Nuance: volgt Vodafone je met 'supercookies'?

Vodafone volgt klanten met 'supercookies' op het netwerk, waarmee het surfgedrag van gebruikers kan worden doorgegeven aan de provider, meldt NRC. Maar in de praktijk blijkt dat wel mee te vallen, toont een test van Tweakers aan.

NRC meldt dat het gaat om 'controversiële supercookies', die volgens de Amerikaanse privacy-organisatie Access Now in Nederland bij Vodafone zouden worden gebruikt. Ook De Telegraaf, de grootste krant van Nederland, bericht over het onderzoek. Via de 'supercookies' zou de provider het gebruik van apps en het surfgedrag van klanten kunnen volgen, claimt NRC.

Dat klinkt als een heftige privacy-inbreuk, maar het ligt genuanceerder. Allereerst gaat het niet om cookies die worden geïnjecteerd, maar om een header die zou worden meegestuurd. Die zogenoemde asid-header, die sommige providers inderdaad gebruiken, maakt het mogelijk om een gebruiker te volgen - zelfs als je je cookies leegt, of de incognitomodus gebruikt. De code is namelijk vanaf de kant van de gebruiker niet te verwijderen: het mobiele netwerk injecteert de header.

Dat zou nog steeds ernstig zijn, ware het niet dat Vodafone dergelijke headers slechts in bepaalde gevallen gebruikt. "We doen het alleen bij partijen met wie we een billing-relatie hebben", zegt Vodafone-woordvoerder Joost Galema. "Denk aan de applicatiewinkel van BlackBerry, of aanbieders van ringtones." In dergelijke gevallen wordt de header meegestuurd, zodat klanten via hun telefoonrekening aankopen doen. De aanbieder van de website geeft de code - de anonymous customer reference, zoals Vodafone hem noemt - aan Vodafone, waarna die provider de afrekening verzorgt. Volgens Vodafone zijn de codes niet te herleiden tot een persoon.

Op websites die niets afrekenen via de telefoonrekening, wordt de header niet meer meegestuurd. Vodafone-klanten kunnen dat controleren met deze tool, die een uitdraai maakt van alle headers die naar een server worden gestuurd.

Tot dit voorjaar stuurde Vodafone overigens wél een acr-code naar alle websites mee. "Maar die werd elke sessie opnieuw gegenereerd", zegt Galema. Dat is overigens nog steeds zo op websites die de code wel ontvangen. Het injecteren van de code werkte overigens niet op https-websites; verzoeken daarnaar kan de provider niet manipuleren. Mogelijk komt de verwarring doordat het onderzoek van Access Now plaatsvond tussen oktober 2014 en april van dit jaar, voordat Vodafone de wijziging doorvoerde.

Uit onderzoek van Tweakers blijkt dat ook KPN en T-Mobile geen acr-code meesturen naar elke server. Of ze dat wel doen naar bepaalde sites, net als in het geval van Vodafone, is op dit moment nog onduidelijk. De providers waren dinsdagochtend niet bereikbaar voor commentaar.

headers voda-klant

De headers van een Vodafone-klant: geen tracking-codes

Door Joost Schellevis

Redacteur

Feedback • 18-08-2015 11:29 57

18-08-2015 • 11:29

57

Lees meer

Verizon schikt voor 1,3 miljoen dollar met FCC om gebruik 'supercookies'
Verizon schikt voor 1,3 miljoen dollar met FCC om gebruik 'supercookies' Nieuws van 8 maart 2016
Vodafone stopt met Cloud en komt met alternatieve dienst
Vodafone stopt met Cloud en komt met alternatieve dienst Nieuws van 8 augustus 2015
T-Mobile past wijze van ontvangst mms aan na Stagefright-bug - update
T-Mobile past wijze van ontvangst mms aan na Stagefright-bug - update Nieuws van 7 augustus 2015
Privacy Vodafone

Reacties (57)

-Moderatie-faq
57
55
38
2
1
0
Wijzig sortering
Verwijderd 18 augustus 2015 12:47
Het enige wat niet klopt bij het NRC artikel is de kop. Dezelfde persvoorlichter vertelt ook daar hoe de situatie momenteel bij Vodafone is en brengt zelf verwarring door te erkennen dat Vodafone gebruikmaakt van supercookies althans een variant daarvan. Dit terwijl de wijze van tracking op een geheel andere manier geschiedt. Ik vind het allemaal erg weinig basis voor een nuance artikel.
De Amerikaanse privacy-organisatie Access Now publiceerde gisteren een internationaal onderzoek naar de technologie. Daaruit bleek dat die in verscheidene landen, waaronder Nederland, wordt gebruikt. Access Now noemt Vodafone als een van de bedrijven die dat doen.

