×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Bij kinderen populaire app Musical.ly gebruikt geen encryptie bij uploads

Door , 176 reacties

Musical.ly, de onder kinderen populaire app waarmee ze onder andere korte muziekfilmpjes kunnen maken, gebruikt geen encryptie. Wanneer een gebruiker dus op een openbaar wifinetwerk een filmpje uploadt, kan deze gemakkelijk onderschept worden door derden.

Het nieuws blijkt uit praktijkonderzoek van de NOS, die als demonstratie enkele Musical.ly-filmpjes onderschept op de wifi van een camping. De omroep gebruikte daarvoor de software Wireshark, wat het naar eigen zeggen 'makkelijk' maakte om de opnamen in handen te krijgen. Ook maakt het geen verschil of een Musical.ly-account privé is of openbaar. Schellevis vult het verhaal verder aan door te melden dat andere onderdelen van de communicatie van de app wel versleuteld zijn, wat het onwaarschijnlijk maakt dat de ontwikkelaars niet op de hoogte zijn van het feit dat de audio en video onversleuteld verstuurd wordt.

Musical.ly is volgens de NOS behoorlijk populair onder kinderen. Een risico is dan ook dat niet voor de openbaarheid bedoelde filmpjes in handen komen van pedofielen. Hoewel er geen specifieke cijfers zijn over de leeftijden van gebruikers en waar ze zich bevinden, valt wel te zien in de Play Store dat de app 50 tot 100 miljoen installaties heeft bereikt.

De NOS zocht aan het begin van afgelopen vrijdag contact met de ontwikkelaar van de app om te vragen naar een oplossing, maar die heeft niet gereageerd voordat het item op zaterdagavond online ging. Voorlopig kunnen gebruikers het probleem alleen tijdelijk oplossen door de app niet op openbare draadloze netwerken te gebruiken. Hier geldt echter wel dat als een kwaadwillende samen met zijn doelwit op hetzelfde beveiligde wifinetwerk zit, dezelfde risico's gelden. Een vpn inzetten zou ook werken.

Door Mark Hendrikman

Freelancer

23-07-2017 • 10:16

176 Linkedin Google+

Reacties (176)

Wijzig sortering
De NOS zocht contact met de ontwikkelaar van de app in San Fransisco om te vragen naar een oplossing, maar die heeft niet gereageerd.
Slecht van de NOS om ze niet de kans te geven om fatsoenlijk te reageren.Er zijn namelijk wat fouten gemaakt door Joost Schellevis, de auteur.

Musical.ly zit namelijk niet in SF maar het hoofdkantoor zit in Shanghai. Hun SF office is alleen voor markteing en licenties, afgelopen vrijdag is er om 11:00 een mail gestuurd naar Musical.ly, echter in Shanghai is het +6 waardoor het daar 17:00 was. Even tot begin volgende week wachten was een stuk netter geweest ivm responsible disclosure. Verder is een VPN niet altijd veilig, helemaal gratis VPN's verkopen en gebruiken gewoon je data.

Wat ook hypocriet is dat tweakers zelf pas een jaar over is op HTTPS. Tot die tijd werd alleen het inlog proces beveiligd maar alle DM's en Posts waren gewoon te lezen.

Eind conclusie, vertrouw nooit externe wifi netwerken.

Bonus gratis nieuwstip voor Tweakers, geenstijl gebruikt nergens https (dus ook niet bij het inloggen)

[Reactie gewijzigd door GrooV op 23 juli 2017 12:41]

Musical.ly zit namelijk niet in SF maar het hoofdkantoor zit in Shanghai. Hun SF office is alleen voor markteing en licenties, afgelopen vrijdag is er om 11:00 een mail gestuurd naar Musical.ly, echter in Shanghai is het +6 waardoor het daar 17:00 was.
Hier de auteur van het NOS-verhaal. Voordat je dit soort beweringen doet, had je natuurlijk ook gewoon een reactie kunnen vragen, iets waar je zelf voor pleit ;)

Hun pr-bureau zit in Los Angeles en New York. Daar hebben we dan ook contact mee gezocht, niet met het hoofdkantoor in welk land dan ook (weet niet waar dat vandaan komt, dat heb ik nergens geschreven.) In New York was het toen vijf uur 's ochtends, voordat de werkdag begon; in Los Angeles nog drie uur vroeger.

Het pr-bureau heeft niks van zich laten horen - als zij hadden aangegeven dat ze bijvoorbeeld tijd nodig hadden om een reactie te krijgen bij het hoofdkantoor, dan hadden we daar rekening mee gehouden. Maar zelfs geen ontvangstbevestiging gekregen.

Los daarvan is dit een ontwerpfout. Een groot deel van het verkeer is namelijk wel versleuteld, alleen de foto's/video's niet. Lijkt me heel sterk dat Musical.ly daar niet al van op de hoogte was.

[Reactie gewijzigd door Joost op 23 juli 2017 12:45]

De kop had ook kunnen zijn "NOS stelt pedofielen in staat om deze zomer aan meer materiaal te komen". Het is onbehoorlijk dat men niet alle middelen uitput om contact te leggen de tijdspanne tussen concluderen, contact verzoeken en overgaan tot publiceren is wat ik bij de Telegraaf verwacht in de Privé katernen.

