Vodafone dringt proxy op aan gebruikers, mag dat?

vodafone-proxyKlanten van Vodafone klagen dat internetpagina’s traag laden, omdat Vodafone pagina’s laadt via een proxy. Dat meldde Tweakers gisteren. De proxy is opmerkelijk omdat deze webpagina’s aanpast, wat niet uit te zetten is. Plaatjes worden op een lelijke manier verkleind, en met een vaag scriptje is dat dan weer ongedaan te maken. Weinig mensen worden hier vrolijk van. En als je als juridisch techneut ergens niet vrolijk van wordt, dan vraag je jezelf af: mag dat?

Een boze techneut bij Stackoverflow niet heel gelukkig van deze oplossing:

What it does is to have a proxy recompress all images you fetch smaller by default (making image quality significantly worse). Then it crudely injects a script into your document that adds an option to load the proper image for each recompressed image. Unfortunately, since the script is a horribly-written 1990s-style JS, it craps all over your namespace, hijacks your event handlers and stands a high chance of messing up your own scripts.

Toen KPN het ooit in z’n hoofd haalde om te gaan kijken naar pakketjes, leidde dat tot een Wet netneutraliteit waarin stond dat providers geen dataverkeer mogen filteren of blokkeren (behalve om een paar technische redenen). Maar in diezelfde wet staat nóg een interessant artikel, namelijk artikel 11.2a Telecommunicatiewet:

De aanbieder van een openbaar elektronisch communicatienetwerk en de aanbieder van een openbare elektronische communicatiedienst onthouden zich van het aftappen, afluisteren of anderszins onderscheppen of controleren van de communicatie via een openbaar elektronisch communicatienetwerk of openbare elektronische communicatiedienst en de daarmee verband houdende gegevens(…)

Dit artikel staat los van waar KPN destijds van beschuldigd werd, namelijk het aftappen of beluisteren van gesprekken en communicatie tussen personen. Daarvoor was hun packet inspection niet deep genoeg, oordeelde het OM destijds. Hier wordt nu een aparte norm geïntroduceerd: blijf van de communicatie af. En nee, Vodafone luistert of onderschept ook geen communicatie. Maar er staat ook nog “controleren” bij, en een proxy die webpagina’s herschrijft zou ik toch wel een controledinges willen noemen. Alleen gaat dit artikel primair over bescherming van de privacy van de eindgebruiker, en je kunt veel zeggen over herschrijvende proxies maar de privacy schenden doen ze niet. Dus is dit wel het soort ‘controle’ dat de wet bedoelt?

Bij invoering van dit wetsartikel is nog gezegd:

Belangrijk op te merken is dat zowel artikel 7.4a als artikel 11.2a Tw (zie met name tweede lid, onder b en c) er niet aan in de weg staan dat een aanbieder zijn netwerk en diensten op een «normale» manier beheert. Zo mag, ook in het kader van artikel 11.2a Tw (zie tweede lid, onder c), een aanbieder van een netwerk om te beoordelen of zijn netwerk goed is gedimensioneerd of dat wellicht uitbreiding nodig is de diverse verkeersstromen die over dat netwerk worden afgewikkeld in kaart brengen.

Dit wijst erop dat het niet per se gaat om élke vorm van aftappen, kijken of controleren maar alleen op de “niet normale” manier (en ik weet ook niet waarom Kamerstukken dat met «» ipv “” markeren). En de normaliteit moet je dan beoordelen vanuit het belang van de eindgebruiker, met name zijn privacy.

Het artikel noemt nog vier uitzonderingen:

  1. de betrokken abonnee voor deze handelingen zijn uitdrukkelijke toestemming heeft gegeven;
  2. deze handelingen noodzakelijk zijn om de integriteit en de veiligheid van de netwerken en diensten van de betrokken aanbieder te waarborgen;
  3. deze handelingen noodzakelijk zijn voor het overbrengen van informatie via de netwerken en diensten van de betrokken aanbieder, of
  4. deze handelingen noodzakelijk zijn ter uitvoering van een wettelijk voorschrift of rechterlijk bevel.