Woordvoerder Joost Galema erkent dat Vodafone de technologie inzet in Nederland. “Maar wij gebruiken die alleen waar die functioneel is. Bijvoorbeeld bij bepaalde online-betalingen die klanten laten verlopen via onze telefoonrekening. Daarvoor moeten wij de gebruiker kunnen identificeren en dat doen we via tracking headers. Een derde partij krijgt geen privé-gegevens en kan de informatie niet herleiden tot een persoon.”

De variant die Vodafone gebruikt heet anonymous customer reference-technologie, volgens Galema.
bron: http://www.nrc.nl/nieuws/...p-smartphones-gebruikers/

[Reactie gewijzigd door Verwijderd op 24 juli 2024 01:18]

rduinmayer @MacD18 augustus 2015 15:46
Als er niks aan de hand is, dan is er niks aan de hand.
Blubber 18 augustus 2015 11:41
Mooi dat het feit dat deze header niet aan TLS requests wordt toegevoegd als feature wordt gezien. Dit betekent dat aankopen die op de telefoonrekening verschijnen altijd gedaan worden via een onbeveiligde verbinden ...
Firefly III @Blubber18 augustus 2015 12:05
Onzin.

Als je via een onveilige verbinding bij de Blackberry store uit komt, met header en al, is het natuurlijk aan Blackberry om die header te koppelen aan een nieuwe veilige verbinding.

Blackberry kan de header opslaan in je sessie, en je doorschoppen naar een veilige verbinding. Voila. Geen onveilige verbinding maar wel de header onthouden.

Is toch niet zo moeilijk?
doeternietoe @Firefly III18 augustus 2015 12:22
Onzin.

Als je via een onveilige verbinding bij de Blackberry store uit komt, met header en al, is het natuurlijk aan Blackberry om die header te koppelen aan een nieuwe veilige verbinding.

Blackberry kan de header opslaan in je sessie, en je doorschoppen naar een veilige verbinding. Voila. Geen onveilige verbinding maar wel de header onthouden.

Is toch niet zo moeilijk?
Uiteraard kan dit, maar dat maakt voor een Man-in-the-Middle attack geen verschil. Als het mij zou lukken om uit die eerste, onveilige verbinding met de Blackberry store je header uit te lezen, kan ik die gebruiken om zelf een onbeveiligde verbinding (met jouw gegevens) te initiëren met de Blackberry Store. De Server ziet een geldig id, dat hoort bij een telefoonnummer/klant, en gebruikt deze om een nieuwe, veilige verbinding op te zetten. Op deze veilige verbinding kan ik dan in naam van iemand anders gaan winkelen.

Twee mogelijk bezwaren tegen deze kwetsbaarheid zijn allereerst dat je aankopen in dergelijke stores aan een account gekoppeld zullen worden en daarnaast dat het denkbaar is dat het niet mogelijk is om twee keer de overstap te maken van een onbeveiligde verbinding met een unieke id naar een beveiligde verbinding waarop aankopen gedaan kunnen worden. Mogelijk heeft Vodafone het zo geregeld dat er iedere keer een nieuwe code wordt gegenereerd.

De aanvaller kan het laatste tegengaan door de afgetapte header zelf eerst te gebruiken voordat deze doorgestuurd wordt naar het slachtoffer.

[Reactie gewijzigd door doeternietoe op 24 juli 2024 01:18]

Zumpelvelder @Firefly III18 augustus 2015 12:23
zoals Woy zegt: met een MitM attack het id uitlezen en vervolgens op je eigen (niet telefoon) verbinding injecteren. Als bijvoorbeeld BlackBerry store dat id dan onthoud, dan gaat het toch fout, of begrijp ik het verkeerd?