Als ik de Code voor Journalistiek weeg tegen de inhoudelijke publicatie en de respons van Joost op deze site, dan snap ik Joost enerzijds zeker wel. Anderzijds zie ik tegelijkertijd ook wat tegenstrijdigheden in de verdediging en de werkwijzen die alleen deze code al uitdraagt.

Mijn persoonlijke mening is dat één werkdag wachten op respons gewoonweg te karig is. Een redelijke termijn is toch vaak twee weken. En zijn er buiten mail ook andere communicatiemiddelen gepoogd? Met een beetje zoeken is telefonisch contact mogelijk en kun je ook via hun advocatuur de aandacht vragen. Buiten dat: De kans op contacten reactie is op een maandag vele malen groter, zoals men bij de NOS ook zeker wel weet.
Dat zijn een hoop grote woorden, maar mijns inziens toch stemmingmakende en populistische teksten. Ik vind het heel goed dat de NOS dit aankaart. Door te vertellen dat iets mogelijk te misbruiken valt, kán je kwaadwillenden attenderen op iets dat ze nog niet wisten. De kans is echter veel groter dat je legitieme gebruikers attendeert dit op veiliger wijze te gebruiken. Zoals @zacht dit in deze post zegt: zacht in 'nieuws: Bij kinderen populaire app Musical.ly gebruikt geen encrypt... zou ik dit ook graag meteen willen weten.
Ik ben het met jou eens dat er twee partijen vroegtijdig geattendeerd worden: de kwaadwillenden en de onschuldige onwetenden. De derde partij, de ontwikkelaar die het kan verhelpen, wordt alleen niet de kans gegeven om voortijdig het probleem op te lossen. Vóórdat een grote groep kwaadwillenden op de hoogte wordt gesteld.

Dat is exact de reden dat bij whitehats er een redelijke termijn is naar de derde partij om het probleem te verhelpen, alvorens tot publicatie over te gaan. Nu stelt men sowieso een grotere groep kwaadwillenden dan nodig in staat om een eerder nog niet breed bekend probleem te misbruiken en dat is naar mijn persoonlijke mening net even een brug te ver.

De voorgestelde titel is zeker populistisch, bewust ook. Stemmingmakerij, mwah, onze meningen verschillen dan denk ik (dat mag!). Maar lees de code anders eens er op na en weeg het eens tegen het stuk en de reacties van de auteur hier.
Duidelijk. Ik snap ook helemaal waar je heen wilt. Echter, zolang de NOS geen stappenplan geeft, maar alleen stelt dat de app lek is op bepaalde punten, of bij bepaald gebruik; wil dat nog niet zeggen dat ze daarmee kwaadwillenden in staat stellen tot het misbruik.

Ik heb helaas geen verstand van code. Enige "hacken" dat ik kan is het aanpassen van een url in mijn browser of het aanpassen van een formule in Word / Excel. ;)
De kop had ook kunnen zijn "NOS stelt pedofielen in staat om deze zomer aan meer materiaal te komen". Het is onbehoorlijk dat men niet alle middelen uitput om contact te leggen de tijdspanne tussen concluderen, contact verzoeken en overgaan tot publiceren is wat ik bij de Telegraaf verwacht in de Privé katernen.
Ouders worden nu ook op een idee gebracht: die app van de smartphone van hun kinderen verwijderen. Daar al eens aan gedacht?

Daarnaast is de beveiliging de verantwoordelijkheid van de uitgever, niet de NOS. De NOS is een nieuwsdienst, geen app audit instantie en nieuws van 2 weken oud is geen nieuws meer. Vind het risico sowieso wat overtrokken, een beetje het niveau van "tracking door bluetooth tags", of dat iedere open wifi een "honeypot" is van een veiligheidsdienst. Het kan allemaal, maar er wordt over het hoofd gezien dat er veel reëlere gevaren zijn die minder complex zijn van aard.

[Reactie gewijzigd door Atomsk op 24 juli 2017 02:06]

Natuurlijk aan gedacht! Maar diegenen die het niet doen of niet de kennis er voor hebben om het anders te doen zien zich geconfronteerd met een onnodig groter geworden groep kwaadwillenden. Als de ontwikkelaar bij wijze van spreken het volgende week had opgelost en het dan pas naar buiten kwam.. maar achteraf is makkelijk praten natuurlijk.

Natuurlijk is de NOS geen audit- of andere instantie. Maar: hoor en wederhoor binnen een redelijke termijn kan ik dit ook niet noemen. Vind de eerder genoemde code denk ik ook niet:
17. Het zoeken naar hoor en wederhoor is een journalistiek basisprincipe. In het bijzonder bij het publiceren van beschuldigingen of verdachtmakingen aan het adres van een persoon of organisatie, past de journalist wederhoor toe. De beschuldigde krijgt voldoende gelegenheid, liefst in dezelfde publicatie en zonder onredelijke tijdsdruk, te reageren op de aantijging.
Is 8 uur (werkdag) en publiceren voldoende gelegenheid zonder tijdsdruk? Daarover zullen de meningen zeker verschillen.
Als ik je verhaal goed begrijp vind het niet echt ethisch verantwoord om het zo snel te publiceren. Je zou zo'n bedrijf op z'n minst een week (of twee) moeten geven om te reageren (mits je het op een verantwoorde manier wil melden), al helemaal als je het pr-bureau mailt (zij zien de ernst van zoiets waarschijnlijk niet in). En wanneer ze gereageerd hebben nog eens 90 dagen om het op te lossen.

