Reacties op: Is een tracker in je e-mail legaal? https://blog.iusmentis.com/2017/03/06/is-tracker-e-mail-legaal/ Internetrecht door Arnoud Engelfriet Mon, 22 May 2017 17:06:59 +0000 hourly 1 https://wordpress.org/?v=4.7.5 Door: Denny https://blog.iusmentis.com/2017/03/06/is-tracker-e-mail-legaal/#comment-831075 Mon, 13 Mar 2017 10:03:19 +0000 https://blog.iusmentis.com/?p=9290#comment-831075 Op sommige platforms kan je misschien om het RAM heen werken als processor-registers, processor-cache en dergelijke voldoende geheugen bieden voor drivers. Dan vraag ik me wel af: waar begint/eindigt je definitie van RAM? Het zijn toch allemaal verschillende lagen van volatile memory? Wat bereik je er mee als je één laag niet gebruikt en de andere lagen wel?

Zo goed als alle computers werken in de basis volgens het Von Neumann-principe of de daarvan afgeleide Harvard-architectuur. De achterliggende technologie achter de ‘geheugen-unit’ is voor deze principes niet relevant. Processor registers worden in de regel vooral gebruikt om de data in te stoppen waar de verwerkings-unit (ALU) op dat moment mee werkt. Dat zijn zulke kleine hoeveelheden, dat ik niet denk dat dit voor mensen betekenis heeft en als informatie moet worden gezien. Hoogstens als uitkomst van een rekensom o.i.d misschien. We gebruiken de definitie RAM tegenwoordig vaak voor volatile geheugen, maar dat is niet de oorspronkelijke. Kenmerkend van RAM is vooral dat de toegangstijd voor elke byte gelijk is. Betrouwbare toevoer, op vast tempo, van vooral de instructies, maakt de opbouw van een ALU veel eenvoudiger.

Dat de meeste besturingssystemen zo zijn gemaakt dat ze RAM nodig hebben, is het echter niet noodzakelijk dat ze in theorie ook zonder zouden kunnen werken. Immers kan men alles naar een harde schijf dan wel USB-stick schrijven. Dit zorgt uiteraard wel voor een perfomance val. Maar daar gaat het nu niet om.
Dit heeft vooral met de hardware te maken. In theorie is dit mogelijk, er zijn eenvoudige micro’s die hun instructies direct uit flash uitvoeren. Het protocol voor communicatie met een USB-stick of een SSD zou je in theorie best in hardware kunnen implementeren en dan aan de RAM-bus van je micro kunnen hangen. Met een HDD wordt het wel complexer, maar goed die dingen hebben ook gewoon hun eigen cpu met ramgeheugen om constante toevoer te garanderen. Of iemand er brood in ziet om zo’n setup mogelijk te maken is een ander verhaal… Maar om terug te komen op de discussie: Bij zo’n systeem is je HDD of USB-stick geen randapparatuur meer, maar noodzakelijk voor de werking.

]]>
Door: Corné https://blog.iusmentis.com/2017/03/06/is-tracker-e-mail-legaal/#comment-831056 Mon, 13 Mar 2017 08:49:49 +0000 https://blog.iusmentis.com/?p=9290#comment-831056 Nee, ik denk dat dat technisch onmogelijk is; dat heeft te maken met de manier waarop computer-hardware ontworpen is. De machine-taal waarin instructies voor processoren geschreven zijn gaat uit van de aanwezigheid van RAM: veel instructies hebben rechtstreeks te maken met het laden van / opslaan naar RAM.