Toevoeging:

En als dat id slechts iedere sessie opnieuw gegenereerd wordt, waarbij ik aan neem dat het de internet sessie betreft met de telefoon toren, dan krijgt iedere website dezelfde code. Dus als je een dubieuze ringtone verkoop site wordt, dan kun je die id's makkelijk er uit vissen en daarmee dingen kopen in de BlackBerry store. (denk ik)

[Reactie gewijzigd door Zumpelvelder op 24 juli 2024 01:18]

Kees BOFH @Zumpelvelder18 augustus 2015 12:33
Toen ze die header nog naar iedereen injecten was hij met elke request verschillend. Je kon dus niet een gebruiker ermee volgen.
Juup @Kees18 augustus 2015 14:04
"Maar die werd elke sessie opnieuw gegenereerd", zegt Galema
Sessie != Request
Kees BOFH @Juup18 augustus 2015 14:17
Voor een internetprovider is elke nieuwe connectie een sessie. Per connectie kun je inderdaad meerdere requests doen, maar alleen de eerste request kreeg de header mee iirc.

En als je keepalive uitzet dan is request = sessie vanuit het oogpunt van de provider.
Woy Moderator PRG/SEA @Blubber18 augustus 2015 11:55
Inderdaad, en dus is het ID ook uit te lezen d.m.v. een MitM attack, en dus kan iemand die de verbinding af kan luisteren dus ook op jouw kosten betalingen doen op de sites waar hij het verkeer van afluistert. Tevens zie ik in het bericht niet duidelijk terug dat er per host verschillende id's gebruikt worden ( Er wordt aangegeven dat er per sessie een ander ID gebruikt wordt, maar als dat per data-sessie met de mast is, dan zou het dus kunnen zijn dat het ID ook te gebruiken is bij sites die jij niet eens bezoekt ).
t1mmy 18 augustus 2015 11:36
Tot dit voorjaar stuurde Vodafone overigens wél een acr-code naar alle websites mee. "Maar die werd elke sessie opnieuw gegenereerd", zegt Galema. Dat is overigens nog steeds zo op websites die de code wel ontvangen.
Goed om te zien dat dit een weloverwogen keuze is geweest waarbij gedacht is aan de privacy van de gebruiker, mag ook eens gezegd worden :) Een advertisement platform wie dan ook kan je dus nooit tracken aan de hand van deze header, want zelfs al zou de website die je bezoekt de header binnen krijgen, dan zou hij voor elk request anders zijn. Prima, lijkt mij

[Reactie gewijzigd door t1mmy op 24 juli 2024 01:18]

Zarc.oh @t1mmy18 augustus 2015 11:44
Goed om te zien dat dit een weloverwogen keuze is geweest waarbij gedacht is aan de privacy van de gebruiker, mag ook eens gezegd worden :)
Waar is het bewijs dat ze aan je privacy denken?
Een advertisement platform wie dan ook kan je dus nooit tracken aan de hand van deze header, want zelfs al zou de website die je bezoekt de header binnen krijgen, dan zou hij voor elk request anders zijn. Prima, lijkt mij
Vodafone weet van iedere header bij welke abonnee dit hoort:
We doen het alleen bij partijen met wie we een billing-relatie hebben
edit:
Dubbel haakje verwijderd

[Reactie gewijzigd door Zarc.oh op 24 juli 2024 01:18]

t1mmy @Zarc.oh18 augustus 2015 11:47
Waar is het bewijs dat ze aan je privacy denken?
Nergens. Maar het resultaat heeft wel gevolgen voor privacy, in goede zin. Daarnaast, waarom zouden ze anders elke keer een unieke header genereren? In feiten is het niet 100% noodzakelijk en zorgt alleen maar voor meer overhead.
Vodafone weet van iedere header bij welke abonnee dit hoort:
Vodafone heeft die header niet nodig om te weten welk request van welk abonnee komt. Mijn punt is dat andere bedrijven niet die header kunnen gebruiken om je overal te traceren
Zarc.oh @t1mmy18 augustus 2015 12:11
Het heeft gevolgen in de zin dat er minder gevolgd kan worden, maar het kan nog steeds, ongevraagd. Daarnaast blijf je nog steeds aannames doen dat een unieke header niet noodzakelijk is.
Laat ik het eens omdraaien, als ze overal dezelfde header invoegen, waarom zou Vodafone het dan uberhaupt doen? Dan heeft dat net zoveel nut als helemaal geen header invoegen omdat het toch overal hetzelfde is. Vodafone weet immers ook op welke websites het wordt ingevoegd, dus kun je ook alle websites waarop het van toepassing is en je bezocht hebt, bijelkaar optellen en dat is net zo nuttig als overal dezelfde header invoegen.
GORby @Zarc.oh18 augustus 2015 14:08
Nee, eigenlijk niet...