Het artikel na een dag publiceren, terwijl het probleem nog niet is opgelost, klinkt als goedkoop willen scoren. Als ik een lek vind op nos.nl of tweakers.net en er wordt niet binnen 2 dagen gereageerd hang ik het ook niet direct aan de grote klok.

[Reactie gewijzigd door VeQVQUCjsxagUCH op 23 juli 2017 17:05]

Twee weken om te reageren? Een reactie als 'Dzjie, daar komen we op terug' kan dezelfde dag de deur uit. Nog los van de ernst van dit probleem en de verantwoordelijkheid naar de gebruikers toe. Als mijn kind deze software zou gebruiken zou ik dit soort problemen ook nu willen weten, en niet over twee weken.
Dan kan inderdaad (en dat had beter geweest), dat ben ik met je eens. Maar dat gaat niet zo bij ieder bedrijf (blijkt dus uit de use-case van het artikel). Dat het na 2 dagen wordt gepubliceerd omdat er geen reactie was vind ik dus een beetje jammer.
Mij lijkt er ook zoiets als journalistieke verplichting naar de burger te bestaan. Ouders hebben recht om te weten dat er video's van kinderen eenvoudig onderschept kunnen worden, en dus ook door kwaadwillenden.
dat zou je ook kunnen zeggen over alle lekken die in Windows worden gevonden...
dat de gebruikers het recht erop hebben om dat te weten, maar in de praktijk blijkt dan dat het lek dan juist sneller gebruikt word dan als niemand er vanaf wist behalve een paar personen.
Verder heb ik nog nooit ouders zien kijken of websites/email adres wel https ondersteunde voor dat ze die gebruikte natuurlijk zijn er ook genoeg ouders die dat wel die maar ik denk dat het grootste gehalte dat niet doet.
Er kwam geen enkele reactie, zelfs geen ontvangstbevestiging. Wil je nu beweren dat een app ontwikkelaar zijn mail niet dagelijks checkt? Helemaal als het om de PR afdeling gaat. Bedrijf had op zijn minst kunnen aangeven met een reactie te komen, dan had NOS vast wel even gewacht. 2 weken was misschien relevant toen alles nog met de post ging maar in deze tijd is 2 dagen wel een beetje de grens hoor.
Bekend zijn met een potentieel gevaar en dat voor je houden is pas ethisch onverantwoord. Het is niet zo als met Windows of Android dat de schade van het openbaren van een lek groter kan zijn dan het al dan niet tijdelijk verzwijgen ervan. Er zit nogal een verschil tussen het openbaren van een gevaarlijk lek in een appje dat je niet per sé nodig hebt vs een lek in door miljarden gebruikte systeemsoftware.
Ik zeg ook niet dat je het voor je moet houden. Maar een bedrijf meer dan een dag de tijd geven om te reageren zou wel netjes zijn.
Ik heb je gisteren op Twitter hier al van op de hoogte gebracht, daar reageerde je niet op
Ah, jij bent Matthijs B? Ik snapte je opmerking over Shanghai niet, nu wel.
Dus dan maar lekker negeren in plaats van om opheldering vragen? Dan ben je net zo 'fout' bezig als hun pr-bureau wat mij betreft.. :X
Benieuwd wat je slecht vindt aan ons onderzoekje! Je verkapte bedreiging negeer ik maar even.
Och ja hoor, links mannetje .. dat maakt jou een rechts mannetje? Weet je wel wat dat is, politiek gezien, links of rechts? En verder voegt niks toe aan de discussie als je vol op het orgel gaat.

Verder hebben ouders er alle belang bij op de hoogte te zijn van dit soort kanttekeningen bij apps die mogelijk gebruikt worden door hun koters, dat staat los van de kwaliteit van het onderzoek. Je weet zelf ook hoeveel openbare WiFi spots het verkeer niet isoleren.

[Reactie gewijzigd door michelr op 23 juli 2017 19:42]

Helemaal eens, met beide punten.

Misschien is het sensatie nieuws door de link te leggen naar mogelijk kinderpornografie, maar het is wel een broodnodige wake-up call. Ouders staan alles maar toe omdat zij geen flauw benul hebben van digitale veiligheid. Het zou namelijk niet de eerste keer zijn dat een kind langdurig wordt gechanteerd met video materiaal.

Ook interessant om te zien dat "links" tegenwoordig ook als scheldwoord kan worden gebruikt.