Voor randapparatuur zoals harde schijven bestaat zulke ingebouwde functionaliteit in processoren niet; daar zijn dus drivers voor nodig. Die drivers hebben RAM nodig voor de opslag van hun variabelen, gebufferde data en dergelijke. Om een voorbeeld te noemen: ik heb een projectje waarbij ik een Arduino computertje gebruik in combinatie met opslag op een SD-kaart. De Arduino UNO heeft slechts 2048 bytes RAM, dus je wordt je daar heel erg bewust van waar je RAM allemaal voor nodig hebt. Net zoals harde schijven geven SD-kaarten data in sectoren van 512 bytes, dus als je data byte-voor-byte leest moet je een 512-byte buffer in RAM hebben voor de rest van een sector. Dat kost je dus een kwart van je RAM op een Arduino UNO.

Op sommige platforms kan je misschien om het RAM heen werken als processor-registers, processor-cache en dergelijke voldoende geheugen bieden voor drivers. Dan vraag ik me wel af: waar begint/eindigt je definitie van RAM? Het zijn toch allemaal verschillende lagen van volatile memory? Wat bereik je er mee als je één laag niet gebruikt en de andere lagen wel?

]]>
Door: Jachra https://blog.iusmentis.com/2017/03/06/is-tracker-e-mail-legaal/#comment-830857 Sat, 11 Mar 2017 12:46:06 +0000 https://blog.iusmentis.com/?p=9290#comment-830857 Dat de meeste besturingssystemen zo zijn gemaakt dat ze RAM nodig hebben, is het echter niet noodzakelijk dat ze in theorie ook zonder zouden kunnen werken. Immers kan men alles naar een harde schijf dan wel USB-stick schrijven. Dit zorgt uiteraard wel voor een perfomance val. Maar daar gaat het nu niet om.

]]>
Door: Heimen Stoffels https://blog.iusmentis.com/2017/03/06/is-tracker-e-mail-legaal/#comment-830855 Sat, 11 Mar 2017 12:28:03 +0000 https://blog.iusmentis.com/?p=9290#comment-830855 Helaas is het zo dat sommige mails, althans in MIJN ervaring, totaal gescrambled eruit zien in platte tekst als er veel HTML wordt gebruikt. Dan is het dus totaal onleesbaar…

]]>
Door: Heimen Stoffels https://blog.iusmentis.com/2017/03/06/is-tracker-e-mail-legaal/#comment-830852 Sat, 11 Mar 2017 12:21:17 +0000 https://blog.iusmentis.com/?p=9290#comment-830852 Het is juridisch volgens mij toch wel andersom. Ik bedoel: je kunt bijv. een Linux-distributie als Puppy Linux (maar eigenlijk de meeste distro’s wel tot op zekere hoogte) gewoon draaien vanaf een USB-stick en zo via het RAM-geheugen werken. Je hebt dan dus geen HDD of SSD nodig. Echter, als je alleen een HDD of SSD hebt maar geen RAM-geheugen, dan kun je geen enkel OS gebruiken. RAM is dus geen randapparatuur.

]]>
Door: L, van Buël https://blog.iusmentis.com/2017/03/06/is-tracker-e-mail-legaal/#comment-830729 Fri, 10 Mar 2017 10:05:37 +0000 https://blog.iusmentis.com/?p=9290#comment-830729 Echter, als ik naar jouw iets stuur wat verbinding terug maakt naar mij, dan ben Ik de persoon die die verbinding initieert (het gaat dan over het concept initiëren binnen een juridisch kader). Ik ben namelijk de persoon die ‘bepaalt’ heeft dat de verbinding ‘moet’ worden opgezet. (dus niet de ontvanger van de mail). Het is voor ‘gewone’ mensen niet mogelijk om hun mailcliënt of netwerk zo in te stellen dat het niet mogelijk is om deze verbinding op te zetten. Niemand heeft het er hier over dat er arbitraire informatie van de computer van de ontvanger kan worden gehaald worden (dat is gewoon Computer vrede breuk (‘hacken’) en gewoon strafbaar onder de Nederlandse wet). De discussie gaat over het delen van privacy gevoelige of andere persoons-gegevens op een ongeoorloofde manier met de hulp van image trackers in e-mail berichten. Welk adres je krijgt (PC/router/etc.) is sterk afhankelijk van hoe je verbinding maakt, met welk protocol (IPv4/IPv6 is heel anders in deze bijvoorbeeld) je verbinding maakt, of je gebruik maakt van mobiel (data) netwerk en hoe je netwerk geconfigureerd is. Verder ‘lekt’ je HTTP-Client best veel data over jouw naar een webserver. Naast je IP-address (nodig voor terugkrijgen van een antwoord) word er ook een hele hoop andere informatie meegestuurd in de zogenaamde Agent-string. Wat ik in zijn geheel mis in jouw reactie ‘Bart Zuidgeest’ is dat voor de normale werking van e-mail helemaal die verbinding met ‘mijn’ server (als verzender) helemaal niet nodig is. Iedere verbinding die dus word opgezet valt niet onder de regels van “voor normaal laten werken van…”, Iets dat wel geld als ik jouw webpagina bezoek. Dit betekend dat je gegevens (mogelijk zelfs persoons-gegevens) aan het verzamelen bent voor een doel waar je niet gemachtigd bent (je geeft immers niet vooraf de keuzemogelijkheid). Het is dus niet bangmakerij waar hier over gesproken word. Maar reële potentieel misbruik dat door meerdere partijen word gedaan, waar een juridisch besef van legaliteit van deze acties ontbreekt.

]]>
Door: Bart Zuidgeest https://blog.iusmentis.com/2017/03/06/is-tracker-e-mail-legaal/#comment-830595 Thu, 09 Mar 2017 15:22:11 +0000 https://blog.iusmentis.com/?p=9290#comment-830595 Hoe is het opstarten van een HTTP verbinding niet verbinding maken met de PC waar de mail op ontvangen is?

Het is cruciaal om te beseffen wie de verbinding initieert en met welk doel of protocol. Wanneer jij webpagina (of een mail een plaatje) leest initieer jij een verbinding naar de de webserver. De webserver kan dan antwoord terug geven over die verbinding. Echter onder normale omstandigheden en buiten specifieke router en firewall configuratie (die jij moet doen) kan diezelfde webserver geen verbinding met jou computer initiëren. Dit ondanks dat het verkeer over dezelfde porten en protocollen zou gaan. De router of firewall accepteert alleen binnenkomend verkeer als direct antwoord op een uitgaand verzoek. Als jij het verzoek niet doet (je mail client instelt om geen plaatjes te laden) kan er dus geen verbinding plaatsvinden (tenzij je, je eigen security configuratie om zeep hebt geholpen). Ook kan een webserver niet willekeurige gegeven opvragen terug over de verbinding die jij hebt opgezet. Alleen een plaatje word als antwoord geaccepteerd (bugs daargelaten).

Een plaatje kan dus niet leiden tot iemand die met jou verbinding maakt, jij maakt altijd verbinding met hen. Zolang jij verbinding maakt bepaal jij hoeveel informatie je vrijgeeft. Het staat je vrij om browser type header of ipadress te verbergen of aan te passen. Dat niemand de moeite neemt zegt al genoeg. Ze krijgen trouwens het adres van je router niet van je pc. Als je meerder pc’s hebt kunnen ze niets met zekerheid bepalen.

Wellicht vind je dit te technical minded, maar het is voor mij van cruciaal belang dan mensen geen angst word aangepraat door een slechte manier van de feiten weergeven.

]]>
Door: L, van Buël https://blog.iusmentis.com/2017/03/06/is-tracker-e-mail-legaal/#comment-830562 Thu, 09 Mar 2017 11:09:40 +0000 https://blog.iusmentis.com/?p=9290#comment-830562 Hoe is het opstarten van een HTTP verbinding niet verbinding maken met de PC waar de mail op ontvangen is? Waarbij via deze verbinding verschillende informatie te verkrijgen is over de gebruikte software en hardware. En, Wat misschien nog wel belangrijker is. Het is niet nodig! Tenminste niet voor de mail zelf. Dit betekend dat in tegenstelling dan bij een webpagina, je veel dingen niet kunt verantwoorden onder “noodzakelijk voor normale werking”. ter illustratie. – Als ik een webpagina bezoek, dan weet ik dat mijn computer (meerdere) bestanden nodig heeft om de pagina bij mij te laten zien, en dat mijn computer deze moet binnenhalen bij een andere partij (de webserver) waarbij er informatie moet worden gedeeld over mijn verbinding (mij IP-address) en informatie over mijn apperaat en software (Mobile of niet, IE of firefox ed.) mM de pagina zo goed mogenlijk voor mij te krijgen. Ik neem voor lief dat deze informatie dan ook word gelogd (anders moet ik de pagina maar niet bezoeken). Bij mail is dit anders, Daar neem ik in principe alleen contact op met mijn mail infrastructuur. (dus niet iemands server maar ‘mijn’ server). Ik mag verwachten dat dan alles wat ik nodig heb om de informatie te krijgen beschikbaar is. Als je dan een mail maaakt waarbij er informatie word geladen van een derde systeem, dan is dit zeer waarschijnlijk niet nodig om het doel (het bericht) te behalen. Dit had immers ook in de mail zelf kunnen staan.

]]>
Door: L, van Buël https://blog.iusmentis.com/2017/03/06/is-tracker-e-mail-legaal/#comment-830559 Thu, 09 Mar 2017 10:58:53 +0000 https://blog.iusmentis.com/?p=9290#comment-830559 Het is de verzender die moet bewijzen dat de ontvanger het bericht heeft ontvangen. Dat je aannemelijk kunt maken dat PostNL of de Nederlandse provider het bericht heeft ontvangen is simpelweg niet voldoende. Als PostNL of de Nederlandse provider het bericht niet door heeft gegeven aan de ontvanger dan komt aan het bericht geen werking toe. Roepen dat jij vind dat een verzender niet verantwoordelijk kan worden gehouden voor de interne processen binnen een andere organisatie en jij vind dat dit voor risico van de ontvanger moet komen, brengt daarin geen verandering.

En jij kan bewijzen dat PostNL of welke partij dan ook daad werkelijk het heeft afgegeven? Bij de juiste persoon? (ik ben zelf nog nooit gevraagd om mijzelf te legitimeren om een bericht/pakket aan de deur te ontvangen bijvoorbeeld) Het bewijs dat word geleverd met een log is dat er (net zoals bij een post bedrijf bij een aangetekend stuk) dat het bericht is afgeleverd bij het address. Waarbij ook bekend is wanneer dit was, in datum en tijd. en bij welk address (IP address). Er staat zelfs in welke Identifier die het bericht heeft gekregen. Dit is meer dan voldoende informatie om in de log van de ontvangende partij te kunnen terug halen waar het bericht na ontvangst heen ging. (Dit zijn interne processen vergelijkbaar met een postkamer. En gebeuren dus onder de verantwoordelijkheid van de ontvangende partij. Als de ontvanger iemand inhuurt om zijn mail-processen voor hem te doen dan blijft de ontvangende partij toch verantwoordelijk voor het handelen. De Mail provider is immers enkel een partij die in opdracht van de ontvangende partij handelt,

Een tot een bepaalde persoon gerichte verklaring moet, om haar werking te hebben, die persoon hebben bereikt. Nochtans heeft ook een verklaring die hem tot wie zij was gericht, niet of niet tijdig heeft bereikt, haar werking, indien dit niet of niet tijdig bereiken het gevolg is van zijn eigen handeling, van de handeling van personen voor wie hij aansprakelijk is, of van andere omstandigheden die zijn persoon betreffen en rechtvaardigen dat hij het nadeel draagt. (Artikel 3:37 lid 3 BW)
Vanaf het moment dat de Mail door de ontvangende partij gekozen mailserver (dit is bekend en gepubliceerd als een van de MX record(s) van de ontvangende partij, in diens DNS records)

Dus als op de mail word gereargeert met een SMTP code van 250, wat betekend volgens RFc 2821 “OK” en daar bij de Enhanced SMPT codes worden gegeven van 2.0.0. zoals uit de RFC 1893

2.X.X Success Success specifies that the DSN is reporting a positive delivery action. Detail sub-codes may provide notification of transformations required for delivery.
Dan heb je bewijs van een afgeleverde mail. Met zelfs iets meer zekerheid dan wanneer een Post bedrijf dit doet. Omdat ook de plaats waar en het precieze moment er bij staan.

Derhalve zou dit bewijs de zelfde status moeten hebben als een aflever bewijs van een Postbedrijf.

Je kan het nog uitbreiden met Delivery-notification-report en Read-Receipt waarmee je ook kunt aantonen dat het bericht afgeleverd is, en dat het gelezen is. Deze zijn echter op vrijwillige basis en de ontvangende partij moet hier dan ook aan meewerken om deze reacties te ontvangen. Het log bestand heeft niet deze limitatie.

Ik merk trouwens op dat in je mail log IP adressen staan opgenomen en dat je het bezwaarlijk vond dat met zo’n pixel jouw IP adres kon worden gelogged.

het IP address dat ik gebruik is uit of range, in 8 Bit kun je getallen groter dan 255 niet opslaan. (dus staat een IPv4 lijkend adress zonder dat die er ook daadwerkelijk staat. Dus ik heb niets vrijgegeven nog gepubliceert. Verder gebruikte ik een mail die ik zelf verstuurde naar een mailbox van mijzelf op een andere domein/machine, Andere log gegevens had ik namelijk nooit mogen gebruiken. Verder heb ik alle identifiers aangepast zodat deze niet meer te herleiden zijn tot het oorspronkelijke bericht.

]]>
Door: Denny https://blog.iusmentis.com/2017/03/06/is-tracker-e-mail-legaal/#comment-830445 Wed, 08 Mar 2017 21:47:24 +0000 https://blog.iusmentis.com/?p=9290#comment-830445 Misschien denk ik te makkelijk, maar mag je ‘opslaan van informatie in de randapparatuur van de gebruiker’ niet gewoon opvatten als, krijgt de gebruiker enkel waar hij om vraagt? Als ik een blog lees, dan wil ik die website zien zoals de auteur hem heeft gemaakt. Dat opslaan doet mijn computer dan in opdracht van mij en niet die van de blogger. Wat mij betreft handelt de aanbieder van de blog niet eens. Die informatie staat daar en ik laat mijn device die downloaden en aan mij presenteren (of niet).

Wat voor tekst, plaatjes, filmpjes, etc.. een auteur op zijn site zet, is zijn keus. Het lijkt me niet aan de gebruiker om te bepalen welke informatie een auteur op zijn site plaatst, incl. reclamebanners. Als je een site opvraagt, dan weet je nou eenmaal van tevoren niet precies wat je krijgt. Alle informatie (HTML/CSS/scriptjes/etc.) die noodzakelijk is voor het zichtbare deel lijkt me dan automatisch noodzakelijk voor de gevraagde dienst.

De cookiewet lijkt me pas relevant voor dingen die de gebruiker niet automatisch te zien krijgt, omdat je een website opvraagt om hem te bekijken en niet om getrackt te worden o.i.d. Als de gebruiker er niet om vraagt en het gebeurt toch, dan handelt de aanbieder pas. Lijkt me redelijk om dit dan door te trekken naar e-mail en dat een onzichtbaar plaatje, of met steeds een andere naam, dan niet mag. De naam veranderen heeft nl. geen enkele invloed op hoe de gebruiker dat plaatje zien krijgt en is daarom niet noodzakelijk.

]]>