Telkens wanneer je met je mobiel via vodafone met een andere server verbindt, is dat een nieuwe sesse, dus met een nieuwe ID. De sites onderling kunnen dus door die ID niet weten of je op die andere sites ook al geweest bent, en kunnen je daardoor dus ook niet tracken. Ze kunnen alleen tegen vodafone zeggen: sessie ID xyz heeft aankoop abc gedaan voor 123 euro (via ip adres aaa.bbb.ccc.ddd), zodat dat mooi gefactureerd wordt door vodafone.

De enige die je kan tracken is vodafone zelf, en aangezien je hun netwerk gebruikt, hebben ze daar die ID's ook echt niet voor nodig. De enige manier om je daartegen te beschermen, is een beveiligde verbinding gebruiken (https, of via een VPN).
BRAINLESS01 @t1mmy18 augustus 2015 11:43
Inderdaad, dit is helemaal geen negatief nieuws (hoewel het wel zo ingestoken is). Vodafone heeft wel nagedacht en gebruiken het alleen om daadwerkelijk functionaliteit toe te voegen (kopen via telefoonrekening). Zelfs de partners kunnen met die unieke code per request helemaal niets.
Woy Moderator PRG/SEA @t1mmy18 augustus 2015 11:45
[...]
Een advertisement platform wie dan ook kan je dus nooit tracken aan de hand van deze header, want zelfs al zou de website die je bezoekt de header binnen krijgen, dan zou hij voor elk request anders zijn. Prima, lijkt mij
Nee het zal zeker niet voor elk request anders zijn. Zoals ze hier aangeven is dat voor elke sessie anders. Ik neem aan dat ze hier een data-sessie op het 3g/4g netwerk bedoelen. En dan blijft het dus wel over een periode gelijk. Maar ze kunnen je inderdaad niet over langere tijd tracken.

Het is wel interessant om te weten of het ID ook over verschillende hosts hergebruikt wordt, of dat het per host een ander ID is. Anders is het dus ook mogelijk om je over verschillende sites te tracken.

[Reactie gewijzigd door Woy op 24 juli 2024 01:18]

Iftert 18 augustus 2015 11:39
Dus ze gebruiken het alleen om het afrekenen te vergemakkelijken bij bepaalde bedrijven? Ik ga er dan even vanuit dat Vodafone hier geen misbruik van maakt. Maar zijn dit soort "cookies" nu ook niet te makkelijk te misbruiken door 3e partijen?
Martindo @Iftert18 augustus 2015 11:41
Het maakt het mogelijk aankopen te doen in een BlackBerry Store en de rekening via je mobiele abonnement te laten verlopen. En dat is mogelijk door deze asid-header mee te sturen (ofwel, te injecteren). Ik zie niet echt in hoe je deze code kunt misbruiken.

[Reactie gewijzigd door Martindo op 24 juli 2024 01:18]

Mrjraider 18 augustus 2015 11:39
Ik ga er vanuit dat dit dus alleen maar op hun netwerk gebeurd dus als je toevallig je webmail bekijkt via de LTE o.i.d. Dus op zich valt de inbreuk wel mee. Aangezien veel gebruikers verschillende applicaties gebruiken voor mail, Facebook etc. waar, zoals ik uit het bericht haal, geen code meegestuurd word.
Martindo @Mrjraider18 augustus 2015 11:44
Je verbind met een server buiten het vodafone netwerk, dus ik ga er van uit dat je wel een punt hebt dat je buiten het Vodafone netwerk zit.
herbalx 18 augustus 2015 11:47
Denk aan de applicatiewinkel van BlackBerry, of aanbieders van ringtones." In dergelijke gevallen wordt de header meegestuurd, zodat klanten via hun telefoonrekening aankopen doen.
De vraag is of dit wel wenselijk is.

Persoonlijk wens ik helemaal geen aankopen via mijn telefoonrekening bij een derde partij te doen.

In het verleden heb ik voldoende mensen voorbij zien komen die allerlei "diensten" of "aankopen" op hun rekening terug zagen komen terwijl dit nooit bewuste keuze was van deze mensen. Bijv. doordat men perongeluk een adverntie had aangeraakt.