Als laatste;
Laten we jouw dataverwerking eens onder de loep nemen en maak je borst maar vast nat.
Ik begrijp heel goed dat dit geïnterpreteerd kan worden als dreigement. Zo gek is dat niet.
"Eind conclusie, vertrouw nooit externe wifi netwerken."

Daarom gebruik ik altijd bij een onbekende WiFi verbinding (hotel, etc), of als ik belangrijke dingen ga doen op internet mijn eigen VPN verbinding via mijn eigen Synology NAS, die loopt ook nog eens over mijn Pi-Hole dus ben ik ook nog eens on the go van alle advertenties af! _/-\o_

Veel teveel mensen en vooral jongeren zijn veel te naïef en verbinden met elke "gratis" WiFi die ze kunnen vinden want dat scheelt zo lekker veel aan data! |:(
"Eind conclusie, vertrouw nooit externe wifi netwerken."

Daarom gebruik ik altijd bij een onbekende WiFi verbinding (hotel, etc), of als ik belangrijke dingen ga doen op internet mijn eigen VPN verbinding via mijn eigen Synology NAS, die loopt ook nog eens over mijn Pi-Hole dus ben ik ook nog eens on the go van alle advertenties af! _/-\o_

Veel teveel mensen en vooral jongeren zijn veel te naïef en verbinden met elke "gratis" WiFi die ze kunnen vinden want dat scheelt zo lekker veel aan data! |:(
En dat terwijl het een kleine extra handeling is, om de vpn op te zetten ( als de backend al draait )
Zelfs mijn vrouw en kinderen begrijpen het, op elk extern netwerk gaat de vpn aan.
De oudste zit op het VWO, daar draait een eigen beheer wifi, en moeten ze inloggen met hun leerling-gegevens.
Maar nog steeds zie ik dagelijks de vpnlog verschijnen, ook hij heeft door dat de eigen adblocker en ongeblokkeerde toegang beter zijn, dan de wensen van een systeembeheerder die je niet kent
Helaas bewijst dit artikel nieuws: Onderzoek: veel gratis vpn-apps voor Android waarborgen privacy niet
Dat VPN ook niet altijd je veiligheid waarborgt.
Of het moet blijkbaar al een betaalde dienst zijn.
Zelfs een betaalde dienst moet je niet 100% vertrouwen.
Het blijft altijd een tunnel langs een derde aanbieder
Of het nu gratis is, of 100$/m de afhankelijkheid van vertrouwen blijft aanwezig.
Dat is de reden dat ik zelf een vpn heb draaien, elk wifipunt buiten mijn netwerk / controle gaat via mijn eigen tunnels.

Ik vertrouw mijn ICT-beheerder niet, ik ken de persoon niet, ik ken zijn 'opdrachten' niet, en weet dat er een aantal services geblokkeerd zijn op het netwerk.
Dat is de keuze van het bedrijf, daar sta ik achter, maar dmv mijn eigen device op mijn eigen tunnel kan ik het risico voor beiden beperken.
Ik krijg geen mailtjes over gekke pagina's met streaming tv of pornosites, die collega's al wel ontvangen hebben :+
Mijn online activiteiten zijn privé, tot aan de bezochte websites toe, en al mag de werkgever niet 'meekijken', wie zegt me dat het niet tegen me gebruikt wordt op een later tijdstip.

Zoals bij mijn oudste, in de pauzes en tussenuren kunnen ze vrij rondbewegen, maar hun internetverbinding is restricted, veel pagina's worden doorgeleid naar een in-house proxy, met de angstaanjagende mededeling "deze pagina is geblokkeerd, de administrator is op de hoogte gebracht voor evaluatie"
Wat voor evaluatie ?
Van de site, of van de bezoeker ?

Met de vpn naar huis, heeft hij daar geen last van
( nou ja, minder, want ook hier word sommige content geblokkeerd :+ )
Blijkbaar vertrouw je je ISP wel volledig en volkomen blind. Maar die kan ook meekijken met wat je doet. En het verkopen aan de hoogste bieder. Of erger.
Tja, maar je kan overdrijven ook.
Iets met Don Quichote en zijn windmolens.

Het is eenvoudiger om je eigen vpn op te zetten, dan dat het is om 'privé' internettoegang ( aka eigen provider ) te beginnen.
Als je al zover bent dat je je eigen provider niet vertrouwd, kan je niet één provider vertrouwen, en moet je echt in een aluminium hut gaan wonen op een signaal-loze hei.

