Mag je door anoniem browsen een paywall omzeilen?

| AE 9379 | Beveiliging | 36 reacties

Een lezer vroeg me:

Laatst vond ik in een discussiegroep een link naar een artikel, maar dat bleek achter een paywall te zitten. Nadat ik me daarover beklaagd had, kreeg ik te horen dat ik met anoniem browsen het artikel wél gratis kon zien. Maar is dat geen computervredebreuk dan, ik omzeil dan toch een beveiliging?

De beveiliging waar het hier om gaat, is een cookie: je krijgt bij bijna alle paywall-sites een aantal artikelen gratis, en dat aantal wordt geteld in een cookie. Met anoniem browsen (“private mode”) worden cookies na elke sessie weggegooid, dus staat dat aantal elke keer op nul.

Van computervredebreuk is sprake wanneer je opzettelijk en wederrechtelijk binnendringt in een computersysteem. Een beveiliging of toegangscontrole omzeilen is een mogelijke manier om dat te doen, maar waar het uiteindelijk om gaat is of je weet of moest weten dat je ergens bent in het systeem waar je niet mag zijn.

Met enige fantasie is die cookie-teller als een beveiliging te zien, of kun je het weggooien van het cookie zien als een technische ingreep. Daarmee is aan dat deel van het delict computervredebreuk voldaan.

Blijft over de vraag: ben je wederrechtelijk binnengedrongen? Oftewel ben je ergens waar je niet mag zijn, en ben je daar zonder enige bevoegdheid?

Het lijkt me evident dat als iemand een truc uithaalt om een betaald bericht gratis voor ogen te krijgen, hij computervredebreuk pleegt. Denk aan het gebruik van andermans wachtwoord, of het kapen van iemands inlogsessie om zo die toegang te krijgen. Maar de truc hier is niet gericht op het zoamaar lezen van een betaald bericht; het gaat om het toegang krijgen tot een zesde bericht die maand terwijl je er maar vijf mag lezen.

Dat voelt toch net even anders. Deze berichten zitten niet echt achter een paywall, je staat te lezen in de tijdschriftenwinkel en de juffrouw (m/v) achter de balie snauwt je toe “het is hier geen bibliotheek meneertje (m/v)”. En nu doe je na elk artikel een andere jas aan zodat ze je niet herkent. Ik kan dat moeilijk op één lijn stellen met na sluitingstijd inbreken. Dus nee, ik denk niet dat dit een strafbaar feit is.

Arnoud

Deel dit artikel

  1. Wordt het niet nog interessanter als je het om gaat draaien?

    “De paywall installeert cookies die ik helemaal niet op mijn computer wil hebben, dus het is mijn volste recht om deze cookies te verwijderen/blokkeren. Dat de paywall zo is ingericht dat ze nog met cookies werken en dat ik deze zo kan omzeilen daar heb ik niets mee te maken, dan hebben ze maar een betere beveiliging te verzinnen.”

    Of gaat deze vlieger niet op? 🙂

    • Ik het met je eens waar je zegt dat een gebruiker de mogelijkheid hoort te hebben cookies te weigeren en dat bedrijven eerst toestemming horen te hebben voordat ze tracking-cookies gaan plaatsen. Jammer dat je aan je browser-instellingen moet gaan sleutelen en plugins installeren om van je wettelijke rechten te mogen genieten.

      In een rechtszaak zal de paywall zeggen dat het cookie een beveiligingsmaatregel is, waar jij tegenover kunt stellen dat het plaatsen van een tracking cookie een ongewenste privacy-inbreuk is. Ik denk dat een rechter ergens in het midden uitkomt: Het “telcookie” is functioneel, maar geen effectieve beveiliging. (Het web is een veldslag tussen listige kunstgrepen en listige tegenmaatregelen.)

  2. Ik had het laatst andersom. Ik wilde wat info over links naar mijn website, en bij majestic mocht ik een paar dingen gratis doen. Het was net niet genoeg, het gratis deel, dus ik dacht inderdaad door middel van anoniem browser het dubbele gratis deel te krijgen.

    Dat ging echter niet (ook niet vanaf een ander wifi netwerk of een andere computer). Enerzijds terecht natuurlijk, maar ik vroeg me wel af: hoe weten ze dat? Ze moeten dan op een of andere manier een registratie doen van mijn computers en IP adressen, en die ook nog een allemaal aan elkaar gekoppeld hebben (het enige wat ik kan bedenken is: op basis van een eerdere keer toen ik op basis van een tijdelijk account had ingelogd)

    Het lijkt me dat ze ten eerste al meer info vragen/nemen dan noodzakelijk om de dienst te leveren, en ten tweede bewaren ze die info blijkbaar….. Mag dat wel? Ik begrijp het wel, maar ik vraag me toch af of het juridisch niet op, of zelfs over, het randje is.

