Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 169 reacties
Submitter: vampke

Advocaten van Facebook stellen in het slepende proces met de Belgische privacycommissie dat het datr-bestandje, een al lang omstreden tracking-cookie, 'cruciaal' is voor de beveiliging van het sociale netwerk.

Eind januari probeerden advocaten van Facebook het in november 2015 uitgesproken vonnis al ongeldig te verklaren omdat er Engelse woorden in staan, zoals 'browser' en 'cookie'. De rechter beval Facebook in november te stoppen met het tracken van niet-ingelogde gebruikers of niet-leden die geen uitdrukkelijke toestemming hebben gegeven voor het plaatsen van het datr-bestand.

Facebooks advocaten stonden woensdag in het Brusselse hof van beroep tegenover die van de Belgische privacycommissie. Een advocaat van het netwerk liet zich ontvallen dat 'het wel lijkt alsof de privacycommissie een vendetta voert tegenover Facebook', schrijft De Tijd. Het bestandje zou onder andere nodig zijn voor de beveiliging van het platform en niet overeenkomen met een persoon, maar 'met een browser'. Het is niet duidelijk of de advocaten zijn ingegaan op technieken als browser fingerprinting.

Het identificeren van de browser zou ervoor zorgen dat een persoon niet zelf gevolgd wordt. De functie zou detecteren of een browser onderdeel is van een ddos-aanval op de servers van de socialemediagigant. Ook vindt Facebook dat het onderzoek, dat Belgische wetenschappers uitvoerden in opdracht van de privacycommissie, niet deugt. De advocaten van Facebook zouden het rapport hebben afgedaan als 'niet echt betrouwbaar' en 'met een tendentieuze titel'. Ook zijn de advocaten van mening dat de Belgische privacycommissie het rapport 'klakkeloos heeft aanvaard'.

Wat de reactie is van de advocaten van de privacycommissie is nog niet bekend. Het horen van die advocaten zou woensdag in de namiddag beginnen.

Moderatie-faq Wijzig weergave

Reacties (169)

Leuk verhaal van Facebook, maar het identificeren van browsers heeft natuurlijk ook als functie om browse-gedrag vast te leggen ten behoeve van advertenties. Niet alleen facebook doet dit, bijna ieder advertentie-netwerk doet het. Het probleem is hier de koppeling met de persoon die weldegelijk te maken is als je bent inlogd. Het is de reden dat ik nooit in een browser zal inloggen op facebook. Apps zijn hierin veel privacy-vriendelijker. Dat facebook graag wil dat je inlogt in de browser blijkt als ze vanuit de app soms met de notificatie komen om in de browser in te loggen voor een betere "facebook experience". Onzin natuurlijk, het gaat ze puur om de extra tracking-informatie.

Het probleem heeft natuurlijk een technische grondslag. In websites is het mogelijk functionaliteit vanuit een ander domein toe te voegen. Facebook doet dit middels de like-button en advertentienetwerken doen dit via banners. Het is niet voor niets dat we steeds moeten accepteren dat een website tracking-cookies plaatst. De koppeling van het tracken aan een persoon is echter iets wat een gemiddeld advertentienetwerk niet kan en Facebook wel.

Oplossing: weiger cookies van facebook en gebruik facebook alleen vanuit apps en verder zou ik wensen dat de EU BelgiŽ hierin zou steunen, want Facebook weet het mooi te brengen, maar het is wmb niet meer dan logisch dat we kritisch en oplettend blijven.
Facebook blokkeert vrijwel alle bezoek met page overlays als je niet bent ingelogd. Dat is alleen maar de wens naar tracking-data. Ik hoop dat Belgie volhoudt en wint, en dat kleinere partijen met hun sites van Facebook migreren, want als facebookloze internetter is het soms niet eens meer mogelijk om bepaalde info te verkrijgen. Privacy-onvriendelijke zooi.

[Reactie gewijzigd door incaz op 2 juni 2016 12:10]

Dus je weigert om een telefoonabonnement te kopen en gaat vervolgens klagen dat niemand je opbelt? .... wat een onzin zeg.

De 'buitenwereld' gaat nou eenmaal verder. Dat anderen wťl communiceren via Facebook en jijzelf niet is niet de schuld van die anderen. Als je er bewust voor kiest om die 'bepaalde info' niet te krijgen, is dat je eigen pakkie-an. Niet de schuld van een ander.

Ik heb een schoonzus die bewust niet in de whatsapp-groep van de rest van de familie wil, maar wťl van alles op de hoogte wil blijven. Iedereen zet dus constant alles in de Whatsapp groep voor de rest, en moet haar nog apart gaan appen met dezelfde info. Da's toch domweg onnozel? Als je nergens van op de hoogte wil blijven, prima - maar dat is nog altijd een doelbewuste keuze van jezelf, niet die van een ander.
Nee. Ik reageer erop dat verenigingen, organisaties en bedrijven hun informatievoorziening steeds meer via facebook hebben laten lopen, alleen dat dit nu geen vrij toegankelijk platform meer is.

De analogie is meer dat ik wel een telefoonnummer heb waarop mensen mij kunnen bereiken, net als een brievenbus en een mailadres trouwens, maar dat ik er desondanks geen gebruik van kan maken als ik niet een afluisterapparaatje op mijn tel installeer, of een kopietje van alles wat ik in mijn brievenbus vind doorstuur naar een andere partij om hen toegang te geven tot alles wat ik lees en bekijk.

Nogmaals: de aanbieders van de informatie hebben hun informatie vrij toegankelijk gemaakt en hun instellingen zo gezet dat iedereen de informatie zou moeten kunnen bekijken.
Facebook blokkeert het echter desondanks toch met allerlei overlays de toegang voor niet-ingelogde gebruikers. En dat doen ze puur als chantage.

Juist omdat facebook een centraal platform is geworden dat niet meer slechts een individuele dienst is maar een defacto monopolie, is dat een groot probleem. Het is ondermijnend aan al die regels die we ooit hebben bedacht voor vrijheid. Maar de oplossing lijkt me, naast dat ik facebook van harte elke schadeclaim en rechtzaak gun, ook dat de partijen die facebook gebruiken als platform om hun informatie te delen, een beter en vrijer alternatief krijgen, en leren waarom het belangrijk is om die vrijheid ook te eisen.
Je bent hartstikke vrij om een Facebook account te maken (en zelfs om dat vervolgens helemaal dicht te spijkeren en niks mee te doen behalve verenigingen, organisaties en bedrijven te volgen/benaderen).

Veel bedrijven zitten (gelukkig) ook nog steeds op Twitter. Dat is net zo vrij en gratis. En webcare is tegenwoordig doorgaans uitstekend; ze zijn als de dood voor negatieve publiciteit. Zelfs PostNL kun je binnen 30 minuten 'aan de lijn' hebben als het moet.

Maar goed, ik heb sinds 2009 oid. Facebook en vind het een ideaal platform. Zelf nooit last gehad dat Facebook inzage in iets heeft wat ik ze niet met m'n volle verstand toevertrouwd heb. Ik heb een aantal diensten die ik 'via Facebook' inlog. Werkt uitsteekbaar.
Hoe ben ik dan vrij? Facebook traceert mij dan, mijn bezoeken over de verschillende onderwerpen heen. Ik ben niet bang voor meelezers, ik ben bang voor Facebook.
Veel gegevens die typisch alleen op facebook te vinden zijn, zijn bv openingstijden en locatiegegevens van evenementen.

Maar het geeft Facebook behoorlijk wat informatie als ze met 1 account een buurtbijeenkomst, een politieke demonstratie en een lotgenotengroep naast elkaar hebben. Dat wordt behoorlijk traceerbaar en het gaat ze echt helemaal niet aan.

De vrijheid om een account aan te maken om allerlei informatie te bekijken die de publiceerders van die informatie bedoeld hadden als openbaar, is GEEN vrijheid.
Dat laatste is dan ook niet de schuld van Facebook, maar van het bedrijf dat doelbewust onbereikbaar wil zijn!

DŠŠr moet je het onderscheid maken. Bedrijven die bestaan bij de gratie van Facebook (je zal je businessmodel daar maar op gebaseerd hebben...) gaan vanzelf wel over de kop op die manier. Dat is echter aan hunzelf te wijten.

Bedrijven die Facebook, Twitter, noem maar op inzetten als tool om effectiever te communiceren, dŠt soort bedrijven moet je mee in zee willen. En met 'effectief communiceren' bedoel ik dat ze ťn telefonisch, ťn per mail, ťn liefst persoonlijk bereikbaar zijn. En dit ook duidelijk en consequent bijhouden.
Natuurlijk is dat wel de schuld van Facebook. Daar leggen ze immers bewust op toe. Het Is ook iets waar we als rest van de maatchappij bij stil moeten staan, maar het is eerst en vooral natuurlijk echt Facebook die de inbreuk maakt.

Verder denk ik dat je niet helemaal begrijpt waar het om gaat. Het gaat nadrukkelijk niet om interactie. Facebook is ook een vervanger geworden voor de 'nieuws'pagina van websites. Veranderlijke informatie, zoals openingstijden of speciale gelegenheden (denk aan sportevenementen, thema-avonden van het buurthuis, een optreden in de kroeg), die nadrukkelijk openbaar bedoeld is, wordt tegenwoordig vaak via Facebook geplaatst.