Ja ik vertrouw Ziggo en KPN dat ze niet één op één mijn data monitoren, met als doel mij te bekijken, dat kan ik niet van een school of werkgever zeggen.
Mijn werkgever zal het ook niet doen, dat vooropgesteld, maar als ik het kan ontwijken, zal ik dat ook doen.
Ik vertrouw mijn ICT-beheerder niet, ik ken de persoon niet, ik ken zijn 'opdrachten' niet, en weet dat er een aantal services geblokkeerd zijn op het netwerk.
Dat is de keuze van het bedrijf, daar sta ik achter, maar dmv mijn eigen device op mijn eigen tunnel kan ik het risico voor beiden beperken.
Ik krijg geen mailtjes over gekke pagina's met streaming tv of pornosites, die collega's al wel ontvangen hebben :+
Mijn online activiteiten zijn privé, tot aan de bezochte websites toe, en al mag de werkgever niet 'meekijken', wie zegt me dat het niet tegen me gebruikt wordt op een later tijdstip.
Euhm, dat is niet waar. Alles wat jij doet tijdens werktijd op het bedrijfsnetwerk is per definitie niet prive. Het doel bewust maskeren van je internetgedrag op je werk kan zelfs reden zijn voor ontslag.
Alles wat jij doet tijdens werktijd op het bedrijfsnetwerk is per definitie niet prive.
Ik zou je even inlezen in de materie voordat je dit soort disinformatie blijft verspreiden. Jij mag van alles privé doen onder werktijd en jouw baas mag daar niet in neuzen, behalve in hele uitzonderlijke gevallen. Het ongevraagd en zonder zwaarwegende noodzaak in prive-informatie neuzen door de baas kan zelfs tot strafrechtelijk vervolging van de baas leiden.
Zowel mijn opmerking als jouw opmerking zijn correct. De baas mag niet in jouw privé zaken neuzen maar jij mag ook niet bewust je werkzaamheden op je werk maskeren.
Ik heb nog nooit in enige juridische bron gelezen dat het verboden is bewust je privéactiviteiten te maskeren op het werk. Natuurlijk kan men vpn's blokkeren, en in reglementen van alles en nog wat zeggen, maar uiteindelijk is het maskeren van informatiestromen de manier om je privézaken privé te houden.

Bedoel je echt dat ik bv. niet via https Gmail mag benaderen vanaf mijn baas z'n netwerk?
De discussie gaat hier over het gebruik maken van een VPN tijdens het werk op het netwerk van de baas.
Door het gebruik van een VPN is er geen onderscheid meer te maken tussen privé informatie en zakelijk informatie. Je zou kunnen beargumenteren dat wanneer er geen onderscheid te maken is dat de informatie als privé dient te worden behandeld omdat anders het recht op privacy in het geding komt. Echter lijkt mij dit een brug te ver omdat het dan de deur open zet voor onrechtmatig gebruik van het bedrijfsnetwerk zowel ongewenst en/of illegaal. Recht op privacy is geen absoluut recht en mag in sommige gevallen beperkt worden. Ik ben van mening als een soortgelijke zaak ooit voorkomt dat de rechter zal zeggen dat het recht op gebruik van een VPN tijdens het werk op het netwerk van de baas disproportioneel is om je recht op privacy te beschermen.

Ps. Je kan merken in je beargumentatie dat je van huis uit een jurist bent.
"Bedoel je echt dat ik bv. niet via https Gmail mag benaderen vanaf mijn baas z'n netwerk?" reductio ad absurdum. Mijn stelling wegzetten als absurd door het geven van een niet relevant absurd voorbeeld.

"Ik heb nog nooit in enige juridische bron gelezen dat het verboden is bewust je privéactiviteiten te maskeren op het werk" argumentum ex silentio. Omdat er nog geen vergelijkbare zaak is geweest, betekent niet automatisch dat de stelling incorrect is.
Euhm, dat is niet waar. Alles wat jij doet tijdens werktijd op het bedrijfsnetwerk is per definitie niet prive. Het doel bewust maskeren van je internetgedrag op je werk kan zelfs reden zijn voor ontslag.
Ik geef het ze te doen, op een eigen device, via een opengesteld netwerk voor bezoek en personeel ...
Lijkt me een goede zaak om ontslag te geven ...
Je kan zelfs bij iOS en ook bij Android volgens mij standaard al het verkeer allen maar via een VPN laten gaan. Dat zou de beste optie zijn als mensen er geen verstand van hebben. (moet je thuis natuurlijk wel een degelijke lijn hebben liggen :) )

Bij een laptop is het natuurlijk nog makkelijker
Ik heb indeedaad connect on demand aanstaan (mijn spullen staan in het Engels ingesteld).
Even tot begin volgende week wachten was een stuk netter geweest ivm responsible disclosure.
Responsible disclosure is niet alleen om de beheerder een kans te geven om maatregelen te nemen, ook de veiligheid van de eindgebruiker moet worden overwogen. In dit geval betreft het een zero day die mogelijk al actief wordt misbruikt en waarbij de gebruikers direct gevaar lopen. Het gaat om kinderen die afgetapt kunnen worden zonder dat iemand daar iets van merkt en het verzamelde materiaal kan met derden (of het hele internet) worden gedeeld zonder dat het slachtoffer daar enige inspraak in heeft. Doordat vanwege de zomervakantie veel gebruikers op campings open hotspots gebruiken is het gevaar extra groot. Het is namelijk technisch mogelijk om middels een mitm attack (transparante nep hotspot) de fysieke locatie van de gebruiker te traceren.

Dit is een ernstig veiligheidsprobleem en ik ben dan ook van mening dat de NOS juist heeft gehandeld om niet te wachten op een reactie van het PR bureau.
Nee zo werkt zoiets niet, juist door deze manier breng je een zero day naar buiten. Nu weet iedere camping bewoner hoe hij aan zingende kinder filmpjes moet komen.

Regel 1 van iedere white hat, geef de fabrikant/dienst/eigenaar de redelijke tijd om het op te lossen, zie bijv https://security.stackexc...ity-in-an-ethical-fashion

[Reactie gewijzigd door GrooV op 23 juli 2017 19:43]

Nee zo werkt zoiets niet, juist door deze manier breng je een zero day naar buiten. Nu weet iedere camping bewoner hoe hij aan zingende kinder filmpjes moet komen.
Het is waar dat de berichtgeving het probleem nog meer onder de aandacht brengt en zo de bedoelingen tegenwerkt. Maar open wifi netwerken worden al jaren misbruikt voor snooping en mitm aanvallen en de technieken worden met de dag toegankelijker (gratis) in simpele tools voor iedereen wereldwijd. Het is daarom heel goed mogelijk dat het datalek al actief wordt misbruikt, want een willekeurige tech die het toevallig bij een steekproef tegenkomt zal vast niet eerste zijn!

Bij nader inzien ben ik het er wel mee eens dat NOS eerst écht contact had moeten leggen, niet slechts een mailtje in het weekend, zodat Musical.ly wellicht tijdelijk offline gehaald had kunnen worden; in het kader van 'maintenance' of iets dergelijks. Ondertussen pushen ze een hotfix en dat dan pas het artikel wordt gepubliceerd. Die maintenance window had dan wel binnen 48u moeten plaatsvinden en niet pas maanden later zoals in andere comments wordt aangeraden. Echter maakt Musical.ly het contact leggen niet eenvoudig met alleen maar emailadressen en een faxnummer.. Laat staan dat er een responsible disclosure form is. De tijd die ze hebben besteed aan de terms of service hadden ze nuttiger kunnen inzetten.

Persoonlijk vind ik het slordig van de ontwikkelaar dat ze slechts delen van de data transport hebben beveiligd. De app is voor een jonge doelgroep (gericht op tieners) waarvan je niet kan verwachten dat zij zich bewust zijn van de risico's van alles wat ze doen op het net. Net alsof zij bij aanmelden de hele EULA gaan lezen! Het bedrijf weet dit want ze hebben een 'For Parents' tekst op de site staan. Dit probleem kúnnen ze niet gemist hebben bij de ontwikkeling van de app, wat mij doet vermoeden dat het een bewuste afweging is geweest. Waarschijnlijk zit er ergens een goedkope CDN tussen die geen tls ondersteund of wordt er extreem op bandbreedte bezuinigd. Geld gaat helaas nog vaak voor andere belangen. Maargoed dat is mijn aanname.
> ernstig veiligheidsprobleem

Waarschijnlijkheid en impact zijn minimaal. Hoe jij dan bij 'ernstig' komt vind ik een raadsel.
Waarschijnlijkheid en impact zijn minimaal. Hoe jij dan bij 'ernstig' komt vind ik een raadsel.
Het probleem van de open wifi netwerken is al jarenlang bekend, vooral bij diegenen die er misbruik van maken. Het is ook goed bekend waar je dit soort netwerken het meest tegenkomt: op locaties waar men nul verstand van techniek heeft zoals een gezellige familie camping. Tussen die bad guys zitten ook mensen die kinderen misbruiken. Het zou naïef zijn om te denken dat zij hun vakanties niet juist plannen op plaatsen waar de kwetsbare doelgroep ruim vertegenwoordigd is. Dat in combinatie met de eerder genoemde situatieschets en beschikbare techniek (die ik om begrijpelijke redenen hier niet ga omschrijven) is er weldegelijk gevaar!
San Fransisco was mijn fout. Dat baseerde ik op de contactgegevens op de Play Store, maar dat gaat dus niet om het hoofdkantoor, blijkt. Thanks.
Waarom wordt dat überhaupt gedaan? Als je toch wacht tot journalisten dit soort berichten voor je voorkauwen, waarom wil je er dan toch een stukje informatie bijverzinnen? Voor je het weet kopieert NU.nl het weer van jullie en wordt de verkeerde informatie met drie lagen diep aan bronvermeldingen verspreid..

Normaal geeft niemand iets om een app als Musical.ly, zeker tweakers niet, maar nu de NOS een artikel plaatst, volgt Tweakers.net vrijwel meteen (met kopieerfouten). Dat is toch gewoon ouderwets huiswerk kopieren?
Het is non-nieuws voor ons.

Voor de gemiddelde Nederlander is het een openbaring.

Want de gemiddelde Nederlander weet niets af van gebruik van netwerk van derden.

Het eigenlijke probleem ligt bij:

1) Gebrek aan HTTPS.
2) Openbare WiFi netwerken.
3) Kinderen met een smartphone.

Want laten we dat laatste vooral niet vergeten. Met een eigen computer (en dus ook smartphone) kunnen mensen -en kinderen al helemaal- heel wat privacy gerelateerde schade aanrichten:

1) Tracking op internet.
2) De cameras.
3) De microfoon.
4) NAW gegevens kunnen worden gedeeld.

We kunnen dus net doen alsof het non-nieuws is, of dat het slechts een druppel op een gloeiende plaat is, of dat de gemiddelde Nederlander stupide is, maar ik denk dat het wel goed is om de gemiddelde Nederlander educatie te bieden over dit alles. En zo'n nieuwsartikel kan een klein beetje bewustwording creeren.

EDIT: Dwz, een nieuwsartikel op NOS.nl. Maar op Tweakers? Het is uiteindelijk aan de redactie die pageviews wil genereren enzovoorts. Wat mij betreft is dit nieuwsartikel hier op Tweakers minder nodig. De doelgroep hier is zich immers al bewust van dergelijke problemen. Een thread op GoT had volstaan.

[Reactie gewijzigd door Jerie op 23 juli 2017 14:21]

Je zag het ook in het filmpje wat bij het NOS artikel staat. Dat meisje heeft (begrijpelijk!) geen flauw idee wat een beveiligd of onbeveiligd WIFI netwerk is.
Ik stel me altijd direct vragen bij dergelijke statements, en ben zelfs vluchtig gaan kijken in de bron maar vond deze info niet, waarvoor dank.
Blijkt dus inderdaad dat het een waardeloos statement is en niet iets wat men mag verwachten van een journalist, het artikel wordt er doelbewust gekleurd door.
Wat ook hypocriet is dat tweakers zelf pas een jaar over is op HTTPS. Tot die tijd werd alleen het inlog proces beveiligd maar alle DM's en Posts waren gewoon te lezen
Jijbak van jewelste.Misschien hebben ze juist door hun eigen fouten in het verleden ingezien hoe onveilig anderen bezig zijn ;)
Het is eerder het aloude Bijbelverhaal over die balk en die splinter.
Inloggen op GeenStijl gaat tegenwoordig via reaguurder.nl, wat gewoon netjes SSL lijkt te gebruiken.
Als je nou zelf even had gekeken dan had je gezien dat dit bij dumpert wel is maar niet op GS...

Je logt in via http://registratie.geenst...ratie/?view=login&lang=nl
OperaVPN voor Android is gratis en misbruikt je data, naar mijn weten, niet. Ik adviseer iedereen om het te gebruiken als ze browsen op een openbaar netwerk. Het werkt overigens alleen voor browsers en niet voor al het netwerk verkeer.
Wat ook hypocriet is dat tweakers zelf pas een jaar over is op HTTPS. Tot die tijd werd alleen het inlog proces beveiligd maar alle DM's en Posts waren gewoon te lezen.
Los van het duidelijk op kliks gerichte karakter van dit artikel is dit is misschien nog wel één van de meest valide punten in je hele relaas.
Een week doorlooptijd voor een mailtje vind ik wel ver gaan, zeker bij een datalek.
En weloverwogen: antwoorden dat je er naar gaat (laten) kijken is al een antwoord wat je in 5 minuten kan typen.
Eind conclusie, vertrouw nooit externe wifi netwerken.
Onversleutelde data kan in principe op elke netwerk hop tussen jou en de eindbestemming onderschept worden. probleem is dus niet open wifi, maar puur en alleen dat die programmatuur de datastromen niet op orde heeft. (punt)
Wifi is verre van het enige pijnpunt als het aankomt op onversleutelde datatransfer, daar hebben we dat hele SSL/TLS voor in het leven geroepen.
Open wifinetwerken met 30.000 man met wireshark er op die er specifiek op uit zijn om jou persoonlijk een loer te draaien zijn geen probleem bij een adequaat versleutelde verbinding, een plicht die je gewoon hebt als dienstverlener op het moment dat je op welke manier en in welke capaciteit dan ook een service gaat leveren over internet.
Tekortkomingen op dit vlak mogen zo langzamerhand wel met een stuk minder geduld en retentie behandeld worden.

[Reactie gewijzigd door Ton Deuse op 24 juli 2017 18:01]

https://www.geenstijl.nl
De website is toch gewoon https?

En als dan de focus op grote site wil leggen http://nu.nl

[Reactie gewijzigd door xbeam op 23 juli 2017 10:57]

https://www.internet.nl/domain/www.geenstijl.nl/79893/

Uitslag:

HTTPS beschikbaar?

Je website biedt HTTPS aan.

Testuitleg:
We testen of je website bereikbaar is via HTTPS. Als dat het geval is, dan testen we in de navolgende testonderdelen of HTTPS ook voldoende veilig is geconfigureerd. HTTPS garandeert de vertrouwelijkheid en integriteit van uitgewisselde informatie. Omdat het van de situatie afhangt hoe (privacy-)gevoelig en waardevol informatie is, een bezoeker van je website bepaalt hoe (privacy-) gevoelig en waardevol informatie is, is een veilige HTTPS-configuratie voor iedere website van belang. Ook triviale, publieke informatie kan door omstandigheden voor de gebruiker zeer gevoelig en waardevol zijn. Let op: vanwege performance-redenen wordt de HTTPS-deeltest alleen uitgevoerd voor het eerst beschikbare IPv6- en IPv4-adres.

Uitslag:

HTTPS afgedwongen?