In mijn optiek zou het dan ook een stuk wenselijker zijn om het versturen van een ASID-header standaard uit te schakelen en deze alleen per dienst of dienstverlener in te schakelen. Derhalve zie ik het het injecteren van een ASID-header als ongevraagde manipulatie van mijn internet verkeer.
Firefly III 18 augustus 2015 12:08
Overigens is het natuurlijk dikke vette onzin dat Vodafone je volgt "met supercookies".

Vodafone is notabene de netwerkprovider. Ze leveren alles, de complete verbinding van onderen tot boven. Afgezien van https verkeer is het voor Vodafone echt helemaal niet nodig om headers te injecteren of supercookies te plaatsen of ander primitief geneuzel. Ze weten wie je bent, ze hebben je IMEI, je zit op de masten van Vodafone en je gebruikt een simkaart van... Vodafone!

Waarom zouden ze daar bovenop nog cookies en headers gaan zitten doen?
CAPSLOCK2000
18 augustus 2015 15:36
Nee, het valt niet mee, het had erger gekund, maar ik vind dit niet de plek voor verzachtende woorden. Wat Vodafone doet is al erg genoeg.

Een provider moet zo'n handen thuis houden en niet met z'n vingers aan het verkeer van de klanten gaan zitten. Gewoon niet doen, afblijven! Internetverkeer is prive, daar blijf je vanaf, ongeacht het doel.

Als ik een brief schrijf dan mag de postbode die toch ook niet open maken om er wat bij te schrijven? Of de postbode nu een relatie heeft met de ontvanger of niet maakt niet uit. Het is zijn werk om brieven te vervoeren, niet om ze te veranderen.

Tijd voor wetgeving om de positie van ISPs te regelen. ISPs proberen zo veel mogelijk te verdienen door klantinformatie te verkopen. Dat snoepen van twee walletjes vind ik maar niks zeker als het achter de rug van de klanten om gaat. Als klant weet je niet eens dat dit gebeurd en dan kun je ook niet weigeren of naar een andere aanbieder overstappen. Wat mij beterft wordt het helemaal verboden en moeten ISP's één ding doen: internet toegang verzorgen. Niks geen gedoe met "toestemming" vragen want dan hebben we zo het volgende cookiewetfiasco waarbij mensen gedwongen worden om blind toestemming te geven voor lange lappen juridische tekst.
kdekooter 18 augustus 2015 11:33
Dus: in bepaalde gevallen voegt Vodafone ongevraagd eigen HTTP headers toe aan jouw request.
RobinF @kdekooter18 augustus 2015 11:37
Dus: in bepaalde gevallen voegt Vodafone ongevraagd eigen HTTP headers toe aan jouw request. zodat jij (bijvoorbeeld) aankopen kan doen in de BlackBerry Store met je mobiele abonnement
MadEgg @RobinF18 augustus 2015 11:41
Heel aardig van ze, maar dat zouden ze me natuurlijk ook gewoon kunnen vragen als ik de BlackBerry Store bezoek. Ik zou me zo kunnen indenken dat dat via een soort van oauth systeem best kan; de BlackBerry store vraagt mij om mijn mobiele provider, doet een verzoek aan bijvoorbeeld Vodafone oAuth. Vodafone kan ongetwijfeld op basis van mijn mobiele IP-adres bepalen welk telefoonnummer / abonnee daarbij hoort en vervolgens BlackBerry laten weten dat de aankoop via de telefoonrekening gedaan kan worden.
Kees BOFH @MadEgg18 augustus 2015 11:48
Nee dat kan vodafone niet op basis van jouw IP adres. Vodafone gebruikt 255 adressen voor hun miljoenen klanten. De enige manier die vodafone heeft om jouw te authenticeren is door een header te inserten voordat je het internet opgaat.

Nu is het vast ook wel mogelijk om dit anders op te lossen, maar dit is verreweg de makkelijkste oplossing die ook nog eens veilig is; de gebruiker kan niet zelf dingen veranderen. De ontvanger kan toch niets met die header (ja, ik heb ernaar gekeken toen ze die header nog naar alle sites stuurden). Het enige is dat je weet dat die gebruiker een vodafone abonnee is. Maar die conclusie kon je toch al trekken uit het IP adres.
MadEgg @Kees18 augustus 2015 12:01
255? Really? De nood is echt hoog met de beperkte IPv4-adresruimte blijkbaar! Dan wordt het wel wat lastiger ja.

