvoorbeeld een scherm van 480×320 pixels hebben kan zelfs een kleine geinjecteerde reclame een pagina ernstig verminken
Of je als website iets kunt doen aan deze aangepaste presentatie van je informatie, vraag ik me af. Tuurlijk kan je daar iets aan doen. Of het juridisch kan weet ik niet, maar als dit een Nederlandse provider was geweest, hadden alle ip blokken van de provider nu op al m’n servers op de zwarte lijst gestaan. Als er maar genoeg website-eigenaren blokkeren, is de keuze voor de provider te stoppen met de actie of het kwijtraken van geirriteerde klanten.
Ik denk dat Jan Martijn een goed punt heeft: de vrijwaring voor aansprakelijkheid lijkt mij niet bedoeld voor de provider die de inhoud van een webpagina veranderd.
En ik zou niet graag in de schoenen staan van de provider die advertenties injecteert in een pagina met instructies van al Qaeda of kinderporno.
Ik krijg sterk de neiging dit te beschouwen als inbreuk van de integriteit van de website, en juridisch valt het waarschijnlijk onder inbreuk op het auteursrecht. Er wordt namelijk een wijziging gemaakt in het werk, en deze wordt weer doorgegeven. Bovendien heeft dit nadelige gevolgen voor de uitgever, die mogelijk inkomsten misloopt omdat niet op zijn, maar op de advertenties van de ISP geklikt wordt.
Als dit doorzet wordt zal ik als eerste een “cease and desist” brief naar de ISP sturen, dan een bericht aan de gebruikers van die ISP op de site zetten, en uiteindelijk die ISPs blokkeren.
Een groot verschil met mensen die dat zelf doen op hun eigen browser, is dat zij het niet door-publiceren. Met eindgebruikers die dit doen heb ik geen moeite.
@Peter S: doet me denken aan automatisch gegenereerde advertentieblunders.
Wat belangrijk is om op te merken is dat mobiele providers zoiets al jaren doen. Ze voegen geen reclame in, maar ze passen webpagina’s wel ongemerkt aan.
Dat doen ze overigens voor een goed doel: het sneller laden van de pagina’s over een traag mobiel netwerk. Zo comprimeren ze afbeeldingen bijvoorbeeld naar erg lage kwaliteit, iets wat je toch niet ziet op je kleine schermpje.
In het proces slopen ze echter sommige pagina’s wel volledig.
Bij Vodafone is het wel uit te zetten. Bij andere providers vast ook. Maar standaard staat het aan en krijg je op je telefoon nooit de html zoals die door de server verzonden wordt.
Voor Arnoud trouwens: er wordt niet op packet-niveau ingegrepen. Er wordt een zogenaamde transaparante proxy gebruikt. Alle verkeer richting webservers wordt onderschept en door de proxy geleid. Die proxy haalt vervolgens de gevraagde webpagina op, modificeert hem en stuurt hem door naar de klant. Subtiel technisch verschil voor uiteindelijk hetzelfde resultaat.
Ik zie dit niet zo lang bestaan in deze vorm. op het moment dat je (ongewensde) reclame krijgt op sites als internet-bankieren komen rechtszaken heel snel van de grond. Wat weerhoudt ze er namelijk van even je bankrekening te plunderen. Dit staat namelijk allang bekend als “man in the middle” aanval. Dat een provider het doet, is des te kwalijker.
Wordt het systeem van de postbank/ing toch nog het veiligste, alhoewel je internet-provider dan ook niet je mobiele provider moet zijn. (zoals bijv. vodafone-internet).
Als er script van een derde in HTML-pagina’s wordt ge?njecteerd, dan is de browser security totaal naar de vaantjes. Ze kunnen daarmee zo ongeveer alles. Dit is echt heel erg kwalijk. 🙁
Ik was meteen weg bij zo’n brain dead provider.
Hans, hoe is specifiek dat het probleem van de provider? Scripts van een derde kunnen ook door de originele website zijn toegevoegd. Als dat tot lekken leidt dan heb je hetzelfde probleem.
> er wel heel tacky uit zo.
Wat beteken ’tacky’? Waarschijnlijk de derde betekenis uit het Groot vertaalwoordenboek van Van Dale: (Amerikaans Engels, informeel): smakeloos, prullig, goedkoop, opzichtig, ordinair, stijlloos. Maar er zijn ook andere betekenissen, zoals haveloos.
Ja, ordinair en prullig.
Het is onderdeel van de browser van de browser security dat alleen de pagina zelf beslist welke scripts er in de pagina geladen worden. Die geladen scripts worden vervolgens beschouwd als onderdeel van de pagina en hebben overal toegang.
Cross site scripting aanvallen (wel bekend neem ik aan) zijn manieren om precies dat te bereiken. Omdat je daarmee dus de controle over de pagina en alle gegevens die erin staan (wachtwoorden, cookies, alles…) kunt overnemen.
Als je zelf een script van een derde gebruikt dan vertrouw je de code van die derde en geef je ‘m daarmee in feite de controle over jouw webpagina. Zeker als je het script niet kopieert naar je eigen webserver maar het domweg gebruikt vanaf de webserver van die derde. Waar het dan immers achteraf nog kan worden aangepast. Dat is niet handig. En een partij zoals een bank zou zoiets dan ook nooit doen. (Hoop ik.)
Maar in dit geval doet deze “man in de middle” het voor je. Wie zegt mij dat die provider niet een beetje meekijkt met wat er zoal gebeurt? En wie zegt mij dat het script van de provider geen andere lekken veroorzaakt? Vanuit browser security oogpunt is dit gewoon een kraak.
SSL gebruiken voor alle websites dan maar?
Ik heb hier heel lang geleden al eens mee geexperimenteerd (zo had ik een webproxy die willekeurige websites in een volkomen andere layout probeerde te gieten, uiteraard met wisselend succes; dat was niet bedoeld om die pagina’s te presenteren maar om de mogelijkheden en beperkingen van de layout te laten zien) en het verbaast me eigenlijk dat dit geen hogere vlucht heeft genomen.
Juridisch lijkt het me (maar ik ben geen jurist) weer een kwestie van gewekte verwachtingen nakomen. Het lijkt me dat een klant van een ISP mag verwachten dat die ISP websites net zo doorgeeft als een andere ISP dat zou doen, tenzij expliciet anders is overeengekomen – dus de ISP kan best expliciet een abonnement aanbieden waarbij advertenties in webpagina’s worden gestopt, of waarbij bepaalde websites op zwart gaan, etcetera.
Tegenover de al dan niet doorgegeven websites heeft de ISP denk ik niet zo snel enige verplichtingen. Een ISP heeft geen zakelijke relatie met websites.
Technisch gezien wordt het leuk als de websites als tegenmaatregel JavaScript mee gaan sturen om de verminkingen weer ongedaan te maken, of erger.
About.com doet dit overigens al jaren bij links naar websites van derden.
@Branko: Zij doen dat met een frameset, dat is toch wezenlijk wat anders dan een Javascript /toevoegen/ aan een webpagina? Frames zijn normale functionaliteit in HTML (hoewel irritant en terugknopbrekend) maar het toevoegen van regels aan andermans HTML-code is dat bepaald niet.
Bij een frameset wordt netjes de same origin rule door de browser gerespecteerd. Je hebt dan vanuit script geen toegang tot een frame wat gevuld is met een pagina die ergens anders vandaan komt.
De hele website alleen met SSL (https://…) serven is inderdaad een mogelijke oplossing, maar wel eentje waar een kostenplaatje aanhangt. Naast extra processor-power zijn hier namelijk certificaten voor nodig, die al snel een paar honderd euro per jaar kosten, of, als je zelf-gecertificeerde certificaten gebruikt, leiden tot verwarrende waarschuwingen voor de eindgebruiker. Bovendien, wie zegt dat deze provider dan niet gewoon het certificaat gaat omhangen. Juist omdat we certificaten slechts een kant op gebruiken, en browsers bij default zo’n beetje alle certificaten goedkeuren, levert SSL in de browser nu alleen maar schijnveiligheid.
Toch gebruik ik sinds enige tijd een plugin in Firefox die URLs herschrijft naar de https:// versie als die voor die site beschikbaar zijn. Handig op dingen als Google, Wikipedia, etc.
Verminking lijkt mij wel een valide argument. Tenzij de banner in een frame links/rechts/boven/onder de site wordt getoond, en de site zelf intact blijft zoals die was. Een inline frame vind ik eigenlijk ook alweer onder verminking vallen. Iets wat site-eigenaren soms zelf niet eens mogen toevoegen zonder toestemming van de ontwerper.
Hmm .. dus je gooit het op auteursrechtschending?
Op het moment dat een ISP zich met de inhoud gaat bemoeien kunnen ze zich niet meer beroepen op de onafhankelijkheid waar ook postbodes zich op kunnen beroepen. Lijkt me interessant als een isp op FTD een ad gezet had, en brein vervolgens de isp aanklaagt.
Daarnaast, een SSL cert kost nog maar 35 euro dus echt onoverkomelijk is dat niet meer.
Maakt de rechter bij het oordelen over “met de inhoud bemoeien” nog een verschil tussen volledig geautomatiseerd bewerken (wat hier lijkt te gebeuren) of handmatig?
Ik mag hopen dat een volledig geautomatiseerd filter niet leidt tot aansprakelijkheid voor de inhoud. Want dan zit elke ISP al fout met hun spamfilter (dat geautomatiseerd inhoud beoordeelt).
Het lijkt me dat het voor eigen commercieel gewin toevoegen van inhoud dit niet 1 op 1 vergelijkbaar is met spamfilters? Juridisch onderbouwen kan ik overigens niet.
@jeroen (25) je kunt tegenwoordig ssl voor weinig kopen. Honderden euro’s is al lang niet meer nodig.
Nog een valide arugment lijkt me het feit dat de ISP hiermee reclameinkomsten krijgt uit andermans werk. Als ik een site heb die kennelijk interessant genoeg is om advertenties op te plaatsen, wil ik ook alle advertentie-inkomsten daaruit ontvangen. Als iemand besluit om op mijn populariteit mee te liften en daar geld aan te verdienen door het plaatsen van banners, lijkt het me dat alle inkomsten daaruit aan mij toebehoren. Sterker nog, de tarieven die ik als “eigenaar” van de site hanteer voor het plaatsen van advertenties, zouden naar mijn mening impliciet geaccepteerd worden door de ISP die die advertenties er in plaatst. Door het plaatsen van die advertenties gaan zij akkoord met mijn verkoopvoorwaarden en prijzen van advertentieruimte en zullen dus ook moeten betalen.
Is dit in de jaren ’90 niet al een keer gedaan in Nederland? Volgens mij waren er toen korte tijd ‘gratis internetproviders’ die hun inkomsten haalden uit reclames die in websites ingevoegd werden.
Het was blijkbaar geen groot succes. Misschien zijn het de ad blockers geweest die deze bedrijven hebben laten verdwijnen.