Geen van deze vier lijkt me van toepassing. Er is geen toestemming, de integriteit van het netwerk komt niet echt in gevaar als je webpagina’s doorgeeft, technisch noodzakelijk is het ook niet echt en een wet die dit verplicht is er ook al niet. Nou ja, heel misschien als je zegt “ons netwerk is zó krap dat we echt alle plaatjes moeten reduceren in formaat anders werkt internet gewoon niet”. Dat zou het legaal maken, maar marketingtechnisch lijkt me dat geen handig standpunt om in te nemen.

Dus mja. Het valt letterlijk onder het wetsartikel, maar volgens mij is dat hier niet voor bedoeld. Een ander artikel weet ik zo niet. Het voelt wel buitengewoon storend dát er geen wetsartikel zou zijn tegen zo’n rare actie.

Arnoud

24 reacties

  1. Als dat script van hun een een webpagina die jij bezoekt verminkt, kan je dan onder je contract uit om dat men niet levert wat men belooft? Het is dan immers een handeling van Vodafone die op zich werkende pagina’s verminkt, het lijkt mij sterk dat ze bij aangaan van het abonnement hebben gemeld dat ze pagina’s onwerkbaar maken?

    In ieder geval zou ik als ik er niet af kon al mijn verkeer via een vpn verbinding laten lopen en bij einde contract een fatsoenlijke telco opzoeken.

    1. Dat was mijn eerste gedachte ook. Je bestelt Internet bij Vodafone en je verwacht dat dit net zo werkt op je telefoon als op je PC. Ofwel, de provider geeft de pagina’s onveranderd door. Doordat Vodafone de webpagina’s aanpast (en met JavaScript vernielt) krijg je dus niet waar je voor betaalt. Als dit ook nog eens verplicht is dan lijkt mij dit een goede reden om je contract per direct te be-eindigen en je beltegoed per direct op te eisen wegens contractbreuk. En verzin er nog maar enkele schadebedragen bij om Vodafone op andere gedachten te brengen.

      Maar ik zie nog wel meer problemen. Wat Vodafone nu doet is het produceren van afgeleide werken van mogelijk beschermd materiaal. Als ze alleen een doorgeefluik waren dan zou dit niet gebeuren maar nu maken ze doelbewust kleine afbeeldingen van de grotere afbeeldingen en daarmee schenden ze copyrights. Zou dat door de giecheltest kunnen komen?

      Nog een punt… Normaal zijn providers niet verantwoordelijk voor de inhoud van websites omdat ze als doorgeefluik fungeren. Maar in deze situatie is Vodafone aktief bezig de inhoud van webpagina’s aan te passen en kun je ze mogelijk verantwoordelijk houden voor een eventuele schadelijke inhoud van die pagina’s. Immers, het is nu een pagina van Vodafone, niet van een website.

      Verder denk ik dat diverse web-beheerders nu schadeclaims kunnen gaan indienen omdat hun sites niet meer werken op de mobieltjes van Vodafone. Zoals gezegd, Vodafone “verkracht” de Javascript code van die websites door hun eigen rotzooi toe te voegen. Dat de site vervolgens niet meer werkt wordt echter vaak toebedeekd aan de website zelf en dus krijgt de website een slechte reputatie bij Vodafone gebruikers. Dat kost weer klanten en dat is schade dat in een bedrag uit te drukken is en als schadeclaim ingediend kan worden.

      Ik ben sowieso blij dat ik niet meer bij Vodafone zit. Hun diensten waren redelijk goed maar hun website was een ramp. Ze hebben er totaal geen verstand van hoe je goede websites bouwt. Dat ze deze proxy toepassen maakt het alleen nog erger voor hen. Mijn advies: T-Mobile levert ook goede diensten en heeft geen proxy. 🙂

  2. Is er geen wet die ze verbied om de data aan te passen? Plaatjes comprimeren is nog tot daar aan toe, met een beetje moeite kun je redeneren dat de data nog hetzelfde is. Maar scripts injecten die andere javascript e.d. in de weg zit is gewoon hetzelfde als dat de Post een brief opent en alle fouten te corrigeert.