Ach, mij maakt het verder niet zoveel uit, ik heb een VPN van mijn telefoon naar mijn server in een datacentrum ingesteld dus al het verkeer is al ruim voordat het bij mijn provider (geen Vodafone overigens) aankomt versleuteld, dus er kan ook niet mee gerommeld worden. De reden dát ik dat doe is wel argwaan naar de providers, aangezien ze in het verleden ook al aardig wat niet al te beste beurten bij mij gemaakt hebben.
Kees BOFH @MadEgg18 augustus 2015 12:03
Ze zullen er vast ewl meer hebben, maar het gros van de vodafone klanten komt via 62.140.132.0/24
FreshMaker
@Kees18 augustus 2015 13:12
KPN en VF ( en TM vast ook wel ) werken met een interne NAT, ik zag voorheen op mijn (oude) VF account regelmatig een 10.x ipadres, terwijl mijn server thuis mijn bezoek had gelogd inderdaad met een 62.x adres

KPN voert hetzelfde trucje uit, want ik kan geen directe incoming FTP opzetten over mijn 4G verbinding naar mijn telefoon.

Niets mis mee overigens, een groot deel van de wereld heeft geen 'eigen' IPadres meer, maar het nat-verhaal van hun ISP
255? Really? De nood is echt hoog met de beperkte IPv4-adresruimte blijkbaar! Dan wordt het wel wat lastiger ja.

Ach, mij maakt het verder niet zoveel uit, ik heb een VPN van mijn telefoon naar mijn server in een datacentrum ingesteld dus al het verkeer is al ruim voordat het bij mijn provider (geen Vodafone overigens) aankomt versleuteld, dus er kan ook niet mee gerommeld worden
Versleuteld ja, maar niet perse door of ondanks jouw VPN gebruik, want je gebruikt jouw telefoon als toegang NAAR de vpnserver.
Dus er is al een stukje wat buiten jouw macht verloopt.
Er zal altijd een verbinding opgebouwt moeten worden, tussen jou en jouw server

[Reactie gewijzigd door FreshMaker op 24 juli 2024 01:18]

Kees BOFH @FreshMaker18 augustus 2015 13:14
Dat weet ik, het leek mij redelijk obvious.

Wat ik wel vreemd vind is dat vooral mobiele providers nog niet op grote schaal ipv6 uitrollen, want juist de mobiele providers zijn degene die trucs moeten toepassen om klanten internet te bieden..
FreshMaker
@Kees18 augustus 2015 13:17
Dat weet ik, het leek mij redelijk obvious.

Wat ik wel vreemd vind is dat vooral mobiele providers nog niet op grote schaal ipv6 uitrollen, want juist de mobiele providers zijn degene die trucs moeten toepassen om klanten internet te bieden..
Jij weet dat, maar de opmerking van Madegg maakt duidelijk dat er toch gebruikers zijn die denken dat ze echt een één op één verbinding hebben met de buitenwereld.

IPv6 zou inderdaad veel problemen oplossen, voor hen ( en ons )
Kees BOFH @FreshMaker18 augustus 2015 13:30
IPv6 zou onder andere oplossen dat men deze header niet meer hoeft mee te geven en dat elke website gewoon netjes de mobiele telefoons kan tracken via het IP.

Dat maakt de ophef van sommige mensen hier ook wat vreemd; bij een 'normale' internet verbinding heb je al een 'magic nummer' om iemand mee te tracken, namelijk het IP adres.
Armin @Kees18 augustus 2015 20:08
en dat elke website gewoon netjes de mobiele telefoons kan tracken via het IP.

Of dat 'netjes' is weet ik niet O-) maar dat kan niet met IPv6 want jouw telefoon zal niet de hele tijd hetzelfde IPv6 adres gebruiken ivm privacy extensies. Juist om tracken te voorkomen ...
Kees BOFH @Armin18 augustus 2015 21:41
Maar dat is net zo 'erg' als de header van vodafone. Die wisselt ook per sessie/request.
Armin @Kees18 augustus 2015 22:01
Alleen heeft Vodafone geen weet/controle over mijn IPv6 adres. Die verandert namelijk niet alleen per sessie/request, maar ook binnen een sessie/request.

Vele mensen denken dat bij IPv6 je een wereld-uniek IPv6 adres krijgt. Dat is echter niet zo. Jouw PC/telefoon krijgt een range waarin ze zelf het IP kunnen samenstellen. De privacy extensies van IPv6 maken hiervan gebruik door binnen een sessie van IP te wisselen zodat er niet getracked kan worden.