Dat is begrijpelijk. Facebook is makkelijk om te plaatsen en het bood een veel betere combinatie van informatie die zowel naar je volgers gaat als openbaar is. Voor informatie aan geinteresseerden had je bv de mailinglists, voor publieke informatie moest je het op de website aanpassen, en uiteindelijk was dat vooral heel omslachtig.

Facebook bood een oplossing die beide combineerde, op een makkelijke manier.

Maar nu wil Facebook alles van iedereen weten. En dus ondermijnen ze - stiekem, want het wordt niet aangekondigd aan die bedrijven - het openbare deel ervan. Dat is een probleem, omdat het de andere informatiekanalen heeft verdrongen en nu manipulatief eigen eisen gaat stellen. En zoals gezegd, dat is tamelijk ingrijpend, want met interesse voor de buurtvereniging, de kroeg om de hoek en bv je werkgever heeft facebook al een heel aardig idee wie je bent. Maar ze weten ook dat je gezocht hebt naar een lotgenotengroep voor incestslachtoffers, of andere hele gevoelige prive-zaken.

Bedrijven moeten aangemoedigd worden om publieke informatie weer op een onafhankelijke plek neer te zetten. Maar het is Facebook die hier doelbewust de boel loopt te manipuleren.
Ach het feit dat ze over termen in het Engels beginnen die niet Belgisch zijn noemt men: ant-fucking

Het is het typisch verhaaltje van een amerikaanse bedrijf, hun doen alles goed en al het andere onderzoek deugt niet.
Het is het bekende draaiboek om de boel te vertragen. Scripts schrijven zijn ze heel goed in en voor hun loopt deze rechtszaak volgens een script, met het doel vertragen vertragen, beetje toegeven, terugnemen, vertragen, uitspraak, hoger beroep, vertragen en zo zijn we een paar jaar verder.

Misschien ligt het aan mij dat noem ik evil gedrag en faceboek is en blijft evil, net als google en nog meer van dat soort bedrijven.
Ik wist niet dat er mensen waren als ik, die een geweldig sociaal leven lijden zonder Facebook en whatsapp.

(Wel telegram)
Ach ja dat is de marketing hť. Je sociale leven wordt opeens prachtig als je een account aanmaakt bij Facebook.
Je wist het niet omdat je zonder Facebook moeilijk contact onderhoudt met mensen...grapje! Ik gebruik het zelf wel, maar ik steun abstinenten, het is een kutbedrijf.
en gebruik facebook alleen vanuit apps
Heb jij enig idee hoeveel permissions Facebook heeft? Ik durf dat echt niet aan als app.
Android 6 is tegenwoordig aan te raden en anders IOS dan kan vrijwel elke permissie uit.

Mocht je vastzitten aan een oudere versie van Android kijk dan ook naar het Xprivacy framework, hier is wel root toegang voor vereist maar het werkt ideaal.
Of gooi die app eraf en gebruik de mobiele website van Facebook, dat scheelt ook al een hoop permissions.
Lees 84Hannes zijn reactie eens door. Facebook wil juist dat je de mobiele site gebruikt.
Nee, dat Facebook dat wil is een subjectieve interpretatie van 84Hannes.

Mijn ervaring is namelijk omgekeerd: De hele tijd op de website wordt je bestookt met verzoeken om de app te installeren.

Wat kan de app tracken dat de browser doorgaans niet kan:
-Locatie, ook op de achtergrond,
-WiFi status,
-Alle telefoonnummers op je telefoon, dus ook van mensen zonder FB, zodoende kunnen ze een database opbouwen van telefoonnummers van mensen zonder FB
-Microfoon / camera aanzetten, ook zonder toestemming.
-Kalender toegang, dus ook wat je buiten FB om plant,
-Al je SMSsen lezen
-Toegang tot alle foto's / bestanden.

Met de app spitten ze dus mijn hele telefoon af, met de browser alleen de browser.

Ze geven aan dat die permissies alleen voor specifieke functionele zaken gebruiken en je privacy respecteren, maar als je de letterlijke toestemmings tekst leest hebben ze toegang tot alles op je telefoon. Daarom proberen ze ook de apps door je strot te duwen.

Dus wat levert u liever in: Alle privacy gevoelige data van internet pagina bezoek, of die van de hele telefoon? Kies maar.

Ik gebruik nooit de app daarom, alleen browser.

Liefst wil FB allebei : dat je de app EN de website gebruikt, dubbel feest voor hun, daarom maken ze vanuit allebei reclame naar elkaar kennelijk.
Voor die permissies moet je wel toestemming geven, en een app die je microfoon aan mag zetten zonder toestemming ben ik nog niet tegengekomen.
Begrijpelijke reactie, laat ik me nader verklaren:

Ik leg mijn hoofd op een hakblok en teken permissie voor de beul om mijn kop eraf te hakken. Ik uit vervolgens publiek mijn zorgen dat mijn kop eraf wordt gehakt.

Nu heeft de beul beloofd niet mijn hoofd eraf te hakken, en in de voorbeelden van wat de beul wel met mijn toestemming gaat doen, staat niet expliciet genoemd dat de beul mijn kop eraf kan hakken. Dus u zegt dat ik zwets, waarin u objectief gezien vervolgens 100% gelijk heeft. Denkt u dat ik hierdoor minder zorgen heb?

De beul heeft vervolgens de technologische middelen mijn kop eraf te hakken, bijvoorbeeld een bijl. Net zoals het op iPhone OS technisch mogelijk is, nadat eenmalig toestemming is gegeven de microfoon te gebruiken, deze op de achtergrond aan te laten staan (zonder voortdurende toestemming).

U bent goed van vertrouwen en gelooft de beul op z'n blauwe ogen dat hij u beloofd heeft niet te doen waarvoor hij geld verdient. Uw goed recht, en blij dat er nog mensen op de wereld zijn die andere mensen vertrouwen. Ik blijf liever paranoide.

[Reactie gewijzigd door kidde op 3 juni 2016 15:26]

Als blijkt dat Facebook iets met die microfoon doet zonder mijn permissie, zijn ze aan de beurt.

Maar dat is tot op heden niet gebeurd.
En die app trackt je minder dan de mobiele website? Een app is net nog onzekerder qua (afluister/tracking)techniek dan een browser.
De app heeft geen mogelijkheid om je te tracken buiten de app om. Door aan te melden op de website krijg je een cookie die er voor zorgt dat je getracked kan worden buiten facebook om.
De app heeft geen mogelijkheid om je te tracken buiten de app om.
*Kuch* O-)
Behalve dan toegang tot je:

Device & app history:
  • retrieve running apps
Identity:
  • find accounts on the device
  • read your own contact card
  • add or remove accounts
Calendar:
  • add or modify calendar events and send email to guests without owners' knowledge
  • read calendar events plus confidential information
Contacts:
  • find accounts on the device
  • read your contacts
  • modify your contacts
Location
  • precise location (GPS and network-based)
  • approximate location (network-based)
SMS:
  • read your text messages (SMS or MMS)
Phone
  • read phone status and identity
  • write call log
  • read call log
  • directly call phone numbers
Photos/Media/Files
  • modify or delete the contents of your USB storage
  • read the contents of your USB storage
Storage
  • modify or delete the contents of your USB storage
  • read the contents of your USB storage
Camera
  • take pictures and videos
Microphone
  • record audio
Wi-Fi connection information
  • view Wi-Fi connections
Device ID & call information
  • read phone status and identity
Other
  • adjust your wallpaper size
  • receive data from Internet
  • download files without notification
  • control vibration
  • reorder running apps
  • run at startup
  • draw over other apps
  • send sticky broadcast
  • connect and disconnect from Wi-Fi
  • create accounts and set passwords
  • change network connectivity
  • prevent device from sleeping
  • set wallpaper
  • install shortcuts
  • expand/collapse status bar
  • read battery statistics
  • read sync settings
  • toggle sync on and off
  • read Google service configuration
  • view network connections
  • change your audio settings
  • full network access
(bron, onderin pagina onder 'Permissions' -> 'View Details')

Zieke lijst. Ik weet wel wat ik zou kiezen. Heb zelf geen FB (meer) overigens.

edit: bronnetje erbij

[Reactie gewijzigd door ThomasAH op 2 juni 2016 16:32]

Kan FB app dit op iOS ook allemaal?
Niet als je daar geen toestemming voor geeft nee. En als je die toestemming na gebruik uitzet gebeurd het ook niet meer.
En letterlijk ťlke permissie is te verklaren:

Device & app history:
retrieve running apps
--> behalve misschien deze.

Identity:
find accounts on the device
--> klopt, inloggegevens

read your own contact card
--> klopt, Messenger

add or remove accounts
--> klopt, FB-gebruikers toevoegen aan de app/Contacts lijst als je ze als Vriend accepteert

Calendar:
add or modify calendar events and send email to guests without owners' knowledge
--> Klopt, Evenementen en Verjaardagen worden toegevoegd

read calendar events plus confidential information
--> Klopt, zie hierboven. Definitie 'confidential' ontbreekt.

Contacts:
find accounts on the device
--> Toevoegen/zoeken van 'mensen die je wellicht kent'.

read your contacts
--> Zie hierboven

modify your contacts
--> Zie hierboven + sommige (Android) schillen (HTC Sense meen ik) voegen FB-informatie toe aan je Contactenlijst

Location
precise location (GPS and network-based)
--> Messenger + als je een Status update kun je locatie erbij laten zetten

approximate location (network-based)
--> Zie hierboven

SMS:
read your text messages (SMS or MMS)
--> Onlogisch, wellicht vanwege 2-factor authenticatie?

Phone
read phone status and identity
--> doet elke app

write call log
--> FB Messenger gesprekken?

read call log
--> zie hierboven

directly call phone numbers
--> FB Messenger

Photos/Media/Files
modify or delete the contents of your USB storage
--> Opslaan/lezen van foto's die je kunt posten vanuit de FB-app

read the contents of your USB storage
--> zie hierboven

Storage
modify or delete the contents of your USB storage
--> zie hierboven

read the contents of your USB storage
--> idem

Camera
take pictures and videos
--> Je kunt een foto direct vanuit de FB-app maken ja.

Microphone
record audio
--> FB Messenger

Wi-Fi connection information
view Wi-Fi connections
--> Locatiebepaling + niet onnodig streamen van videos wanneer je met Wifi verbonden bent

Device ID & call information
read phone status and identity
--> Al eerder genoemd, doet elke app

Other
adjust your wallpaper size
--> ?
receive data from Internet
--> joh.
download files without notification
--> ?
control vibration
--> Meldingen/notifications

reorder running apps
run at startup
draw over other apps
send sticky broadcast
connect and disconnect from Wi-Fi
create accounts and set passwords
change network connectivity
prevent device from sleeping
set wallpaper
install shortcuts
expand/collapse status bar
read battery statistics
read sync settings
toggle sync on and off
read Google service configuration
view network connections
change your audio settings
full network access
--> allemaal technisch te verklaren en waarsch doet 99% van alle apps iets soortgelijks om uberhaupt te kunnen functioneren
Maar weet je zeker dat ze er niet meer mee doen dan alleen de "benodigde" functies?

Bijvoorbeeld "read your text messages" zou handig zijn als bij two-factor het automatisch gevalideerd word omdat ze de binnenkomende SMS'jes gewoon kunnen lezen.

Maar je kan er je zakgeld op zetten dat facebook ook "marketing keywords" uit je SMS'jes opslaat of telt.
Als jij iets stuurt van: "telefoon kapot" zouden ze in principe meteen via hun marketing platform allemaal telefoons aan kunnen bieden. Wellicht eentje van hetzelfde merk (want ja, die informatie hebben we ook nodig voor debuggin) etc.

Van mij hoeft dat allemaal niet hoor. Zeker niet als het mij zoveel batterij kost.
Dat maak je het probleem erger aangezien Facebook je dan op alle websites met een like button kan tracken. Tenzij je braaf steeds uit logt.
Je kunt ook Tinfoil for facebook gebruiken. Deze app gebruikt de mobiele Facebook website in een sandbox zodat er verder geen tracking mogelijk is.
Helaas lijkt Tinfoil net sinds vandaag niet meer volledig te werken. Facebook pusht mensen richting messenger en zou de berichten op de mobiele site anders afhandelen. Tinfoil stopt ermee zodra je een bericht probeert te openen.

[Reactie gewijzigd door Privateer op 2 juni 2016 14:52]

Hmm, zie het ook net ja. Dat is wel weer bijzonder irritant. Hopelijk kan de dev van tinfoil hier iets aan doen. Bijvoorbeeld de call naar de de playstore negeren. De interface voor berichten lijkt mobiel nog wel gewoon te werken.
Een alternatief voor Tinfoil kan misschien Metal zijn. Ik heb het zelf 'n tijdje gebruikt en dat werkte wel goed. Of het ook last heeft van jouw probleem, geen idee, maar je kan het proberen :)

https://play.google.com/s...ails?id=com.nam.fbwrapper
Metal heb ik ook getest, en daar werken de berichten ook niet meer. Dan krijg ik telkens een melding: check your internet connection.
Tinfoil is niet meer in active development. Er zijn al tal van andere gelijkaardige FB sandbox apps, waarvan ik deze de beste vind: https://play.google.com/s...dios.swipeforfacebookfree
Zolang ik niet op de Like button druk gebeurd er ook niks.
Dat is niet helemaal waar. Als de code voor de like button op de pagina geladen wordt kan Facebook je al tracken. Daar hoef je niets voor te doen.
Sinds gisteren opent de mobiele website het Messenger gedeelte niet meer (enkel een verwijzing naar de app...). Ik ga mijn fb vrienden via de laptop-browser vragen enkel nog een ander medium te gebruiken :)
Je kunt natuurlijk je browser opdracht geven de desktopversie van de site te laden.
Bij mij heeft Facebook geen enkele permission, op iOS.
Niet alles kan je op iOS dichtzetten, onder andere de copy/paste buffer niet. Oppassen dus als je met je wachtwoorden app zoals 1Password of LastPass een wachtwoord even copieerd.
Overigens doen meer apps dat, niet alleen de facebook app.

[Reactie gewijzigd door Myrdhin op 2 juni 2016 12:33]

Niet helemaal waar. Vanuit de Citrix-app (iOS) van mijn werk kan ik niets copy en pasten van/naar andere apps.
Dat ligt dan meer aan je Citrix applicatie dan aan iOS en is dus een bewuste keuze van Citrix om het niet te implementeren. De system-wide copy buffer is in iOS door elke applicatie op te vragen en niet door een privacy instelling te blokkeren voor bepaalde apps.
Nog nooit overna gedacht dat een app inderdaad deze buffer kan misbruiken.

Dit geld natuurlijk voor elk OS en elk applicatie of malware.

Zou iOS niet zoiets hebben waarbij je alleen de buffer kan gebruiken in de voorgrond .. Dat zou enigszins een oplossing zijn.
Voor een gedeelte.

[Reactie gewijzigd door Zezura op 2 juni 2016 13:48]

Toch toont Citrix het iOS native copy paste element... Zou dat slechts een immitatie zijn dan?
Gebruik Facebook alleen maar vanuit apps? Privacy is met apps al helemaal ver te zoeken.. Naar mijn mening een slecht advies..
Kun je dat duiden? Bij apps is tracking veel minder een issue (lees: er is niet zoiets als een third-party cookie) en kun je (in elk geval in iOS en Android >= 6.0) de permissies beperken. Ook achteraf.
Of je gebruikt gewoon geen faceboek :)
De app heeft op Android toegang tot vrijwel alles. Hoe is dat privacy vriendelijker?
Vanaf Android 6 en op iOS kun je deze permissies intrekken.
Correct, de gemiddelde gebruiker weet dit echter niet. Gemiddelde gebruiker heeft geen enkel idee dat deze settings bestaan, of hoe deze te vinden.

Persoonlijk heb ik een heel goed begrip van wat nodig is voor het puur functioneren van apps. Apps die naar mijn mening te veel toegang vragen, worden gewoon niet geÔnstalleerd. Er zijn bijzonder weinig apps die ik zomaar installeer. :D
Ongeacht het feit dat ik ze achteraf wel de toegang kan weigeren.
Ik vind het best logisch eigenlijk om eerst te kijken of je wel echt een browser aan de lijn hebt en waar wat interactie mee doen en niet een of ander script dat jouw webserver probeert te vullen met onzin zodat ie down gaat.
Ik blokkeer third-party cookies. Dat maakt mij nog geen DDoS-client.
De user agent van een browser kan je toch aanpassen? Ik gebruik een ad on dat mijn user agent randomised. Ik blokkeer ook alle trackers en verwijder automatisch cookies.
Het is niet voor niets dat we steeds moeten accepteren dat een website tracking-cookies plaatst
Jawel dat is wel voor niets. Die hele cookiewetgebing is een wassen neus doordat de regels kompleet onlogisch zijn. Nu krijg ik voor iedere scheet een melding. Zelfs tweakers kan je niet bezoeken als je niet akkoord gaat met de cookies anders werkt shit niet. Maar dat is nooit de bedoeling geweest van die wet. En dit is weer waarom de overheid zich niet te vaak moet bemoeien met ICT en als ze het wel doet moeten ze dat met een hoop externe experts doen. En niet zoals bij deze wetgeving maar gewoon wat leuks roepen.
Leuk redenatie ook: we waken over onze veiligheid (niet die van de gebruiker), gebruiken daarvoor controversiŽle middelen (tracking coockie/datr), vertellen dat niet aan de gebruiker, vragen geen toestemming, verzamelen zo informatie over niet-gebruikers, verdienen geld aan deze gegevens maar het is alleen voor de veiligheid van Facebook. Right...
We willen van iedereen DNA afnemen zodat we een aantal oude moordzaken kunnen oplossen.
En alle verzekerings premies aanpassen, checken of je wel echt de vader van je kinderen bent, je in de juiste wijk indelen op afkomst en je alvast opsluiten als je een verhoogd risico hebt op schizofrenie. Maar dat is bijzaak.
Je argument is niet helemaal juist. De redenering is meer zoiets als: onze winkel moet beveiligd worden, dus komen we ongevraagd binnen in jouw huis en zetten een gewapende bewaker naast je. Dat die ook nog eens in je kasten snuffelt nemen we er graag bij
Het identificeren van de browser zou ervoor zorgen dat een persoon niet zelf gevolgd wordt. De functie zou detecteren of een browser onderdeel is van een ddos-aanval op de servers van de socialemediagigant.
Waarom zou je je DDoS client zo programmeren dat deze cookies accepteert en opslaat? Als het uberhaupt al is gelukt om een computer toe te voegen tot een botnet betwijfel ik de effectiviteit van deze maatregel en dit heeft dan ook weinig met beveiliging te maken.