      • Het omzeilen van een paywall lijkt me toch wel degelijk iets wat onrechtmatig is tegenover de partij die de site exploiteert. Het gaat om een betaald product met gelimiteerde uitproberen wat iemand door middel van een truukje gratis probeert te verkrijgen. Daarmee wordt evident schade gedaan aan de partij die dmv van deze artikelen geld probeert te verdienen. En het gebruik van zo’n methode om de paywall te omzeilen lijkt met te kwalificeren als “in strijd met met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt”

        Bij een krantenartikel of ander auteursrechtelijk bescherm werk zou je bovendien aanvullend nog kunnen stellen dat je geen valide licentie hebt om het artikel te lezen door gebruik te maken van een methode die een bepaalde beperkte gratis licentieverstrekking omzeilt.

        • Dat zou betekenen dat het wissen van cookies (en dus incognitomodus) sowieso onrechtmatig is, want het biedt een mogelijkheid om wederrechtelijk artikelen te lezen die achter een paywall zitten, zonder beperking, en derhalve zou het dan een omzeiling zijn van de beveiliging. Zelfs als je de intentie niet hebt, is de mogelijkheid er altijd, en kun je dus ook “per ongeluk” 6 artikelen lezen terwijl je dat eigenlijk amper door hebt.

          Maar je kan me niet wijsmaken dat ze af gaan dwingen dat anoniem browsen verboden wordt. Het is ook onmogelijk te bewijzen, juist door de eigenschap die incognito-modus heeft, je identiteit wordt compleet verborgen. Dus tenzij iemand geautomatiseerd de hele website van de Volkskrant zou gaan rippen, is het missschien op papier wel onrechtmatig, maar in de praktijk een storm in een glas water.

      • zie hierboven voor een antwoordt Verder is bovendien een leverancier van een dienst prima in zijn recht om het gebruik van een dienst te ‘tracken’ of gewoon te tellen om die dienst zo nodig in rekening te brengen. Je bent gewoon een klant die producten consumeert en het is vrij evident dat leveranciers de consumptie van hun producten bijhouden. Je hebt geen specifiek recht op privacy ten aanzien van je consumptie ten opzicht van een leverancier van de producten die je consumeert.

        Als jij in een sushi bar normaal betaalt per schoteltje dat je consumeert en je verdoezelt wat van die schoteltjes omdat je privacy wilt beschermen (bijvoorbeeld niet bekend wilt maken hoeveel je wel niet hebt gegeten) dan is dat ook illegaal.

        • Jij zegt dat een leverancier van een dienst zich niet aan de “cookie wet” hoeft te houden, zonder mijn expliciete toestemming mijn computer mag inschakelen om het gebruik van haar dienst bij te houden (computervredebreuk) en dan “onrechtmatig” mag roepen als ik haar met listige kunstgrepen op mijn computer geplaatste administratie verwijder.

        • Dat met die sushibar is volledig appels met peren vergelijken. Dan verdoezel je bewust de schoteltjes. Als je anoniem surft om je privacy te beschermen en je komt op zo’n paywall-site en de cookie verdwijnt aan het einde van de sessie, dan is dat niet bewust. Immers, je hebt er niet zelf voor gekozen om de anonieme modus zo te programmeren dat de cookie wordt gewist (tenzij je je eigen webbrowser hebt geschreven, dan is het natuurlijk een ander verhaal).

          • ls je anoniem surft om je privacy te beschermen en je komt op zo’n paywall-site en de cookie verdwijnt aan het einde van de sessie, dan is dat niet bewust.
            Lees je het artikel wel? Het artikel gaat niet over iemand die toevallig anoniem wil surfen maar iemand over de vraag of het opzettelijk kiezen voor een methode om de paywall te omzeilen is toegestaan. Iemand die dan dus wel degelijk bewust kiest om anoniem surfen te gebruiken om de teller van de geconsumeerde artikelen te verdoezelen.

            En het is in theorie ook wel door een site te constateren als je bewust kiest om over te stappen op anoniem surfen als je door de gratis artikelen heen bent. Sites kunnen namelijk alternatief naast een teller in de cookie ook een teller bijhouden op IP adres (die methode kan je ook omzeilen met gebruik van TOR of een VPN of zoiets).

            • Cookies plaatsen is in Nederland is heel strikt geregeld en wat jij zegt slaat nergens op heb je zelf wel gelezen? Hier je antwoord;

              https://www.rijksoverheid.nl/onderwerpen/telecommunicatie/vraag-en-antwoord/mag-een-website-ongevraagd-cookies-plaatsen

              Dus Arnout mag gratis lezen, en een cookie is geen beveliging pfft. Ik heb me fiets ook op slot gezet meteen papar clipje, zag je dat niet eens? Dat heet uitlokking en is strafbaar.

              En weleens aan verwerking persoonsgegevens bij plaatsing cookies gedacht is die site wel geregistreed?

              • Cookies plaatsen mag sowieso als een site daarvoor toestemming heeft gevraagd en gekregen. En vrijwel alle sites met een paywall vragen permissie om cookies te mogen plaatsen dus dat is totaal geen probleem.

                En het plaatsen van cookies mag ook als het nodig is voor het functioneren van de sites en daar is hier ook sprake van.

            • Lees je het artikel wel? Het artikel gaat niet over iemand die toevallig anoniem wil surfen maar iemand over de vraag of het opzettelijk kiezen voor een methode om de paywall te omzeilen is toegestaan. Iemand die dan dus wel degelijk bewust kiest om anoniem surfen te gebruiken om de teller van de geconsumeerde artikelen te verdoezelen.

              En hoe denk je die intentie ooit te gaan bewijzen? Tenzij je het over grootschalig misbruik gaat hebben kun je daar juridisch eigenlijk heel weinig mee.

              En het is in theorie ook wel door een site te constateren als je bewust kiest om over te stappen op anoniem surfen als je door de gratis artikelen heen bent. Sites kunnen namelijk alternatief naast een teller in de cookie ook een teller bijhouden op IP adres (die methode kan je ook omzeilen met gebruik van TOR of een VPN of zoiets).
              En dat is dus ook verwerken van een persoonsgegeven waarvoor een gegronde reden moet zijn en die bij de gebruiker gemeld moet worden.

      • Het plaatsen van een tracking cookie door hun om überhaupt een artikel te mogen lezen is ook onrechtmatig aangezien het in strijd is met de privacy.

        Dat is niet onrechtmatig. Ze vragen jou om toestemming om de cookie te plaatsen. Die kun je ook weigeren en dan weigeren zij gewoon een artikel te leveren. Als je wel een cookie toestaat ben je gewoon een klant van die website en mag de site logischerwijs ook jou gebruik van hun producten (de artikelen) registreren. Dat is volgens mij prima in overeenstemming met de wet.

  3. Dat voelt toch net even anders. Deze berichten zitten niet echt achter een paywall …
    Waarom zie je deze technische oplossing niet gewoon als een klantvriendelijke en privacy respecterend alternatief voor een ‘gratis’ account waarmee je maximaal X artikelen per maand mag lezen? Eerlijk gezegd vind ik dit een nette oplossing en dat misbruik daarvan best bestraft mag worden. Ik vind de vergelijking met een kiosk niet opgaan.

  4. Ik ben het niet eens met de aanname dat anoniem server (of je cookies weggooien) als technische ingreep geldt. Ik heb het recht om bestanden op mijn PC weg te gooien, en mijn browser ondersteunt gewoon anoniem browsen. Dat zijn geen technische ingrepen, dat is normaal gebruik van de browser. Het wordt gewoon via het browser menu ondersteunt. Dat een beveiliging niet tegen dat gedrag kan, is een probleem van de beveiliging. Straks mag ik ook niet meer verschillende browsers gebruiken (want ook dan werken die cookies niet). En dat ik tot mijn gedrag kom om de beveilging te omzeilen is denk in niet relevant. Ik hoef tegen een bedrijf toch geen verantwoording af te leggen over mijn gedrag? Het is voldoende dat er voldoende legitieme redenen voor mijn gedrag zijn.

  5. Maar de truc hier is niet gericht op het zoamaar lezen van een betaald bericht; het gaat om het toegang krijgen tot een zesde bericht die maand terwijl je er maar vijf mag lezen.Dat voelt toch net even anders.

    Sorry maar dat is natuurlijk onzin. Mag ik dan ook ná de maand gratis Netflix blijven doorstreamen met een gehackt account? Of een grote verpakking pikken als er naast een gratis kleine proefverpakking ligt? (En nee, downloaden is geen diefstal…

  6. Als je een website met paywall gaat bezoeken zullen ze je eerst om toestemming voor de cookie moeten vragen.

    Als nou in die toestemming staat dat je akkoord gaat met hun regel dat je de paywall niet mag omzeilen, is er dan sprake van een overeenkomst/contract?

    Want als je dan toch de paywall gaat omzeilen schend je die overeenkomst.

  7. Het probleem met deze vorm van ‘beveiliging’ is dat het technisch nauwelijks is afgedwongen, maar je een beroep doet op het fatsoen van de lezer. Aangezien alle artikelen op de website voor iedereen toegankelijk zijn op een openbare website is dit nauwelijks te controleren.

    Hieronder volgt een kleine opsomming van mogelijkheden waarop je dit artikel kunt lezen: – Je leest het artikel in je standaard browser – Je leest het artikel in een andere browser, omdat je die toevallig open had staan – Je leest het artikel op je telefoon in plaats van op je computer – Je leest het artikel op de computer van je vrouw / kind / collega / … – Je krijgt het bericht via een link op Twitter doorgestuurd en opent het artikel in de Twitter-app – Je opent standaard alle links in incognito-modus zodat cookies naderhand verwijderd worden Van al deze opties is onmogelijk te zeggen of dit bewust is gedaan om de paywall te omzeilen of niet.

    Nu begrijp ik prima dat dit geen antwoord geeft op de vraag of dit computervredebreuk is, maar ik kan me onmogelijk voorstellen dat dit een strafbaar feit is als er zoveel scenario’s denkbaar zijn waar je onbewust de paywall omzeilt.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS