Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 49 reacties
Submitter: dkdkrkfkdksks

Onderzoekers van de Duitse programma's Panorama en Zapp hebben na maandenlang onderzoek geconcludeerd dat een aantal browser-add-ons de internetgeschiedenis van hun gebruikers doorverkoopt aan derden. Zij noemen alleen de 'Web of Trust'-add-on expliciet.

De Duitse NDR schrijft dat de onderzoekers de gegevens van Web of Trust, oftewel WOT, konden inzien door deze van een tussenpersoon te kopen. Om dit te bereiken, hadden zij een nepbedrijf opgericht dat zich bezighield met 'big data'. De gegevens, waaronder bezochte url's, een gebruikers-id en locatie- en tijdgegevens, worden door de browserextensie verzameld en naar een centrale server buiten Duitsland gestuurd. Van daaruit gaan de gegevens naar tussenpersonen, die deze doorverkopen. Op zijn site waarschuwt de extensie dat gegevens met derden worden gedeeld, maar claimt dat dit anoniem gebeurt.

De onderzoekers waren in staat om in steekproeven vijftig personen te identificeren, bijvoorbeeld omdat een naam in een e-mailadres voorkwam of aan de hand van delen van url's. In zijn geheel omvatten de gegevens ongeveer tien miljard url's, die de surfgeschiedenis van miljoenen Duitsers gedurende één maand bevatten. Zo was het bijvoorbeeld mogelijk via 'links naar een online opslagdienst' gescande paspoorten en financiële informatie van een persoon uit Hamburg te achterhalen. Deze gegevens kunnen criminelen gebruiken om identiteitsdiefstal te plegen, aldus de onderzoekers.

Zij voegen daaraan toe dat zij na de oprichting van hun nepbedrijf veel aanbiedingen kregen van tussenpersonen die grote hoeveelheden data aanboden. In een toelichting aan de Duitse site Golem legt een van de onderzoekers uit dat zij de gegevens als een 'voorproefje' van een bedrijf hebben weten te verkrijgen en dat zij in bepaalde gevallen 'live toegang' hadden tot de gegevens. Veel van deze bedrijven en tussenpersonen zouden uit Israël komen of adressen hebben op plaatsen als de Maagdeneilanden en Panama.

Een Duitse privacyfunctionaris, Johannes Caspar, is kritisch over de doorverkoop van de gegevens. Normaal gesproken zouden gebruikers eerst toestemming moeten geven voor dergelijk gebruik van hun persoonsgegevens. Bovendien zou een dergelijke omvangrijke verwerking van gegevens onrechtmatig zijn. Het bedrijf achter de extensie Web of Trust reageerde niet op de vragen van de onderzoekers. De extensie is bedoeld om internetgebruik veiliger te maken door gebruikers beoordelingen van sites door andere gebruikers te tonen. De extensie claimt ongeveer tachtig miljoen keer gedownload te zijn.

Moderatie-faq Wijzig weergave

Reacties (49)

Ik heb een extensie in de chrome webstore staan die een paar duizend keer gedownload is, en heb soortgelijke aanbiedingen gekregen "voeg dit .js bestandje toe aan je extension en je krijgt een vergoeding" met daarbij natuurlijk een berciht dat gerust zou moeten stellen over dat het maar minimaal gegevens zou verzamelen.

Ik heb het niet gedan, maar het verbaasd me niet dat anderen het wel doen... Wel verbaasd het me dat "Web of Trust" iets dergelijks doet.
Als WOT gebruiker gaan hier mijn wenkbrauwen van omhoog. Ik weet nog niet wat ik ervan moet vinden, wel gaat die addon er onmiddellijk uit. Al is het kwaad al geschiedt..
WOT kan perfect vervangen worden door de 3rd-party plugins in je browser uit te schakelen en een goede anti-0day tool zoals EMET of MalwareBytes Anti-Exploit te installeren. Dan als je iets zou aanschaffen online gewoon zelf eventjes online onderzoek doen of alles inorde is of niet. Verder kan je ook een Adblocker en Ghostery installeren voor extra privacy.

Ik vind zo'n extensies altijd een beetje een vals gevoel van beveiliging geven.

[Reactie gewijzigd door kuurtjes op 2 november 2016 14:54]

WOT kan perfect vervangen worden door de 3th-party plugins in je browser uit te schakelen en een goede anti-0day tool zoals EMET of MalwareBytes Anti-Exploit te installeren.
Of ik heb iets gemist in WOT, maar volgens mij is het puur een community rating-tool, geen alternatief om 0-day aanvallen af te slaan.
Je zou WOT sowieso dus naast dergelijke tools moeten draaien, niet als vervanging van...
Het was mijn bedoeling dan ook om duidelijk te maken dat als je zo wat weet wat er aan de hand is in je browser dat je zo'n community tools dus niet meer nodig hebt.
Oh zeker. Ik gebruik ook uBlock Origin, No-Script en een aantal preventieve scripts via GreaseMonkey. WOT heb ik enkel als visuele waarschuwing.

Ja ik ben tamelijk paranoïde ook al weet ik dat het niet 100% waterdicht kan.
3rd-party plugins... komt van third. Vanaf 4 is het 4th, 5th etc.

Verder goed commentaar overigens, vooral anti-0day...
Ja, hier hetzelfde...nu maar hopen dat de 5 andere blockers wel zuiver zijn (maar ja, kom daar maar eens achter).
Met een community zelf een variant maken en deze open source houden.
Niet afhankelijk zijn van een webservice van een derde om de plug-in te laten werken.
open source is ook niet heilig. En in dit geval maakt het niet eens uit of het open source is. De verzamelde gegevens (waar men toestemming voor gegeven heeft nota bene) worden naderhand door verkocht.
Het ging mij er alleen maar om dat je er dan zelf voor kan zorgen dat er geen gegevens verzameld worden.
Waarom zou een adblocker gegevens moeten verzamelen en doorsturen, heeft niets met de core functionaliteit van een adblocker te maken.
Om geld te verdienen...
'If you ain't buying the product, you're the product being sold.'
Snap ik, daarom mijn suggestie om met een community een product te maken. Dan zit er geen organisatie achter die centjes nodig heeft.
Het probleem is dan alleen dat je WOT meer bouwt maar iets anders.

WOT werkt op basis van het versturen van gegevens en het ontvangen van soortgelijke gegevens (maar dan van anderen)

In wezen zeg je hierboven : Je kan ook brood gaan bakken.
Ja, dat kan maar het heeft niets met het artikel te maken.
Wat een schurken, als er iemand een klap met een cookiewet verdient dan zijn het deze knakkers wel.
Ik denk dat het tijd is dat browsers hun security-model voor plugins gaan aanpassen naar een capability-based model zoals telefoon OS'en dat doen: iedere applicatie draait in z'n eigen sandbox die alleen via gecontroleerde wegen kan communiceren met andere applicaties. De gebruiker kan instellen welke kanalen zijn toegestaan en welke niet. Nog beter zou het zijn om het op OS niveau te doen en browser-plugins te verheffen tot volgwaardige applicaties.

Op theoretische gronden vind ik (browser-)plugins namelijk maar lelijk (al werkt het in praktijk wel handig). Het probleem is dat browsers en plugins steeds krachtiger worden en een steeds ingewikkeldere relaties met elkaar krijgen. Browsers moeten steeds meer doen om de plugins te beheren, resources te managen, isolatie te verzorgen, enz... Dat zijn taken die traditioneel bij een OS thuis horen*. We kunnen het wiel opnieuw uitvinden door mini-OSjes in onze browsers te bouwen, of plugins promoveren tot volwaardige applicaties die door het OS worden beheerd ipv door de browser.
Althans, zo zie ik het in theorie, want onze OS'en zijn er nog niet helemaaal klaar voor. Technisch gezien zijn de meeste stukjes voor zo'n infrastructuur wel aanwezig maar ik weet niet of het al compleet genoeg is voor praktische toepassingen (ik ben geen expert, misschien is er meer af dan ik weet, ik weet wel dat alle OS'en er op z'n minst mee bezig zijn).

* Totaal off-topic maar zo denk ik ook over virtualisatie, dat meeste vormen hebben te veel overlap met het OS, dat kan beter.
Het capability-based model wordt (gedeeltelijk) al wel gebruikt, want plugins kunnen allerlei permissies wel en niet hebben (kijk bijvoorbeeld maar eens naar de permissions voor Chrome).

Probleem is dat dat hier niet zo veel oplost. Je hebt namelijk toegang nodig tot de bekeken pagina-url (om te kunnen kijken of die veilig is) en tot internet (om je lijsten van trusted websites te kunnen updaten en suggesties van de gebruiker te kunnen verwerken). Met diezelfde permissies kun je even goed alle bekeken pagina's doorsturen! Dit geldt voor heel veel plugins, want vaak wil je toch iets veranderen aan/op basis van de bekeken pagina en internetgebruik is ook bijna altijd wel nodig (en anders niet een permissie waar mensen van zullen opkijken).
Probleem is dat dat hier niet zo veel oplost. Je hebt namelijk toegang nodig tot de bekeken pagina-url (om te kunnen kijken of die veilig is) en tot internet (om je lijsten van trusted websites te kunnen updaten en suggesties van de gebruiker te kunnen verwerken). Met diezelfde permissies kun je even goed alle bekeken pagina's doorsturen! Dit geldt voor heel veel plugins, want vaak wil je toch iets veranderen aan/op basis van de bekeken pagina en internetgebruik is ook bijna altijd wel nodig (en anders niet een permissie waar mensen van zullen opkijken).
Mja, je hebt wel gelijk dat het op dit moment eigenlijk niet werkt omdat de capabilties meestal nogal breed zijn en de gebruikers het toch niet snappen.
Misschien is er nog iets te doen met standaardprofielen of gefilterde API's. Met een gefilterde API's bedoel ik dat de applicatie niet rechstreeks met de buitenwereld mag praten maar alleen via een API die toezicht houdt. Denk aan hoe het nu met een GPS gaat, je apps mogen niet direct met je GPS-hardware praten maar moeten aan het OS vragen wat de coordinaten zijn. Het OS besluit dan wat het antwoord is.

Toegegeven, dat is allemaal makkelijker gezegd dan gedaan en het is geen fundamentele oplossing voor onze problemen.
Klinkt op zich goed en voor bepaalde capabilities zou het ook best kunnen werken, maar voor deze lijkt me dat (zoals je volgens mij ook al een beetje aangeeft) eigenlijk praktisch onmogelijk zonder de mogelijkheden van extensies heel erg aan te tasten.

Je zou bijvoorbeeld best een API kunnen toevoegen waarbij een extensie de mogelijkheid krijgt een lijst met "onveilige" websites aan te leveren waarna de browser die blokkeert, zonder dat de extensie ziet waar je precies bent en wat er geblokkeerd wordt (en dat zou niet eens per se een slecht idee zijn).

Maar in dit geval mis je dan al een belangrijke functie: namelijk dat mensen ook nog kunnen doorgeven wat onveilige websites zijn. Die kun je dan ook wel in de browser bakken, zodat er alleen bepaalde gegevens doorgestuurd worden naar een server, maar dan ben je al wel een heel niche feature in je browser aan het stoppen. Terwijl dat juist het idee van extensions is!

En als je die twee API's dan al hebt kun je ook nog lang niet alle extensions bouwen die je wilt die toegang nodig hebben tot websites die je bekijkt en tot internet. Kijk bijvoorbeeld naar een adblocker. Weer hele andere API's? Of stel dat je een extension hebt die het mogelijk wil maken door gebruikers gemaakte thema's te gebruiken op bepaalde websites. Die moet eigenlijk altijd wel de url van de website, of tenminste het domein, doorgeven om te kijken welke thema's ervoor zijn. Of ga je een hele aparte "thema's voor websites" API maken die extensions dan kunnen gebruiken?