    Het feit dat ze het script injecten is toch bewijs genoeg dat ze in je data zitten te kijken? Al dan niet geautomatiseerd?

    1. In dit geval de post openen en fouten toevoegt en dan weer dicht maakt zodat de ontvanger niet ziet dat je dit gedaan hebt. En dan lijkt de afzender een prutser want je hebt een slechte ervaring.

      Maar als je zo’n plaatje neemt en dan in een zichtbaar slechtere kwaliteit kleinere afbeelding omzet, maak je dan geen afgeleid werk? Je geeft in ieder geval niet meer de data zomaar door, je voert een bewerking uit.

  3. Het moet niet lastig zijn om dit overtuigend als oneerlijke handelspraktijk te kwalificeren. Immers, deze automatische compressie lijkt mij een essentieel kenmerk van het product, zodat dit vergeten te melden voor afsluiting van het abonnement een misleidende omissie is (art. 6:193d lid 2 BW).

  4. Voor mij is de grote vraag, waarom zouden ze dit uberhaubt doen? Een proxy voor mobiel geeft in mijn ogen meer ellende dan het voordelen oplevert of is de internet bandbreedte zo beperkt geworden?

    Ik wil niet altijd als paranoia overkomen maar zou het niet een MTM zijn voor de GHCQ?

    Gezien steeds meer verkeer via SSL verloopt door de problemen rond het aftappen, de problemen met betrouwbaarheid van SSL de laatste jaren en Vodafone hieraan mee lijkt te werken…. is een proxy een erg handige manier om SSL verkeer te sniffen. http://www.theguardian.com/business/2013/aug/02/telecoms-bt-vodafone-cables-gchq

    1. Mwah, meestal ben ik wel te vinden voor een beetje paranoia, maar je moet wel een verhaal hebben dat een beetje logisch in elkaar zit.

      HTTP-verkeer afluisteren kan een provider heel goed zonder dat het opvalt. Als dat hun motief is, dan zouden ze juist niet de inhoud aanpassen.

      Afluisteren van HTTPS-verkeer, en ander verkeer met SSL/TLS encryptie, is lastig(*), en gaat vroeg of laat een keer opvallen. Ik denk niet dat de hier genoemde problemen betrekking hebben op HTTPS.

      Dus, of er nou wel of niet wordt afgeluisterd: het probleem hier lijkt in ieder geval niets met afluisteren te maken te hebben.

      (*) Je moet het hebben van software-bugs, of je moet meewerking krijgen van een certificaat-authoriteit die bereid is om valse certificaten te ondertekenen. Of je moet een geniale wiskundige zijn die een fout vindt in een cryptografisch algoritme.

  5. Dit is wel degelijk Deep Packet Inspection, zelfs Deep Packet Modification, dus dit lijkt me niet de bedoeling van de wet Netneutraliteit. Het is overduidelijk dat in deze opzet al het HTTP-verkeer wordt gefilterd dan wel geblokkeerd. Het alternatief via de proxy is niet simpelweg omgeleid HTTP-verkeer, maar gewoon totaal anders HTTP-verkeer.

    1. Ik zou het geen DPI willen noemen. Ze draaien alle ‘normale’ requests via een proxy. Die ziet simpelweg een verzoek een pagina te tonen, haalt die op en voegt er automatisch wat aan toe. DPI bekijkt ‘AL’ het verkeer en gaat in de (losse) pakketjes kijken wat er allemaal gebeurd. Er wordt ook niet geblokkeerd of weg-(dat is over het algemeen de bedoeling van het woord)gefilterd.

      Het is wel een man in the middle, maar ja, dat zijn providers sowieso al.

      Niet dat ik blij zou zijn met zo’n ISP, maar ik vind het onterecht om maar met allerlei termen te gaan gooien.

  6. Misschien komt het doordat ik een “techneut” ben, maar ik zie de technische oplossing (VPN) als een stuk makkelijker dan de juridische. Zolang netneutraliteit gehandhaafd blijft, kunnen subtielere problemen (zoals deze) verholpen worden met technische middelen. Als er een makkelijke technische oplossing bestaat, dan maakt het niet zo veel uit of er wel of niet een moeilijke juridische oplossing bestaat.

    Ik vraag me wel af of dit niet toch een schending van de netneutraliteit is. In feite wordt hier een bepaald type internet-verkeer (HTTP) verminkt; ik neem aan dat ze deze verminking niet toepassen op andere protocollen (bijv. alle SSL-protocollen: daar is verminking echt een alles-of-niets-actie). Dat is strijdig met hoe Wikipedia netneutraliteit definieert:

    Net neutrality (also network neutrality or Internet neutrality) is the principle that Internet service providers and governments should treat all data on the Internet equally, not discriminating or charging differentially by user, content, site, platform, application, type of attached equipment, and modes of communication.
    Dat wordt hier geschonden: HTTP-verkeer wordt anders behandeld dan andere protocollen.

    Wat zegt onze wet daarover? Als dit niet verboden is, dan zou dat een behoorlijk grote loophole in de wet zijn.

  7. Echt… Typisch weer dat het Vodafone is die zoiets doet… Lijkt me een mooie taak weggelegd voor een website eigenaar die ze sommeert hiermee te stoppen, omdat ze hiermee zijn website “verminken”. (Auteurswet/persoonlijkheidsrecht) En wellicht een mooie dwangsom afdwingen bij de rechter. Dan moet dit gauw genoeg over zijn. Brrr…. Vodafone… Moet echt gauw gaan overstappen.

  8. (en ik weet ook niet waarom Kamerstukken dat met «» ipv “” markeren)

    Dit is al een heel oud gebruik; je ziet het ook wel in negentiende eeuwse boeken. Karel Treebus, een vormgever bij de Staatsdrukkerij, vond deze manier van aanhalen veel mooier (zie zijn boek Tekstwijzer), die «ganzevoetjes» botsen namelijk niet met onze hoge komma ’ in passages zoals “’t regent”; en bij onze zuiderburen is het (nog steeds) de norm.

      1. Alleen, waar zitten die dingen op mijn toetsenbord? Ik kan wel twee keer typen maar zie het liever als een enkel teken. 🙂 En wat is de escape-code voor die dingen in HTML? 🙂 (u+8220 en u+8221. Dank je, pagina-source!) En waarom kent de Nederlandse Taalunie dit gebruik niet? 🙂

  9. Nou ja, heel misschien als je zegt “ons netwerk is zó krap dat we echt alle plaatjes moeten reduceren in formaat anders werkt internet gewoon niet”.

    Wat bovendien nog een rol schijnt te spelen is dat vodafone de proxy met name inzet bij mensen met grote datalimieten (bv 11 GB) en niet bij mensen met kleine datalimieten (< 1 GB). Mensen met kleine datalimieten lopen dan dus nog steeds veel risico op extra kosten van overschrijdingen terwijl mensen met belachelijk hoge datalimieten een afgeknepen internetvariant krijgen met bijvoorbeeld gecomprimeerde (slechtere kwaliteit) plaatjes.

    1. Dat is inderdaad raar. Ik ben dan eigenlijk wel erg benieuwd hoe de limiet berekent wordt. Stel ik vraag een pagina op met 10 foto’s van elk 500kb, Vodafone verkleint deze naar elk 50kb. Is mijn dataverbruik dan 5mb (10x500kb) of slechts 500kb. Als ze dit daadwerkelijk alleen doen bij de grote verbruikers zou het me niet verbazen als ze de originele data (5mb) als verbruik nemen…

      Zou dat (ongeacht of ze het zo doen) mogen? Is je data limiet voor wat je opvraagt of voor wat daadwerkelijk over de lijn gestuurd wordt?

    2. Is dat zo? Dat is namelijk helemaal lelijk. Dat riekt een beetje naar: als je 1 GB hebt dan helpen we je graag over je bundel heen en kunnen we naheffen. Bij 11 GB bundel kom je er waarschijnlijk niet aan en ná deze aanpassing zeker niet. Onwaarschijnlijk lelijk.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.