En hoezo heb je een cookie nodig om je te beveiligen tegen non-gebruikers? Sla dan geen cookie op.
Aangezien de meeste DDOS clients geen cookies opslaan, wordt er als beveiliging een cookie opgeslagen, komt deze niet terug dan plaats je de cookie weer en geef je een redirect.

Op deze manier worden dure operaties zoals het ophalen van data of het uitvoeren van zoekopdrachten niet uitgevoerd. Dit beschermt je applicatie tegen een groot aantal aanvallen, die van gemiddelde grote zijn en dus niet je bandbreedte opvullen.

[Reactie gewijzigd door Qauters op 2 juni 2016 11:41]

Op deze manier worden dure operaties zoals het ophalen van data of het uitvoeren van zoekopdrachten niet uitgevoerd.
Wat een onzin zeg.

Om die selectie te kunnen maken heb je alleen een cookie nodig bij de mensen die zich wel aangemeld hebben.

Vergelijk het met een clubpas.
Je krijgt toch ook niet van elke club op aarde een pasje dat je niet lid bent?
Aangezien de meeste DDOS clients geen cookies opslaan, wordt er als beveiliging een cookie opgeslagen, komt deze niet terug dan plaats je de cookie weer en geef je een redirect.
Ja, en zoals ikt hierboven al zegt, een DDOS client heeft helemaal niks van doen met cookies. Komt helemaal niet ter sprake.

Er is maar 1 reden voor het plaatsen van die trackingcookies en dat is dat facebook je leven in kaart wil brengen en die gegevens wil verkopen aan derden. Dat heet dan 'verbeteren van de service'.
Magoed, drink die kool-aid maar lekker verder :)
Een oplossing die in de praktijk daadwerkelijk gebruikt worden, afserveren als onzin is wel een beetje apart.

Overigens stel ik ook nergens dat deze techniek daadwerkelijk door FB uitgevoerd wordt, ik stel alleen dat het een techniek is die zeker bestaat en effectief is tegen DDOS aanvallen.
Ik had het over facebook.
En facebook laat sowiso niks zien als je niet ingelogd bent. Die scheiding tussen 'friend' en 'foe' wordt daar al gemaakt en er is geen reden voor een cookie bij niet-gebruikers.

En daarnaast, waarom komt die advokaat daar nu pas mee als het zo'n essentiele beveiliging is voor facebook?

[Reactie gewijzigd door koelpasta op 2 juni 2016 15:19]

De publieke pages zijn wel degelijk beschikbaar zonder ingelogd te zijn.

Overigens, ik heb net even een aantal testen uitgevoerd:
Ze plaatsten geen cookies, als ik de publieke plaatsen bezoek.
Ze plaatsten geen cookies als ik naar een inloggen met FB pagina ga (zonder daadwerkelijk in te loggen).
Zelfde voor als ik op een like knop of share knop klik.

Dus op het moment lijkt een datr cookie niet geplaatst te worden, de pages laden automatisch een zwik aan bestanden die daarna pas de layout opbouwen. Ook een prima manier om te beveiligen.
Waar gaat die rechtzaak dan over?
Want er is onderzoek gepleegd dat jouw testen volkomen tegenspreekt.

Ik denk dan eerder dat facebook na die uitspraak een stapje terug heeft moeten doen (nadat ze dus wel degelijk fout zijn geweest) en het nu proberen aan te vechten.

Verder geef je geen verklaring voor waarom facebook nu pas met het 'essentiele security'-argument komt terwijl de rechtzaak al lang is geweest.
Ik heb het ook niet over het verleden, ik heb het over wat ik zie als ik het nu eventjes test.

Mogelijkheden:
1. Het was een tracking cookie die ze dus weggehaald hebben.
2. Het was een beveiligingscookie die niet meer nodig was, omdat ze de beveiliging veranderd hebben.

Ik ben hier overigens niet om FB te verdedigen, dus de redenen waarom ze nu pas er mee komen heb ik niet.

Mijn originele comment was niets meer dan een antwoord op een vraag hoe cookies gebruikt kunne worden als bescherming tegen DDOS.
Mijn originele comment was niets meer dan een antwoord op een vraag hoe cookies gebruikt kunne worden als bescherming tegen DDOS.
Ja, dat snap ik :)
Maar je post wordt hier op meerdere plekken aangehaald als een valide verdediging van facebook. Zie het dus vooral ook niet als een persoonlijke aanval :)
Dat betekent dus ook gelijk dat een gebruiker die een dergelijke cookie wat voor reden niet accepteert ofwel blokkeert de website niet zal kunnen bezoeken. Het is dus wel een effectieve methode, maar de methode kent ook een nadeel als het gaat om gebruikersvriendelijkheid.
Cookies zijn toch niet zo'n groot probleem? Maar pas als het 3rd party cookies zijn (dus cookies van een andere site dan die ik bezoek) dan zou het toch pas een probleem worden vanwege tracking?

Dat Tweakers.nl wat dingen opslaat in een cookie als ik op hun site kom vind ik helemaal niet erg, sterker nog, ik ben groot voorstander want het scheelt mij bv elke keer opnieuw inloggen.

Maar stel dat Tweakers op andere sites een plugin/widget/hidden pixel zou hebben die ook weer dat cookie gebruikt zodat ze mij kunnen traceren/profileren, dan wordt het problematisch. Want dan kunnen zij mijn internetgedrag in kaart brengen. En dat is toch eigenlijk het hele verhaal van Facebook & de cookies?
Zoals google-analytics die ook tweakers hier gebruikt ?
Hoe wil je als gebruikers cookies niet accepteren? Aangezien deze cookies nodig zijn voor de werking (net zoals session cookies), hoef je hier geen toestemming voor te vragen.

Verder kun je een private session opzetten, maar ook dan worden cookies bijgehouden, deze worden echter na de sessie weer verwijderd.

Overigens werkt een website als Facebook per definitie niet zonder cookies, dus voor een client die deze geforceerd niet teruggeeft laat je een mooi berichtje achter dat de browser niet ondersteunt wordt.

Uiteraard kun je, om de angst van tracking tegen te gaan, de lifetime van een dergelijke cookie verkorten.

Persoonlijk vind ik dat sommige autoriteiten doorslaan, vroeger moesten je bewijzen dat iemand fout zat, nu moet je bewijzen dat het niet zo is. Verder hebben ze vaak 0,0 kennis van technische zaken en schijnt de illusie te bestaan dat cookies vrijwel alleen bestaan voor tracking. Met de huidige argumenten zijn session cookies ook gelijk illegaal, want die tracken je net zo goed.
Hoe wil je als gebruikers cookies niet accepteren? Aangezien deze cookies nodig zijn voor de werking (net zoals session cookies), hoef je hier geen toestemming voor te vragen.
Ik gebruik hiervoor NoScript op Firefox, in combinatie met wat aangepaste instellingen in Firefox bij de optie "Privacy". Je accepteert dan tijdelijk (of permanent, wat je wilt) het hoofddomein (de website waar je naartoe surft dus), inclusief de cookies van die site, maar laat je de rest geblokkeerd. Dit zorgt nog steeds voor een goede website-ervaring, zonder dat je alles wat er aan die site hangt meeneemt tijdens het laden.

Het heeft meerdere voordelen, want niet alleen houdt je trackingcookies van third-party sites buiten, maar laadt je pagina ook nog eens stukken sneller. Verder blijft je CPU-belasting lager en krijg je veel advertenties niet te zien.

Geen internetleven zonder NoScript. :)

[Reactie gewijzigd door Qalo op 2 juni 2016 13:03]

Interessante aanpak. Heb je toevallig meer informatie over deze manier van beperken van impact van een DDOS? Eerste zaken die bij mij opkomen zijn hoe om te gaan met crawlers van search engines en de langere loading time door de redirect. Via Google kan ik helemaal niks vinden over dit principe.
De huidige web/crawlers hebben weinig moeite met net volgen van redirects (html 3XX of location header, of zelfs JavaScript redirects).

Ik weet niet hoeverre er informatie over dit principe op het internet staat, ik heb het zelf weleens geÔmplementeerd om een aanval af te wenden (als een tijdelijke oplossing).

Cloudflare doet ook iets vergelijkbaar, waarbij ze bij de eerste visit een automatisch post doen met een 'challenge', zodra deze geverifieerd is wordt er een cookie geplaatst en kun je door naar de site. Deze manier verplicht zelfs het gebruik van JavaScript. Volgens mij wordt dit overigens ook alleen gedaan op sites die onder DDOS zijn of een hoge risico hebben.

Qalo:
Volgens mij blokkeert NoScript simpelweg de cross-origin data zoals scripts, tracking pixels etc. In dat geval wordt FB nooit bereikt dus zal je de cookies ook niet krijgen. Browse je naar FB zelf, dan zulken ze wel degelijk komen natuurlijk.

mrOrPhie:
Nee, maar als jij je browser zodanig instelt dat de cookies geweigerd worden dan hoeven ze jou ook geen content te serveren. Iedereen happy.
Ik weiger cookies van facebook. Dat maakt mij nog geen DDoS client.
Eigenlijk is het een goed excuus van FB: we willen je volgen en profileren zodat we zeker kunnen zijn dat je een echte mens bent ipv een bot.
Want een bot kan geen tracking cookie aannemen (als die dat wil?)
Het is een volslagen idiote manier van beveiligen. En daarmee wordt gelijk duidelijk dat ze het helemaal niet doen vanwege de beveiliging.
De meeste (skiddie) DDOS tooltjes doen niet aan challenges en responses, die sturen data een kant op en kijken niet eens of er uberhaupt wat terug komt. Soms worden er nog gescripte POSTs of GETs gestuurt maar dan houd het bij de gemiddelde DDOS aanval al gauw op.

Het probleem is ook dat in een botnet dit gecoordineerd uitvoeren een enorme overhead binnen dat netwerk creŽert, helemaal gezien elke host vrij zelden maar 1 enkele verbinding gaat maken met het doelwit, en zo wel, pittig botnet nodig om FB tot last te zijn.

Het houd zeker niet alles tegen en er zijn wel wat geavanceerdere botnets, maar deze zijn doorgaans niet in handen van de grootste lastposten groep onder de "hackers" *kuch kuch* beter bekend als in-moeders-kelder-wonende script kiddies.

[Reactie gewijzigd door batjes op 2 juni 2016 15:44]

Klein beetje offtopic maar dit had ik in januari gemist:
Eind januari probeerden advocaten van Facebook het in november 2015 uitgesproken vonnis al ongeldig te verklaren omdat er Engelse woorden in staan, zoals 'browser' en 'cookie'.

Huh? Kun je een vonnis ongeldig laten verklaren op basis van een aantal Engelse woorden? De Nederlandse taal zit vol met leenwoorden waar "Browser" en "Cookie" ondertussen ook wel onder vallen lijkt me.

Wat betreft het identificeren van browser bij non leden (al dan niet ter beveiliging). Zolang ik niet op de internet pagina van Facebook kom krijg ik de cookie toch ook niet? Ik snap sowieso niet waarom je naar hun website gaat als je geen lid bent.
@Niltris
Ik dacht dat het probleem van de privacy commissie was dat iedereen (zowel Facebook gebruikers als niet Facebook gebruikers) die een pagina bezochten met een Facebook link (je kent ze wel die "deel op Facebook" links, meestal onderaan een artikel) automatisch een tracking cookie meekrijgt.
Die Facebook gebruikers hebben daarmee ingestemd toen ze zich registreerden, maar de niet Facebook gebruikers worden ook getracked en kunnen daar niets tegen doen....
Ah, daar was ik me niet bewust van. Ik dacht dat het alleen was als je echt naar facebook.com (of een andere pagina van Facebook zelf) ging. Maar het gaat dus ook om de "widgets" die andere sites gebruiken om door te linken naar Facebook. Dan is het inderdaad wel echt een kwalijke zaak.
Dat was een verweer van Facebook:
En daar kwam Facebook vandaag met een opmerkelijk argument aanzetten. “Er stonden Engelse woorden als browser, server, cookie en homepage in het eerste vonnis. Maar dat is in strijd met de Belgische taalwet”, aldus de advocaten van Facebook. “Als aan advocaten gevraagd wordt om het Nederlands te gebruiken als proceduretaal, dan geldt dat ook voor rechters.”

Het vonnis moet volgens hen dan ook volledig in het Nederlands geschreven zijn. Maar dat was dus niet het geval, waardoor het vonnis nietig verklaard moet worden. De advocaten deden zelfs enkele suggesties. Zo moest browser vertaald worden als ‘internetsnuffelaar’ en cookie als ‘koekje’.
http://www.nieuwsblad.be/cnt/dmf20160127_02093367

[Reactie gewijzigd door cracking cloud op 2 juni 2016 12:08]

Facebook gebruikt zelf Engelse woorden op hun paginas.
Op "Informatie over adverteren op Facebook" (https://www.facebook.com/about/ads)
Hier staat:
"Facebook en andere bedrijven gebruiken technologieŽn zoals cookies, pixeltags en lokale opslag om je nuttige advertenties te laten zien. Een cookie kan een adverteerder bijvoorbeeld helpen begrijpen of je een advertentie voor zijn product op Facebook hebt gezien voordat je het op zijn website kocht."
In principe wel. Door de drietaligheid van BelgiŽ is de taalwetgeving redelijk streng. Een vonnis van een Nederlandstalige rechtbank dient volledig in het Nederlands te zijn. Woorden uit andere talen zijn in principe niet toegestaan. Dan is het uiteraard de vraag of er wel nederlandstalige alternatieven voor deze woorden beschikbaar zijn. Niemand spreekt bijvoorbeeld van een webbladeraar.
beveiliging van de applicatie bij de cliŽnt ... hmmmm
Normaal zou je natuurlijk helemaal gelijk hebben dat dat een rare strategie is, maar de zin "De functie zou detecteren of een browser onderdeel is van een ddos-aanval op de servers van de socialemediagigant." legt het eigenlijk wel uit. Het is waarschijnlijk niet het type 'beveiliging' waar jij en ik als eerste aan denken, maar wel logisch dat dit soort 'beveiliging' aan de client-zijde is. Of het acceptabel is, dŠt is een ander verhaal waar ik mijn vingers niet aan zou willen branden :P

[Reactie gewijzigd door casparvl op 2 juni 2016 11:32]

Of het acceptabel is, dŠt is een ander verhaal waar ik mijn vingers niet aan zou willen branden :P
Het lijkt mij evident NIET acceptabel. Het zou toch wat zijn als elk bedrijf data op mijn pc mag plaatsen om te voorkomen dat mijn pc meedoet aan een ddos richting hun netwerk?!

De volgende stap is dat elk bedrijf toegang krijgt tot mijn firewall zodat ze er een rule in kunnen zetten die een verbinding naar hun netwerk verbiedt. Nee, omgekeerde wereld dit.

Buiten dat: een cookie om te detecteren of een pc meedoet aan een ddos aanval?! Kom nou toch: alsof een ddos aanval gebruik maakt van een browser waarbij de cookie uberhaubt kan worden uitgelezen. Het zou toch sneu zijn als een hedendaagse ddos echt gewoon miljoenen open browser venstertjes zou gebruiken :P

Nee, Facebook: dit zijn wel ťrg slappe smoesjes om jullie advertentie inkomsten te garanderen. Ik zeg go BelgiŽ!
Het lijkt mij evident NIET acceptabel. Het zou toch wat zijn als elk bedrijf data op mijn pc mag plaatsen om te voorkomen dat mijn pc meedoet aan een ddos richting hun netwerk?!
Site mogen cookies in jouw systeem zetten. Dat is al decennia een standaard onderdeel van de technische specificaties van het internet. En zo lang het voor technische doeleinden (werking van ...) gebruikt wordt is er ook niks mis mee.
De volgende stap is dat elk bedrijf toegang krijgt tot mijn firewall zodat ze er een rule in kunnen zetten die een verbinding naar hun netwerk verbiedt. Nee, omgekeerde wereld dit.
Zoek de term "reductio ad absurdum" eens op aub.
Buiten dat: een cookie om te detecteren of een pc meedoet aan een ddos aanval?! Kom nou toch: alsof een ddos aanval gebruik maakt van een browser waarbij de cookie uberhaubt kan worden uitgelezen. Het zou toch sneu zijn als een hedendaagse ddos echt gewoon miljoenen open browser venstertjes zou gebruiken
Hierboven door Qauters al netjes uitgelegd:
Aangezien de meeste DDOS clients geen cookies opslaan, wordt er als beveiliging een cookie opgeslagen, komt deze niet terug dan plaats je de cookie weer en geef je een redirect.
Ik zeg overigens niet dat facebook gelijk heeft in deze zaak. Dit nieuwsbericht geeft me simpelweg te weinig informatie om daar een oordeel over te kunnen geven.
Zoek de term "reductio ad absurdum" eens op aub.
Als ik jou 10~15 jaar geleden had gezegd dat er mechanismes in je browser worden ingebouwt die bedrijven de mogelijkheid geeft jou over een groot deel van het internet te volgen dan had jij hetzelfde Reductio ad absurdum argument kunnen toepassen en dan had je het dus fout.

Wil je dit begrijpen moet je naar het hele gedrag van facebook kijken. Hoe opereren ze, waar verdienen ze geld aan, hoe gaan ze met (de privacy van) hun gebruikers en niet gebruikers om.

En dan wordt snel duidelijk dat ze inderdaad het lieft heel het internet controlleren en het liefts iedereen op hun netwerk naar hun content laat kijken. Er is dus helemaal niks gek om te denken dat ze het internet tot aan je voordeur willen controlleren. Dat is nou eenmaal het aard van het beestje.
dus geen cookie = verdacht zegt Facebook.
even for the record; Iedere HTTP response is een download.

Echter, de cookies worden op een andere manier gebruikt dan jij denkt, zie de uitleg van Quaters
Qauters
@ikt • 2 juni 2016 11:40

Aangezien de meeste DDOS clients geen cookies opslaan, wordt er als beveiliging een cookie opgeslagen, komt deze niet terug dan plaats je de cookie weer en geef je een redirect.

Op deze manier worden dure operaties zoals het ophalen van data of het uitvoeren van zoekopdrachten niet uitgevoerd. Dit beschermt je applicatie tegen een groot aantal aanvallen, die van gemiddelde grote zijn en dus niet je bandbreedte opvullen.
Die uitleg is onzin. Een ddos client kan een cookie van een browser afhandig maken (kan zelfs een browser ingebouwd hebben om dit te doen) en zodanig netjes een cookie aan facebook sturen.

En waarom kwam facebook niet vorig jaar met dit argument? Hoezo komen de advokaten er achteraf achter dat het om een essentiele beveiligingsmaatregel gaat?
Vette onzin dus, wat facebook beweert.

[Reactie gewijzigd door koelpasta op 2 juni 2016 15:25]

Er zijn DDOS botnets die dat kunnen ja, alleen worden deze doorgaans ingezet voor wat zinvoller werk dan een beetje FB's servercapaciteit op te vreten, welke toch schaalt.

De meest gebruikte DDOS tooltjes en aanvallen zijn in handen van script kiddies, welke simpele tooltjes hebben met simpele hosts welke enkel heel simpele instructies kunnen opvolgen van "Connect 8.8.8.8; GET /index.html?p=bladiebla". Een challenge en response doen ze dan niet aan, die tooltjes zijn niet gratis of makkelijk te verkrijgen en de bijbehorende hosts nog minder (en hoe complexer je botnet, hoe meer overhead, hoe meer clients je nodig hebt om je "doel" te bereiken)
en challenge en response doen ze dan niet aan,
Volgens mij krijg je van facebook sowiso niks als je niet eerst al een tsl verbinding hebt opgezet.
Een simpele GET doet dus toch al niks op facebook, cookie of geen cookie...
Ik heb verder geen idee hoe FB zijn verbindingen afhandelt, heb me er nooit in verdiept. Wou alleen aangeven dat de meeste DDOS aanvallen vrij simpel zijn opgebouwd.
Wou alleen aangeven dat de meeste DDOS aanvallen vrij simpel zijn opgebouwd.
Ja, maar die werken dus ook in het gebied waar er nog geen sprake is van een verbinding en er dus al helemaal geen sprake is van cookies of iets dergelijks.
Buiten dat: een cookie om te detecteren of een pc meedoet aan een ddos aanval?! Kom nou toch: alsof een ddos aanval gebruik maakt van een browser waarbij de cookie uberhaubt kan worden uitgelezen. Het zou toch sneu zijn als een hedendaagse ddos echt gewoon miljoenen open browser venstertjes zou gebruiken :P
Een browser is alleen een grafische schil die zorgt voor de juiste calls naar een server en die het daarna het antwoord voor een gebruiker grafisch laat zien. Je kan je bot exact hetzelfde laten reageren als een browser (incl het accepteren van cookies) waarbij er voor de server echt geen enkel verschil te zien zal zijn.

Het is dus een koud kunstje om bij de ddos aanval ůůk dit cookie te accepteren (en terug te zenden).

Verder helemaal met je eens dat het NIET acceptabel is. Vooral ook omdat het gaat om mensen die gťťn gebruiker zijn. Dat is hetzelfde als dat iedereen die voor mijn huis langsloopt een reflecterend hesje aan moet doen zodat ik ze makkelijker kan herkennen als ze zouden willen inbreken.
Het is dus een koud kunstje om bij de ddos aanval ůůk dit cookie te accepteren (en terug te zenden).
Waarmee facebook's systemen je kunnen herkennen, en eventueel de boel kunnen throttlen...

Het is een simpele en doeltreffende extra laag beveiliging. Als je denkt dat dit de enige anti-DDoS maatregel is dan onderschat je het Facebook team nogal, die zijn behoorlijk slim. Dit is gewoon yet another layer, en een best goede ook...
Als je denkt dat dit de enige anti-DDoS maatregel is dan onderschat je het Facebook team nogal, die zijn behoorlijk slim.
Als ze zo slim waren en het werkelijk om een beveiligingsmaatregel ging dan hadden ze dat wel in de echte rechtzaak aangedragen en niet achteraf als een smoes om een eerdere uitspraak ongeldig laten verklaren. Let wel, volgens facebook is het een essentieel onderdeel van hun beveiliging.
Technische team != advocaten team. ;)
Niet met elkaar verwarren.

Dat hebben ze ook meteen aangedragen... Dit is overigens het tweede artikel over de hele zaak en de vorige was maaaaanden terug en toen riepen ze het ook al. Facebook heeft *direct* gezegd dat het essentieel is, precies op het moment dat ze Facebook dicht hebben gegooid voor Belgie.

Dat ze misschien niet direct de gehele technische specificatie van de werking erachter aan een lage rechter in een openbare zitting hebben gegeven, is nogal logisch...
Facebook heeft *direct* gezegd dat het essentieel is, precies op het moment dat ze Facebook dicht hebben gegooid voor Belgie.
Je hebt gelijk, net opgezocht.
Dat argument werdt overigens weggeveegd.

Uit de rechtzaak vorig jaar:
"In haar brief d.d. 2 maart 2015 geeft Facebook aan dat het plaatsten van de Datr cookie noodzakelijk zou zijn om de veiligheid en integriteit van haar dienstverlening te waarborgen. Het argument dat het plaatsen en de ontvangst van cookies ook strikt noodzakelijk zou zijn om de veiligheid van Facebook gebruikers te waarborgen , mist zowel juridische als feitelijke grondslag. Vooreerst is het mogelijk om op minder indringende wijze de veiligheid van gebruikers te waarborgen. Bovendien zou het voor een potentiŽle “aanvaller” kinderspel zijn om cookies gewoon te blokkeren en/of verwijderen tijdens het lanceren van de aanval . Zelfs indien men dit argument m.b.t. de veiligheid zou aanvaarden, dan biedt dit uiteraard geen grondslag om de cookies voor andere doeleinden te gebruiken. Een dergelijk gebruik voor andere doeleinden zou dan ook als dusdanig expliciet dienen te worden uitgesloten in de gebruiksvoorwaarden."
Ja, en dat is dus wat Facebook nu, volgens mij, zegt dat niet klopt:
"Bovendien zou het voor een potentiŽle “aanvaller” kinderspel zijn om cookies gewoon te blokkeren en/of verwijderen tijdens het lanceren van de aanval."
Maar die cookies blokkeren is dus *juist* een van de dingen wat er dan voor zorgt dat er geen CPU intensieve processen gestart kunnen worden vanaf dat systeem omdat die cookie ontbreekt. Dus dan heeft het wel degelijk nut, die cookies weren is dan een red flag waarmee een potentiŽle aanvaller herkend kan worden.

"Zelfs indien men dit argument m.b.t. de veiligheid zou aanvaarden, dan biedt dit uiteraard geen grondslag om de cookies voor andere doeleinden te gebruiken."

*Dat* klopt dan weer wel, en dat is nu dus ook de vraag: wordt dat ding ook voor andere doeleinden gebruikt? :) Of zijn daar andere cookies voor?
Dat is de vraag die nu centraal staat, en waar ik ook erg benieuwd naar ben.

[Reactie gewijzigd door WhatsappHack op 2 juni 2016 18:12]

De bedoeling van een DDoS is om de netwerkserver te overbelasten en daarom moet je zo snel mogelijk requests sturen. En dus doe je dat liefst rechtstreeks op de netwerklaag en niet via de browser. En je gaat zeker niet wachten op het antwoord, laat staan op het (laten) plaatsen van een cookie.

Het argument "beveiliging' van die advocaten slaat helemaal nergens op. Die hopen zeker dat de rechter een digibeet is en zich ook nog eens niet fatsoenlijk laat informeren over de techniek.
Jou reactie in combinatie met die van Quaters ( Qauters in 'nieuws: Facebook: 'datr-bestandje cruciaal voor beveiliging'' ) geeft net de verklaring waarom het wel werkt.