Of je wilt een veilig chatten extension die alles versleuteld doet en het liefst ook nog niets aan de browser verteld, maar wel graag bijhoudt welke websites de gebruiker bezoekt omdat er een "maak een grafiek van mijn internetgebruik en stuur het naar mijn chatpartner" functies is. Hoe ga je checken dat er niet ook stiekem wat extra privacy-gevoelige informatie in de versleutelde chatdata zit?

Je kunt zeggen: we maken wat specifieke API's voor veel gebruikte features die de privacy waarborgen, en ook nog een algemene API die niet gefilterd is en alles kan. Maar bij die algemene API laten we een extra grote warning zien. Klikt prima, behalve dat gebruikers nooit weten wat die warning nou precies en welke extensie er nou wel recht op heeft en welke niet. Uiteindelijk klikt iedereen maar gewoon op "accepteren" (zoals jij ook al aangeeft). Zeker omdat je dan ook nog een ander effect gaat zien: de pluginbouwers willen lekker makkelijk en snel hun plugin bouwen, dus gebruiken maar gewoon de unsafe API, ook al had het makkelijk gekund met een veilige specieke API.

Zelfs als je het lukt overal een gefilterde API voor te bouwen (of één hele grote die alles op één of andere manier veilig verwerkt), heb je opeens zoveel code en functies dat er vast wel een foutje ergens zit waarmee je toch informatie kunt doorsturen.

Wat je wel kunt doen is de mogelijkheden van extensions heel erg terugdringen. Apple doet dit volgens mij op iOS, waar je alleen een adblocker en misschien wat andere dingen kunt installeren. Dan kun je het dus best veilig krijgt, maar krijg je wel het ongewenste bij-effect dat je plugin systeem opeens bijna niets meer kan.

Bij die GPS is het redelijk simpel omdat je toch niet heel veel meer wilt dan de GPS-cooördinaten*. Bij internettoegang en bekijken van alles websites is het heel lastig het mooi af te schermen.

*: hoewel, het is ook weer niet zo simpel; er bestaan bijvoorbeeld ook apps op Android die bekijken met welke satellieten je verbindt. Dus in elk geval op Android is er wel meer mogelijk.
Ik ben het helemaal eens met vrijwel al je punten, echt oplosbaar is het niet. Zolang er communicatie mogelijk is, in wat voor vorm dan ook, kun je informatie "lekken" via dat communicatiekanaal.

Toch denk ik dat goede API's veel kunnen helpen. We moeten zorgen dat het makkelijk is om het goede te doen en moeilijk om er van af te wijken, niet alleen voor de developer maar ook voor de gebruiker. Stel nu dat we dat soort pop-ups voorzien van een timer (firefox doet dat volgens mij al) waardoor je niet onmiddelijk op "Accept" kan klikken maar eerst een minuut moet wachten en dan je pincode invoeren. Dat is verschrikkelijk irritant en zal een hoop mensen tegenhouden. Je kan afvragen of je gebruikers wel moet pesten met dit soort regels maar misschien is het dat wel waard.

Een goede API kan het systeem ook helpen om data van de applicatie te controleren. Als het systeem weet dat je applicatie een mail probeert te sturen via SMTP naar poort 1234 dan kun je veel gerichter controleren dan wanneer je dat niet weet.

Als het gebruik van minder veilige API's afneemt kun je die steeds strenger gaan controleren en inperken. Sluitend wordt het nooit, maar we kunnen het wel makkelijker maken om het juiste te doen en het moeilijker maken om foutjes te maken.
Wat is de link met cookies?
Wat is de link met cookies?
De wet die het verbiedt :)

De bijnaam van die wet is onhandig gekozen want de wet is veel breder dan alleen cookies en gaat ook over dit soort zaken. De wet verbiedt het om (zonder toestemming) gebruikers te volgen en hun informatie op te slaan over door te geven*. Cookies zijn een manier om dat te doen, maar niet de enige manier. Het surfgedrag van je gebruikers tracken, opslaan en/of doorgeven via een browser-plugin is net zo min toegestaan als via cookies.


* Ik weet dat deze samenvatting wat kort door de bocht is en dat er uitzonderingen zijn maar het is wat te omslachtig om de hele wet hier te herhalen.
[...]
Het surfgedrag van je gebruikers tracken, opslaan en/of doorgeven via een browser-plugin is net zo min toegestaan als via cookies.
Ehm, dat was juist heel expliciet waar heel WOT om draaide.

Zonder het tracken opslaan en doorgeven bouw je Web of Trust op...
Ironisch, 'Web of Trust' en dan zoiets flikken.
Zodra een product, software of een dienst "Trust" in zijn naam heeft staan, dan is het voor mij meteen een no go om het aan te schaffen. Geen idee waarom maar als de naam erg inspeelt op een bepaalde intentie, dan denk ik al dat er een addertje onder het gras is.
Maar, maar, muizen en toetsenbord van Trust zijn toch prima??

/sarcasm
Je bedoelt zoals de "Democratische Republiek Congo".
Niet echt software, product of dienst, maar je hebt wel een beetje gelijk....
Jep, en de "Democratic People's Republic of Korea". Of de "Partij van de vrijheid". De voorbeelden zijn legio :)
Ik dacht meteen aan Partij van de Arbeid en Volkspartij voor Vrijheid en Democratie. :)
het was geen bindend referendum :p grijs gebied, maar ik snap je ergernis :)

iig, voorbeelden te over, zo blijkt maar weer :)
WOT, Ghostery, Adblock Plus, AdBlock zitten allemaal in, een vorm van, doorverkopen van je privegegevens of zijn daar schimmig over. Dus stem met je voeten!

Mijn tips: deze bedrijven beloven wel je privacy te waarborgen.
https://better.fyi/ (van https://ind.ie)
https://github.com/gorhill/uBlock/
Heb je daar bronnen van? Ik namelijk wel.

https://adblockplus.org/nl/privacy

Ik kan niet zo snel vinden waar staat dat zij dingen doorverkopen/of door mogen verkopen.
Dat heeft niets met privacy of dataverzameling te maken. Bovendien kun je die optie super makkelijk uitzetten. Namelijk:

Open AdblockPlus (rechtsboven in je browser) > opties > "Enkele niet-opdringerige advertenties toestaan" uitvinken. Heel makkelijk te vinden.

[Reactie gewijzigd door AnonymousWP op 2 november 2016 18:18]

Het beloven is meestal het probleem niet. Het nakomen van de belofte op langere termijn is een ander paar mouwen.
Recentelijk liet iemand me een demo zien van een website, waarbij je het surfgedrag kon zien van miljoenen australiers.. Deze mensen weten zelf niet dat ze getracked worden..
Deze tool had betere inzage in de keywords die mensen op Google gebruiken, dan de keyword suggestion tool van google zelf.
Ik zou zeggen. Lees het boek Je hebt wel iets te verbergen. Dat boek stikt van dit soort voorbeelden en het verbaast mij dat er zoveel mensen in de reacties verbaasd zijn over dat dit gebeurt?

[Reactie gewijzigd door Webgnome op 2 november 2016 10:41]

Nu weet je nooit helemaal zeker of een bepaalde add-on of dienst volledig te vertrouwen is (het internet volledig mijden is de meest veilige optie), maar deze site die vanuit de hackers community is opgezet werkt al verhelderend over welke add-ons of diensten je zou kunnen gebruiken: https://www.privacytools.io/
Een aanrader wat mij betreft.
Thx voor de link. Gebruik zelf al verschillende tools, maar deze site ook eens bekijken om te zien of ik iets gemist heb.
Uitstekende koppeling! Opgeslagen. Ik zag zo gauw alleen weinig over Android: Xprivacy bijvoorbeeld is heel goed.
Zwak punt van de add-ons en extensions dat deze overal bij kunnen. Wellicht dat een permissie systeem a la Android geïntroduceerd kan worden.
Ik heb van WOT al zo dikwijls false positives (dus negatieve beoordelingen) gehad, dat ik sabotage begon te vermoeden. Mijn vertrouwen is erdoor graatmager geworden.
En nu is er de spreekwoordelijke barst en druppel tegelijk ...

Bye-bye WOT. Salut en de kost! :(

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True