Ik zeg overigens ook niet dat de header van Vodafone 'erg' is. Alleen wel dat het gebruik van IP nummers om te tracken niet gaat werken.
FreshMaker
@Kees18 augustus 2015 13:40
De meesten reageren blind als een stier op de rode lap.
Provider + Privacy = Bad
Vanaf die stelling kun je niets meer redden in het verhaal, net zoals je momenteel in elk Windows 10 artikel privacyissues hebt
Armin @FreshMaker18 augustus 2015 20:12
Versleuteld ja, maar niet perse door of ondanks jouw VPN gebruik, want je gebruikt jouw telefoon als toegang NAAR de vpnserver.
Dus er is al een stukje wat buiten jouw macht verloopt.
Er zal altijd een verbinding opgebouwt moeten worden, tussen jou en jouw server

Wellicht dat ik jouw opmerking verkeerd begrijp, maar de hele route is versleuteld van telefoon door Vodafone APN, tot aan zijn server. Dus het is versleuteld door zijn VPN gebruik.

Het opzetten van de verbinding is uiteraard nodig maar daarbij vind geen normaal gebruikers verkeer plaats. Zijn website bezoek is dus volledig annoniem en versleuteld. Keerzijde is dan ook dat hij geen ringtones of zo kan kopen bij die Blackberry en dergelijke websites.

Maar dat zal bij gewoon WiFi gebruik dan waarschijnlijk ook niet kunnen.
McVirusS @RobinF18 augustus 2015 11:43
Hmm, zou dat niet enorm fraude gevoelig zijn? Je kan in principe natuurlijk gewoon ook zelf headers injecteren bijvoorbeeld.
kw4h @kdekooter18 augustus 2015 11:47
Mijn loadbalancer voegt ook ongevraagd eigen headers toe aan HTTP requests, en zelfs bij HTTPS als de loadbalancer dat offloadt. Je statement is een beetje overtrokken.

In principe komt het er op neer dat ze een overeenkomst hebben met bepaalde partijen zodat jij direct via je telefoonrekening iets kan afrekenen. Die andere partij heeft iets nodig om je te identificeren, en dat is in dit geval een of andere 'anoniem' (voor zover we dat kunnen beoordelen) token. Of de oplossing netjes is of niet daargelaten, is het nu wel fijn dat het niet meer naar alle websites wordt doorgestuurd zoals voorheen.

Nu vraag ik me wel af hoe goed dat token wordt gecontroleerd. Als zo'n token het enige is om iets mee af te rekenen, kan ik dan wat afrekenen op een ander mobiel abonnement door gewoon die header te injecteren?
Armin @kw4h18 augustus 2015 20:14
Als zo'n token het enige is om iets mee af te rekenen, kan ik dan wat afrekenen op een ander mobiel abonnement door gewoon die header te injecteren?

Dat vroeg ik mij ook af, en het lijkt erop van wel. Maar dat token is dus uniek per sessie, dus heb je als aanvaller maar beperkt de kans.
FreshMaker
18 augustus 2015 11:44
Het is echt tijd dat de zomervakanties eindigen, het 'nieuws' op de "grote" pagina's wordt steeds spannender.

Natuurlijk 'volgt' een provider jouw stappen, het probleem is echter meer WAT doen ze er mee, en hoe diep "lezen" ze mee.
Persoonlijk heb ik een vertrouwensrelatie met mijn provider, dus alles wat ik via hun verbinding doe, zullen ze kunnen oplepelen, en gebruiken.
Maar .... ik ga er van uit dat men het ( zoals ze aangeven) alleen gebruiken om de diensten te verbeteren.
Naief, ja ... dat weet ik ook wel, en er is meer tussen diensten en dataverzamelingswoede.
Dat een provider ( maakt niet uit welke ) het kan, is gewoon een technisch gegeven, ik heb meer moeite met externe partijen die tracking doen, terwijl ik technisch niets van hen wil gebruiken ( doubleclick, disquss, facebook en who ever more )
Daarom gebruik ik een addblocker / Ghostery, ik blokkeer zoveel mogelijk, en als de site in kwestie daar iets tegen heeft, blokkeren ze mij ook maar.

Maar dit soort berichten op supercookies hebben ons al de cookiewall en hetze gebracht, en kosten alleen maar meer investeringen op pagina's

[Reactie gewijzigd door FreshMaker op 24 juli 2024 01:18]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq