Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 41 reacties

Het bedrijf achter de browserextensie Web of Trust zegt de doorverkoop van de internetgeschiedenis van gebruikers te onderzoeken. Deze week berichtte de Duitse omroep NDR dat de extensie gegevens onvoldoende anonimiseert en doorverkoopt aan derden.

Een woordvoerder van Web of Trust zegt dat het onderzoek zal doen en maatregelen wil nemen 'als blijkt dat gebruikersgegevens onvoldoende geanonimiseerd en beschermd werden', schrijft de site Heise. Daarnaast wijst de woordvoerder op het feit dat het doorgeven van geanonimiseerde gegevens aan derde partijen in de voorwaarden van de extensie wordt genoemd en dat het bedrijf nooit inloggegevens van gebruikers prijsgeeft.

Tijdens het onderzoek van de NDR bleek dat het mogelijk was om verschillende gebruikers aan de hand van de Web of Trust-gegevens te identificeren, bijvoorbeeld met e-mailadressen en url's. Donderdag kwam de NDR met een nieuw persbericht, waaruit blijkt dat bovendien de gegevens van verschillende Duitse politici in te zien zijn. Dat betreft bijvoorbeeld vertrouwelijke gegevens over afspraken, interne aangelegenheden en persoonlijke informatie van de politici.

Daarnaast publiceerde Mozilla-vrijwilliger Rob Wu een post op GitHub waarin hij de Web of Trust-extensie onder de loep neemt. Tijdens zijn onderzoek kwam hij een onderdeel in de broncode tegen dat Web of Trust de mogelijkheid geeft om willekeurige code op webpagina's uit te voeren. Hij meldt dat de extensie hiermee bankgegevens kan stelen of malware kan installeren, maar dat deze functie nog niet is gebruikt.

Hij meldde zijn bevinding op het Bugzilla-platform. Daar loopt de discussie om de add-on volledig te verwijderen. Een Mozilla-medewerker reageert op de melding van Wu met de mededeling dat het vaker voorkomt dat 'het uitvoeren van code door add-ons mogelijk is, maar dat het over het algemeen niet is toegestaan'.

Dinsdag presenteerde de NDR de resultaten van zijn onderzoek, waaruit bleek dat Web of Trust en andere, niet nader genoemde add-ons de gegevens van gebruikers onvoldoende anonimiseren en doorverkopen aan derde partijen. Onderzoekers kregen de gegevens in handen door zich voor te doen als bedrijf dat zich bezighoudt met 'big data'.

Moderatie-faq Wijzig weergave

Reacties (41)

Een goede reminder voor iedereen om eens kritisch naar je extensies te kijken.
De meeste van deze extensies zijn gratis en daarom ben jij het product (jou persoonlijke gegevens of je surfgedrag).

Neem even de tijd om ze door te nemen
Google Chrome:
chrome://extensions/

Firefox:
Click the menu button and choose Add-ons. The Add-ons Manager tab will open.
In the Add-ons Manager tab, select the Extensions or Appearance panel.

Egde:
Open Microsoft Edge and select More (...) > Extensions

Internet explorer:
Open Internet Explorer, select the Tools button , and then select Manage add-ons.
Under Show, select All add-ons.

Opera (Thx,Markimoo):
opera://extensions

Safari (Mac):
Choose Preferences from the Safari menu, then click Extensions.

En uiteraard Facebook:
https://www.facebook.com/settings?tab=applications

[Reactie gewijzigd door dycell op 3 november 2016 20:59]

Vergeet vooral de browser zelf ook niet, die is immers ook gratis. Indirect betaal je alleen voor Edge/IE en Safari wat. Maar in ieder geval nog wel met geld.
Firefox is niet uit op data, opera ook niet. Of maak ik nu al een denkfout?
Ik twijfelde om Mozilla te nuanceren door het feit dat ze (deels) een stichting zijn en leven op donaties van andere bedrijven. Ik heb geen idee wat Opera's verdienmodel is. Aangezien Google's verdienmodel openlijk user profiling is vermijt ik Chrome in ieder geval, maar als je uitgaat van "als je er niet voor betaalt ben je zelf het product" is het lastig om de keuze voor Firefox of Opera direct te verdedigen.

Sowieso stuurt Firefox natuurlijk standaard een deel van je privacy-gevoelige browse-informatie door naar Google, dan wel direct, dan wel indirect, met behulp van de safe browsing methodes en zoeksuggesties als je in de adresbalk / zoekbalk typt. Daar krijgt Mozilla dan ook weer voor betaalt door Google dacht ik. Ook OCSP is vanuit privacy-oogpunt dubieus, maar dan richting de certificaatboeren. Gelukkig kun je het allemaal uitzetten.

[Reactie gewijzigd door MadEgg op 3 november 2016 16:38]

Het wordt vaker gedacht dat Firefox data doorstuurt vanwege Safe Browsing. Dat is dus niet zo. De lijst met gevaarlijke sites wordt elk halfuur gedownload. Als je 'n site bezoekt, wordt die site gecheckt tegen die gedownloade lijst. Er worden dus geen data naar Google verzonden. Voor hoe dit precies werkt:
https://support.mozilla.o...d-malware-protection-work
Ook het verhaal over zoeksuggesties die naar Google worden gestuurd als je iets in de adresbalk of zoekbalk typt, is onzin. Dat is alleen het geval, als je als zoekmachine Google opgeeft. En ook dan nog alleen, als je daar in de instellingen voor kiest.
En welke zoekmachine is standaard? O ja, Google. En zoeksuggesties staan standaard aan. Gister nog een nieuwe installatie van Firefox op een lege Windows gedaan, ook daar moest ik dat weer uitzetten.

Safe browsing stuurt elk halfuur een signaaltje naar Google dat ik op internet zit. Nee bedankt. Google hoeft *niets* van mijn internetgedrag te weten. Ook niet wanneer mijn browser draait. Mozilla net zo min overigens.

En van jouw link:
When you download an application file, Firefox checks the site hosting it against a list of sites known to contain “malware”. If the site is found on that list, Firefox blocks the file immediately, otherwise it asks Google’s Safe Browsing service if the software is safe by sending it some of the download’s metadata.*
Downloads kunnen ook doorgestuurd worden.
Ik raad iedereen - als je voldoende ge´nteresseerd bent - aan om zelf even die volledige tekst te lezen bij mozilla, in plaats van alleen een los citaat. Kun je zelf 'n mening vormen.
Daar sluit ik me bij aan. Het enige wat ik zeg is dat er wel degelijk gegevens over je browsegedrag verstuurd worden, ook bij het gebruik van Mozilla Firefox. Zowel naar Google als naar Mozilla. Of je dat erg vindt mag je zelf bepalen, o.a. naar aanleiding van de tekst in dat artikel.

Persoonlijk wil ik dat er 0.0 informatie over mijn browsegedrag verstuurd wordt. Daarom zet ik ßlles uit. Inschatten of iets een legitieme website is of niet kan ik zelf heel goed, en als ik twijfel (zelden) ben ik prima in staat om zelf een zoekmachine te gebruiken.
Als ik het mij goed herinner dan schakelt Firefox alleen URLbalkzoeksuggesties in als je op "Ja" klikt bij de vraag of je het wil inschakelen na een schone installatie, toch? Of is dat in de laatste paar maanden gewijzigd?
Klopt, dat zijn suggesties in de URL-balk. Je krijgt ook suggesties in de zoekbalk, en die krijg je altijd, tenzij je dat expliciet uitschakelt. Daarnaast, als je een typefout maakt bij een adres in d URL-balk dan wordt je omgeleid naar een zoekmachine (Google dus), tenzij je keyword.enabled in about:config uitschakelt.
Zou je kunnen toelichten hoe je dit uit kan zetten voor FireFox?
firefox instellingen
-bij search zoekengine eventueel veranderen naar duckduckgo of searx.me
-bij security Block reported attack sites uitzetten (gebruikt google safe search)
-bij security Block reported web forgeries uitzetten
-advanced->data choices-> health report disablen
In aanvulling op jeroen7s:

bij about:preferences -> advanced -> certificates -> Query OCSP responder servers (dit zet het navragen van de status van een certificaat bij de uitgever uit)

en bij about:config keyword.enabled op false zetten (dit zet het zoeken naar wat je in de adresbalk intypt uit).

Natuurlijk volledig op eigen risico; deze dingen hebben zo hun functie. Met OCSP uitgescakeld zie je het bijvoorbeeld niet als een certificaat is ingetrokken door de uitgever. Interesseert mij vrij weinig aangezien het hele certificaatsysteem toch een farce is totdat we iets als DANE op grote schaal gaan toepassen. Safe Surfing etc kan natuurlijk je ook beschermen als je jezelf niet in staat acht om aanvalssites te herkennen.
"als je er niet voor betaalt ben je zelf het product"

Is sowieso een zin die niet overal toepasselijk is. Er zijn genoeg gratis diensten die opgezet zijn door scholen, stichtingen etc. Er zijn ook oprecht instanties die terug willen geven aan de samenleving of uberhaupt bij willen dragen aan vooruitgang.
De vraag is hoe je erachter kunt komen - voor zover dat al mogelijk is - welke informatie de verschillende extensies verzamelen en wat ze er mee doen. Ik heb geprobeerd uit te vinden of bepaalde add-ons die ik in Firefox heb geinstalleerd, een database aanleggen van door mij bezochte pagina's. Helaas heb ik daar geen duidelijkheid over kunnen krijgen.
Ik laat Firefox al geen geschiedenis bewaren, dus zou ik het pijnlijk vinden als sommige plugins dat wel doen.
Bij PM en FF kun je gewoon de xpi van de extensie uitpakken (is in feite een zip container) en door de bestanden spitten.
En wie gaat zich daarmee bezighouden? Zelfs als developer ga ik absoluut niet de broncode van mijn extensies doorspitten voor ik ze gebruik. Ga je dan van iedereen verwachten dat ze dat wel doen?
Zelfs als developer van een extensie ga ik niet het compleet doorpluizen, natuurlijk debug ik wat en kijk ik of het stabiel is.

Kwam een paar maanden geleden er achter dat een extensie van mij die ik jaren geleden heb geschreven toen ik net starte met inmiddels 3000 gebruikers een lelijk beveiligingsgat had.
Het is een extensie die wat dingen replaced en injecteert op de pagina, had ik helemaal niet over na gedacht dat een HTTP verzoek gewoon mooi de referal mee stuurt. Mijn extensie laadde de afbeeldingen gewoon over http. Gevolg? Elke pagina die er bezocht werd door een gebruiker werd in de referal tag mee gestuurd naar mijn server, over een niet beveiligde verbinding!

Gezien het een extensie is die ik enkel online houd omdat het blijkbaar actieve gebruikers heeft (Het is niet mijn beste werk) heb ik simpelweg de verbinding over HTTPS laten lopen en logs uitgeschakeld.

Dit gebeurt waarschijnlijk bij veel extensies die externe scripts / files injecteren
Voeg referrerPolicy="no-referrer" toe aan je <img> en dan wordt er geen URL meer gelekt naar jouw server vanaf Firefox 50, zie https://developer.mozilla...ageElement/referrerPolicy
Jammer genoeg is mijn extensie een chrome extensie, enig idee of dit ooit geporteerd gaat worden naar Chromium?
Al sinds versie 51, zie https://www.chromestatus.com/feature/5743723954569216

Ik heb net MDN bijgewerkt.
Misschien een leuk idee als tweakers een onderzoekje doet naar de 20 meest gebruikte en hier een analyse op los laat? Ik zou het artikel zeker lezen :)
De vraag is hoe je erachter kunt komen - voor zover dat al mogelijk is - welke informatie de verschillende extensies verzamelen en wat ze er mee doen.
Ik heb geen directe oplossing voor mensen die Windows draaien maar op macOS draai ik LittleSnitch, dit is een onder andere een uitgaande firewall die het verkeer die mijn computer verlaat controleert. Zodra een extensie of app verbinding probeert te maken met een extern adres dan krijg ik hier melding van. Vervolgens kun je dan gaan beoordelen of de verbinding veilig is of dat deze noodzakelijk is.

Lastpass probeert bijvoorbeeld met Google te verbinden binnen de client, hier krijg je dan een melding van en dan kun je vervolgens kiezen om dit eenmalig, tijdelijk of permanent toe te staan of te weigeren. Super handig als je graag zelf de touwtjes in handen hebt.
LittleSnitch is inderdaad een heerlijke firewall. Helaas niets voor Windows wat ook maar enigszins in de buurt komt. Er zijn wel wat uitgaande firewalls die iets soortgelijks bereiken maar door de architectuur van Windows is dat lastig; heel veel requests komen uiteindelijk indirect via een of andere systeem-DDL van Windows waardoor je niet duidelijk ziet welk programma nu verantwoordelijk is voor die request. En als je die DLL whitelist heb je geen inzicht meer.

Voor Linux heb je Leopard Flower wat wel wat van Little Snitch heeft, maar heeft nog een hele lange weg moet gaan qua stabiliteit en gebruikersvriendelijkheid. Helaas lijkt dat ook niet meer doorontwikkeld te worden.
Misschien is TinyWall wat voor Windows, vroeger gebruikte ik Tiny Firewall en die was redelijk gebruiks vriendelijk, en gaf ook een melding bij uitgaand verkeer. nu gebrukt ik geen Windows meer.
Je vergeet Opera: opera://extensions
En hoe zit het het Safari? :) (Ben zelf geen Apple gebruiker, maar het zou wel leuk zijn als het weer terug kwam op Windows)
Update van MyWot:
Dear users,
We take our users’ privacy rights very seriously, and for that reason we go to great lengths to anonymize and aggregate the data we collect to run our service, and we of course never license or disclose user registration information.
If there have been instances where any information was not adequately anonymized and protected, we will of course look into it and, where necessary, take measures to ensure adequate protection for our users. We appreciate the users who have contacted us and brought this to our attention.
We will continue to proudly protect our users from countless online threats as we have for the past decade.
Ik had dit zelf ook ge´nstalleerd staan, kun je beoordelingen van websites van andere bezoekers zien.
Dus op moment dat je een neppe webshop tegenkomt hoef je niet eerst te googelen of deze echt nep is maar krijg je direct een waarschuwing.

De addon op zich is best nuttig, maar nu blijkt dus dat deze zelf niet te vertrouwen is.
Het doorverkopen van:
  • e-mailadressen
  • url's
  • vertrouwelijke gegevens over afspraken
  • interne aangelegenheden
  • persoonlijke informatie (van de politici)
Daarnaast lijkt de addon mij zelf malware te zijn vanwege:
kwam hij een onderdeel in de broncode tegen, dat Web of Trust de mogelijkheid geeft om willekeurige code op webpagina's uit te voeren
Dat is toch best een pittige opsomming en wat mij betreft inderdaad direct reden om deze addon te verwijderen en te verwachten van Mozilla dat deze de addon niet langer aanbiedt.

Helaas is deze op dit moment nog wel te vinden op https://addons.mozilla.org/en-US/firefox/addon/wot-safe-browsing-tool/. De recente comments daar vermelden gelukkig wel dat het niet goed zit met deze addon. Ik voeg mijn stem ook maar even toe.
Dat maar velen dat ook even mogen doen zodat de waardering heel snel keldert.

[Reactie gewijzigd door JDVB op 3 november 2016 15:53]

Inmiddels is de plugin niet meer te downloaden:
"This add-on has been disabled by an administrator"
Elke plugin die content van een webpagina kan modificeren in de browser zou bank- of andere gegevens kunnen stelen of malware kunnen installeren. Daar vallen dus ook oa adblockers en password managers onder. Dus dat een plugin dit kan vind ik niet zo bijzonder en dit nu roepen komt mij meer over als aandacht zoeken.
Zolang dit lokaal gebeurd tot op zekere hoogte (strip, not add), echter de plugin haalt de 'rules' (een js file/parameter lijst) extern op. Hierdoor is er geen enkele verificatie mogelijk wat er ingeladen wordt of uitrevoerd kan worden.

Zie de Rob Wu publicatie.

[Reactie gewijzigd door Sloerie op 3 november 2016 15:32]

Gewone (niet-kwaadaardige) extensies voeren niet willekeurige code van externe bronnen uit in elke pagina die je bezoekt.
Bij WOT was dat wel het geval. Sterker nog, het bevatte zelfs de mogelijkheid om code uit te voeren met de rechten van Firefox, waardoor er in het ergste geval malware op het systeem ge´nstalleerd kan worden, zonder interactie noch medeweten van de gebruiker. Daarom heb ik dit als een kritiek probleem bestempeld.
Gevalletje mosterd na de maaltijd. Ik heb de extensie al verwijderd.
Hoe zit het bij al die andere waar deze extensie nog altijd is ge´nstalleerd? :|

Beter zou zijn dat Mozilla deze uit de Add-ons catalog verwijderd en tevens deze op elke installatie standaard blokkeert en waarschuwt. Verwijderen is doorgaans te drastisch.

Verder wil ik niet weten hoeveel mensen zo'n extensie als deze gebruiken, zelfs Antivirussoftware hebben tegenwoordig een.
Ik snap niet waarom mensen zo'n extra kinderjuffrouw willen installeren. We worden al genoeg betutteld (bijvoorbeeld door Google met z'n ergerlijke "web forgery" waarschuwingen zodra je in de buurt van een torrentsite komt, of z'n tergende "let op, iemand logde in op jouw account via een andere computer" als je het waagt om op verschillende computers in te loggen). Ik krijg het hier al serieus van op mijn zenuwen, laat staan dat ik nˇg zo'n digitaal inspecteurtje erbij wil.
Je bent niet verplicht om het te installeren.
Net zoals je niet verplicht bent om Google te gebruiken, gebruik bijvoorbeels eens duckduckgo.com

Maar sommige mensen vinden zo'n extra "digitaal inspecteurtje" wel fijn: er zijn nogal wat malafide websites in de wereld en als je een beetje extra zekerheid wil voor je je gegevens van je credit card ingeeft op het internet is dit dus een optie. Jammer genoeg blijkt het geen goede optie te zijn...
Tijdens zijn onderzoek kwam hij een onderdeel in de broncode tegen, dat Web of Trust de mogelijkheid geeft om willekeurige code op webpagina's uit te voeren. Hij meldt dat de extensie hiermee bankgegevens kan stelen of malware kan installeren, maar dat deze functie nog niet is gebruikt.

Hij meldde zijn bevinding op het Bugzilla-platform. Daar loopt de discussie om de add-on volledig te verwijderen.

Korte discussie, lijkt mij... :)
"Daarnaast publiceerde Mozilla-vrijwilliger Rob Wu een post op GitHub, waarin hij de Web of Trust-extensie onder de loep neemt. Tijdens zijn onderzoek kwam hij een onderdeel in de broncode tegen, dat Web of Trust de mogelijkheid geeft om willekeurige code op webpagina's uit te voeren. Hij meldt dat de extensie hiermee bankgegevens kan stelen of malware kan installeren, maar dat deze functie nog niet is gebruikt." - Dit geeft natuurlijk ook weer een reden om de addon (die reeds is verwijderd) te verwijderen. Ik moet er niet aan denken dat bepaalde gegevens, zoals bankgegevens worden gestolen.

Ik ben ook benieuwd naar een eventuele reactie van WoT na dat onderzoek. :)

Edit: Ook op het forum van WoT loopt er een discussie over.

[Reactie gewijzigd door Markimoo op 3 november 2016 15:38]

Misschien handig om te vermelden waar de Web-Of-Trust extentie voor gebruikt wordt? Ik ga even googelen, kom zo terug.

EDIT:
Check out any website for reputation and safety information based on users' experience.

[Reactie gewijzigd door DeBierVampier op 3 november 2016 15:27]

Wat een naam voor een privacy-schendende-plugin. Van Clinton vs. Trump wordt ik al nerveus - maar dit soort beunhazerij maakt me eigenlijk razend.
= Firma 101 op de zwarte lijst dus!

[Reactie gewijzigd door mutley69 op 3 november 2016 20:20]

Afgezien van wat je tegen deze malafide praktijken kunt doen: ik mag hopen dat dit "bedrijf" een zware straf opgelegd krijgt. Idem de directie, persoonlijk: CEO/CFO/CxO een tijdje achter tralies.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True