Ofwel wacht je de cookie niet af, en kan je redelijk wat bandbreedte gebruiken, maar krijg je mogelijk geen of minder mogelijkheden om processor-belastende taken uit te laten voeren. Je botnet moet dan zo'n grote capaciteit hebben dat het puur in netwerkcapaciteit de front-end van facebook platlegt, wat met de meeste botnets vermoedelijk niet zal lukken.

Ofwel moet je de cookie wel afwachten en weer mee doorsturen, waardoor je wel processorbelastende taken kan uitvoeren, maar waardoor facebook een herkenningspunt heeft om het aantal aanvragen te beperken. Je hebt dan een immens groot botnet nodig vooraleer dit facebook kan platleggen.
Net zoals bij de cookiemeldingen op krantenwebsites zoals VK, of wat dan ook, krijg je de cookie eerst binnen en dan krijg je de melding of je akkoord gaat of niet. De cookie staat gewoon al op je compie.
Het hele punt is dat je geen cookie binnenkrijgt als je ze enkel met loze data bestookt. Die cookiemelding heeft er niets mee te maken.
Ofwel wacht je de cookie niet af, en kan je redelijk wat bandbreedte gebruiken, maar krijg je mogelijk geen of minder mogelijkheden om processor-belastende taken uit te laten voeren. Je botnet moet dan zo'n grote capaciteit hebben dat het puur in netwerkcapaciteit de front-end van facebook platlegt, wat met de meeste botnets vermoedelijk niet zal lukken.
Maruuuh., Daar heb je alleen een cookie bij de gebruikers voor nodig.
Als je niet inlogt op facebook dan kan je sowiso al niks, dus om dan ook nog een cookie bij niet gebruikers te planten is volslagen krankzinnig vanuit beveiligingsoogpunt.

Dit gaat om het verzamelen van gegevens over het leven van niet-facebookers en heeft helemaal niks met beveiliging te maken.
Ze bedoelen dus dat DDoS tools vaak geen cookies accepteren en zij op hun servers alle requests een cookie geven die geaccepteerd moet worden voordat het request wordt verwerkt. Best efficiŽnt systeem. Alle requests van DDoS aanvallen kunnen eenvoudig genegeerd worden en kosten geen rekenkracht van de servers.
Een ddos client kan in principe de cookies van je browser uitlezen en alsnog de data aan facebook voeren. De beveiligingswaarde van die cookie is nonexistent.

Dit gaat helemaal niet over beveiliging. Dat is alleen wat de advokaat als laatste redmiddel inzet in een verloren rechtzaak.

Besef je dat als dit werkelijk een valide uitleg was dat facebook daar in 2015 al zaak van had gemaakt. Nu komen ze achteraf met een vage uitleg van dat het essentieel is voor de beveiliging. En dat wisten ze vorig jaar nog niet?
Onzin dus.
Kost overhead en complexiteit. De meeste DDOS aanvallen komen van skiddies af. Deze hebben makkelijk te verkrijgen DDOS tooltjes, welke niet erg complex zijn en over het algemeen gewoon data ergens heen pompen en wachten niet eens of er uberhaupt wat terug komt nadat de initiele connectie is geopent en de data is weggepompt. Maar echt aan responses en challenges doen gebeurd meestal niet, wat wel vereist is om deze "beveiliging" door te komen.

En het zal mij niet verbazen dat als Facebook dit stopt ze ineens een tekort aan server capaciteit hebben want dan gaat elke mafketel met een tool en 3 botnet clients capaciteit kosten bij FB. Waar dat nu vaak enkel bandbreedte is, waar FB meer dan voldoende van heeft om zo'n beetje elk systeem met internet mogelijkheden tegelijk te serveren.
Kost overhead en complexiteit. De meeste DDOS aanvallen komen van skiddies af. Deze hebben makkelijk te verkrijgen DDOS tooltjes, welke niet erg complex zijn en over het algemeen gewoon data ergens heen pompen en wachten niet eens of er uberhaupt wat terug komt nadat de initiele connectie is geopent en de data is weggepompt
Als dat zo is dan hebben die tracking cookies alsnog geen zin. De skiddies hebben dan namelijk al bereikt wat ze bereiken wilden en dat is de servers van facebook wakker maken.
Jij hebt het over wachten op antwoord, maar een bekende aanval is om juist niet te wachten op antwoord, maar wel de tcp connectie in stand te houden. Hiermee reserveert de server een stukje geheugen voor die verbinding en kan je de boel alsnog plat krijgen. Komt geen cookie aan te pas.

Wil je uberhaupt bij een cookietransactie aankomen dan heeft de server al redelijk wat resources moeten inzetten.
En het zal mij niet verbazen dat als Facebook dit stopt ze ineens een tekort aan server capaciteit hebben want dan gaat elke mafketel met een tool en 3 botnet clients capaciteit kosten bij FB.
Dat soort 'skiddie' aanvallen zijn volgens mij op andere manieren te detecteren. En volgens mij ook in een vroeger stadium dan het stadium waarin cookies overgedragen worden.
Wakker maken is niet zo erg, alsof een server bij Facebook veel idled, dat schaalt. Alleen is open verbindingen een heel stuk minder overhead dan actief queries (en voor een beetje FB pagina zijn dat er erg veel) uit lopen voeren. FB verliest liever een beetje overhead in hun frontend dan dat ze tig keer zo veel overhead kwijt raken in hun backend.

Het zal niet de enige anti-DDOS implementatie zijn die Facebook in werking heeft.
Alleen is open verbindingen een heel stuk minder overhead dan actief queries
Maar die zijn dus ook veel sneller te doen, zeker met een botnet.
Je kunt er routers mee op hun bek krijgen, je kan er servers mee op hun bek krijgen.
En ik denk dat ze tussen hun front en back ook iets hebben staan dat redelijk slim een bepaald soort aanval kan detecteren en droppen. Ik denk dus dat ze zelfs zonder dat cookiegeneuzel redelijk veilig zijn in hun back end.
Het zal niet de enige anti-DDOS implementatie zijn die Facebook in werking heeft.
Nee, maar het is er wel eentje waarvban ik zeg dat het 1) brutaal is naar non-facebook gebruikers en 2) waar ze best zonder kunnen.

En nogmaals, waarom komen ze pasnaa de rechtzaak met het argument dat dit essentiele beveiliging is.
Hun front end is dusdanig groot en over zo veel datacenters, routers en servers verdeeld dat je daar diep voor in de botnet buidel moet tasten om daar een deuk in te slaan.

Of de cookie essentieel is, waarschijnlijk niet, advokaten gebral. Maar het zal zeker helpen en redelijk wat kosten besparen.
I dunno. Met zo'n grote frontend verdwijnen alle kleine aanvallen sowiso in de achtergrond. Je moet denk ik al beginnen met een serieus botnet om deuken te maken.
Op de frontend in bandbreedte misschien, niet al te grote botnets kunnen als ze daar doorheen wandelen wel veel backend resources verbruiken.
Je kunt het op meerdere manieren beveiligen. Wil niet zeggen dat dit hun enige beveiliging is..
Ligt er aan wat ze er mee doen natuuurlijk maar pc's hebben genoeg cpu power om dat te kunnen doen scheelt hun weer servers (als ze het daar voor gebruiken natuurlijk).
Nouja, facebook denkt vast: Het veiligheidsargument werkt zo goed voor overheden als ze de privacy van hun burgers willen vernietigen, dan zal het vast voor ons ook werken!
Wat mij verbaasd is dat Facebook op basis van Engelse woorden de uitspraak ongeldig wil laten verklaren. Klinkt lekker 'shady' ofwel duister, voor Facebook mn reactie ongeldig wilt laten verklaren.

Edit: reden van verbazing is natuurlijk dat ze om zo'n lullig argument iets ongeldig willen laten verklaren. Dat een advocaat probeert wat Facebook wil is logisch. Maar het lijkt me dat je als advocaat om zo'n reden ook niet echt serieus genomen wordt.

[Reactie gewijzigd door D3F op 2 juni 2016 12:06]

Facebook wil gewoon dat bestandje niet weghalen bij gebruikers. Dus de opdracht die het legal team krijgt is "ZORG DAT WE DAT BESTAND KUNNEN LATEN STAAN!?" hoe ze dat voor elkaar krijgen is aan de advocaten, en als die zo'n kinderachtig excuus kunnen gebruiken om het te vertragen/te verwerpen, dan moeten ze dat gewoon doen, dat is hun werk.
Dus de opdracht die het legal team krijgt is "ZORG DAT WE DAT BESTAND KUNNEN LATEN STAAN!?" hoe ze dat voor elkaar krijgen is aan de advocaten, en als die zo'n kinderachtig excuus kunnen gebruiken om het te vertragen/te verwerpen, dan moeten ze dat gewoon doen, dat is hun werk.
Maar dan zullen ze toch ook moeten verklaren waarom dat bestand uniek te identificeren valt. Als de enige reden van het plaatsen van dat bestand is, dat daarmee bewezen is dat je geen DDOSer bent, dan is de inhoud van dat cookie irrelevant. Wellicht verander je het om de zoveel tijd om te voorkomen dat de DDOSers er rekening mee kunnen gaan houden, maar ook dat is dan voor iedereen, geen enkele reden voor identificeerbaarheid in dat bestand.
Niet alleen dat, een verlies in BelgiŽ zet de deur open voor andere landen om het ook te gaan eisen en dat zou voor FB een zware klap betekenen. Als men gebruikers minder goed kan volgen dan daalt de marktwaarde van het bedrijf aanzienlijk.
Goh, ik snap eigenlijk niet waarom Facebook dat zou doen. Hun advertentieplatform richt zich vooral op de mogelijkheid om te adverteren naar specifieke doelgroepen. Op basis van de gegevens die de gebruiker zelf invult.

Google moet adverteren op relevantie en maakt profielen op basis van je zoekgeschiedenis, om dan jou in de categorie "tiener" te stoppen bv. Adverteerders kunnen dan hun reclame aan de "tieners" tonen.

Echter heeft Facebook al die data al, dus snap ik echt niet waarom ze nog bijkomende info nodig zouden hebben. Alleszins niet voor reclame.
Ze kunnen perfect tracken dat je om 8u het nieuws zat te lezen, om 9u naar pron keek, om 10u op een gaming site zat en om 11u een gokje deed op een site. De vraag is: wat voor nuttigs zouden ze daar nu kunnen mee doen? De CIA/NSA is blij met dit soort dingen, maar Facebook?
Met die informatie kan men je profiel verder verfijnen en de advertenties nog beter op je afstemmen.
Ja maar, zo werkt het niet als je adverteert.

Als adverteerder selecteer je de profielen en krijg je te zien hoeveel mensen daaraan voldoen. Bv. of iemand getrouwd is of niet. Er staat nergens bij "vink hier als je enkel wil adverteren aan mensen die milf prno kijken". ;)

Als ze al die informatie willen aanbieden, moeten ze "uit de kast" komen door toe te geven dat ze het verzamelen, iets wat ze net niet willen toegeven. Vandaar snap ik het niet.
Echter heeft Facebook al die data al, dus snap ik echt niet waarom ze nog bijkomende info nodig zouden hebben.
Facebook kan adhv hun cookies en de wijdverspreide like-buttons volgen op welke sites (met die buttons) jij allemaal komt, zonder dat jij er ook iets voor moet doen, behalve dan third-party cookies *niet* blokkeren. Gelukkig werken de meeste browsers zo, dus is dat kassa kassa voor facebook.

Nu wilt de Belgische privacycommissie dat facebook stopt met niet-ingelogde gebruikers te tracken via dergelijke wijzes, waardoor ze geen anonieme dataprofielen meer kunnen opbouwen van gebruikers, dus dwingen ze nu iedereen maar om een account te maken omdat die data nog vergaard mag worden.
Waarom verbaasd dit je? Wat denk je dat het doel van een Facebook advocaat is? Ze zullen toch iedere mogelijkheid aangrijpen om een vonnis tegen te houden.
Als je een beetje de de nieuwsberichten rondom Facebook volgt zie je een terugkerend patroon. Keer op keer proberen ze de zaak nietig te verklaren op punten die niets, maar dan ook helemaal niets met hetgene te maken heeft waarvoor ze worden aangeklaagd.

Als ze daadwerkelijk in hun recht zouden staan zouden ze rechtzaken zoals dit makkelijk op inhoudelijke punten kunnen winnen. Dan ga je je toch serieus afvragen waarom ze dat niet doen.
Ik denk dat Facebook zich prima beseft dat ze op de rand van de wet en er soms ver er overeen opereren, net zoals Uber dit ook weet. Het is wat hun success mogelijk maakt. Ze lopen een juridisch risico en dat weten ze. "Gelukkig" kun je met veel geld en juridisch geneuzel uiteindelijk wel je zin krijgen in deze wereld.
Vooral als je het rapport leest dat opgesteld geweest is in opdracht van de privacycommissie, ze hebben dat netjes aangepakt, uiteindelijk is het ook geen rocketscience en is er weinig ruimte tot interpretatie. Conclusie : FB plaatst die cookie op je pc in situaties (en websites) waar FB niets te zoeken heeft.

https://securehomes.esat....b_tracking/fb_plugins.pdf
je link zorgt voor een leeg blad in pdf.. iet smis?
ik heb er net terug op geklikt, er wordt wel degelijk een pdf ingeladen, probeer eens in een andere browser, mss cache issue ?
Staan je cookies misschien uit? 8)7
je hebt gelijk. In chrome blijft het leeg in edge werkt het prima. dank.
Dat is een wet in BelgiŽ, dat het in ťťn taal moest zijn oid. Heel belachelijk, maar vanuit vlaams oogpunt ergens wel te begrijpen. Facebook's advocaten maken daar handig gebruik/misbruik van.
Loopt deze aanklacht alleen in BelgiŽ of ook in Nederland of Duitsland i.v.m. privacy?

Of wachten de landen het proces in BelgiŽ af, of tot de EU daar iets aan doet? :?
De woorden als 'browser', 'server', 'homepage' enz. waar Facebook problemen mee heeft staan wel in het online Van Dale Woordenboek.
En wat als het datr-bestandje inderdaad en met opzet van belang is gemaakt voor de beveiling, maar tevens als ongewenste tracking-cookie dient? Deze meervoudige functionaliteit lijkt me vrij eenvoudig te realiseren.
Het doet me denken aan een wapenopslagplaats waarin tevens een school is gevestigd ("je mag een school niet bombarderen!").
Eind januari probeerden advocaten van Facebook het in november 2015 uitgesproken vonnis al ongeldig te verklaren omdat er Engelse woorden in staan, zoals 'browser' en 'cookie'.
"We zijn hartstikke schuldig, we proberen niet eens te doen alsof we onschuldig zijn, we willen alleen onder de juridische gevolgen uitkomen."
Advocaten van Facebook stellen in het slepende proces met de Belgische privacycommissie dat het datr-bestandje, een al lang omstreden tracking-cookie, 'cruciaal' is voor de beveiliging van het sociale netwerk. [..] De rechter beval Facebook in november te stoppen met het tracken van niet-ingelogde gebruikers of niet-leden die geen uitdrukkelijke toestemming hebben gegeven voor het plaatsen van het datr-bestand.
Op welke manier kan het ooit mogelijk zijn (zelfs al is het maar in theorie) dat een cookie bij niet-leden "cruciaal" is voor je beveiliging!? Elke browser die voor het allereerst op www.facebook.com komt heeft die cookie namelijk niet. Hetzelfde geldt voor browsers die (sinds het laatste bezoek) hun cookies verwijderd hebben. En, misschien nog wel het belangrijkste, voor gebruikers die precies die ene cookie weggegooid hebben (bijvoorbeeld, ik noem maar even iets, omdat ze je beveiliging proberen te breken).
Het bestandje zou onder andere nodig zijn voor de beveiliging van het platform en niet overeenkomen met een persoon, maar 'met een browser'.
"We tracken jou niet, we tracken een apparaat waarvan jij (vrijwel) de enige gebruiker bent." Dit geldt grotendeels voor computers en nog veel sterker voor smart-apparaten.
De functie zou detecteren of een browser onderdeel is van een ddos-aanval op de servers van de socialemediagigant.
DDoS doe je met speciaal voor dat doel geschreven programmaatjes, niet met reguliere browsers. Ik heb het niet gecontroleerd, maar ik heb "het vermoeden" dat de regel "added support for receiving, storing and sending cookies, in order to make it easier for FB to block us" nergens in de LOIC patch notes is te vinden.
Ook vindt Facebook dat het onderzoek, dat Belgische wetenschappers uitvoerden in opdracht van de privacycommissie, niet deugt. De advocaten van Facebook zouden het rapport hebben afgedaan als 'niet echt betrouwbaar' en 'met een tendentieuze titel'.
Het interesseert me geen bal of je het onderzoek betrouwbaar vindt, ik wil weten waarom je dat vindt; geef eens een onderbouwing ofzo...?
Weet je wat pas tendentieus is, de rhetorische vraag stellen of je zeurt over de titel omdat dat het enige deel van het rapport is dat je hebt gelezen? Als je de inhoud en methodiek van het rapport compleet onderuit kunt schoffelen, dan kun je daarna en passant nog even melden dat de titel tendentieus is en daarmee je verhaal afronden, maar als die opmerking je hele verhaal is, dan had je beter helemaal niks kunnen zeggen. Het is net als bij een Godwin; op het moment dat je met zo'n kansloos onzin-argument aankomt dan hoort de tegenpartij niet je onzin-argument, dan horen ze je toegeven dat je niet alleen geen poot hebt om op te staan, maar erger nog, dat je zelf ook prima weet dat dat zo is (zie ook de eerste paragraaf van deze reactie).
Ook zijn de advocaten van mening dat de Belgische privacycommissie het rapport 'klakkeloos heeft aanvaard'.
De mening van de privacycommissie is irrelevant, het gaat erom of ze de rechter kunnen overtuigen. En het is jullie taak om de rechter de andere kant van het verhaal uit te leggen. Dus misschien moet je minder zeuren en je werk doen ofzo...?

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True