Je webserver dwingt geen HTTPS af (noch door een redirect van HTTP naar HTTPS op dezelfde domeinnaam, noch door ondersteuning van alleen HTTPS).

Testuitleg:
We testen of je webserver HTTPS afdwingt door een doorverwijzing (d.w.z. 301/302 redirect) van HTTP naar HTTPS op dezelfde domeinnaam, of door ondersteuning van alleen HTTPS. In geval van doorverwijzing moet een domein eerst zelf ‘upgraden’ door een redirect naar zijn HTTPS-versie voordat het eventueel doorverwijst naar een andere domeinnaam. Dit zorgt er ook voor dat een webbrowser de HSTS-policy kan accepteren.

[Reactie gewijzigd door Cowamundo op 23 juli 2017 11:39]

.

[Reactie gewijzigd door xbeam op 24 juli 2017 08:35]

Bij nu.nl gaat het inloggen wel over HTTPS, bij GS niet, dat is het verschil
Your connection to this site is not fully secure

You should not enter any sensitive information on this site (for example, passwords or credit cards), because it could be stolen by attackers.
Hun login portal bied geen https, althans als je er zelf https voorzet gaat alle css stuk en in een adequate https implementatie forceer je het gebruik ook gewoon en laat je dat niet over aan de bezoeker.
Geenstijl media bied dus inderdaad geen https aan. (op een juiste manier)

Edit: Via dumpert wel.
Dus ze zijn er gewoon niet consistent in.

[Reactie gewijzigd door Ton Deuse op 24 juli 2017 18:08]

check de source van https://www.geenstijl.nl maar eens, allemaal links naar http:// .
Ik zie niet echt wat er veilig aan is, zelfs het slotje ontbreekt.
Standaard ga je gewoon naar de http variant
Bij GS gaat het inloggen en dergelijke ook over HTTP, dus ook je wachtwoorden. Dit is echt not done, dat is wat ik bedoel en heeft niks met captive protals te maken.

Verder zijn captive portals JUIST de reden dat je https wil, het onderscheppen en manipuleren van je internet verkeer is iets wat je niet wil
.

[Reactie gewijzigd door xbeam op 24 juli 2017 08:34]

Het grootse gevaar voor WiFi gebruikers zijn de pinaples. Hotspots die zich voordoen als je thuis/ betrouwbare netwerk inclusief WiFi login wachtwoord fake. speciaal gemaakt om gebruikers te onderscheppen en bespieden.

De enige manier voor gebruikers om nog beetje zeker te weten dat ze op betrouwbaar netwerk zitten zijn juist captive portals.
Want een Pineapple (voor degenen die het ding niet kennen: link) kan geen captive portal faken? Nee sorry, jouw redenatie hier snap ik echt niet.
In alle eerlijkheid: ik sluit me aan bij de mensen die een hekel aan captive portals hebben: niemand leest de voorwaarden waar je mee akkoord gaat, ze zijn juridisch gezien meestal toch niet te handhaven en op mijn tablet heb ik een site gebookmarked staan puur omdat ie geen HTTPS gebruikt (dan opent de login pagina van een portal tenminste fatsoenlijk...).
.

[Reactie gewijzigd door xbeam op 24 juli 2017 08:35]

Ik link bewust niet vanwege risco.
Je kunt geen zinnige discussie hebben over een onderwerp als niemand mag weten wat het onderwerp precies inhoudt. Niet linken is security through obscurity: een lapmiddel dat niet lang stand houdt.
En ja je kan een captive portal fake maar het maakt het alemaal wel een stuk lastiger (extra werk) en daarom minder aantrekkelijk en het laat aan Mensen met een fake accepoint zien dat kans is dat het pro netwerk is en dat er een kans is dat vrij snel worden gedetecteerd.
Zelfs als het een "pro netwerk" is dat zelf detecteert dat iemand hem spooft... wat gaat ie dan doen? De eigenaar waarschuwen via een email die nooit gelezen wordt? Bovendien hangt die hele redenatie achter niet één maar twee keer "er is een kans"; ik hoop dat dat niet de enige verdediging is!

En daarnaast, stel dat je de captive portal niet nabouwt, wat gebeurt er dan? Nieuwe gebruikers hebben geen idee dat het niet klopt. Terugkerende gebruikers nemen aan dat ie ze onthouden heeft en daarom de aanmeld-onzin overslaat. Het is een ietsiepietsie meer werk om de uplink van je Pineapple naar de captive portal op te zetten, maar dat is letterlijk één klik (en met een plugin zou het in 99% van de gevallen automatisch moeten kunnen).
Dat jij bezwaar hebt tegen de voorwaarde van sowifi in combinatie met Facebook, omdat ze je gegevens voor commerciële doeleinde gebruiker is wat anders.
Van die gasten had ik nog nooit gehoord. Bedoel je deze: "Visitors like your Social Media pages to get access."? Cold day in hell voordat ik dat doe. Maar wow, de kansloosheid kent geen grenzen; hoe wanhopig moet je zijn om op die manier een paar likes bij elkaar te moeten harken? 8)7
Maar technisch is er niets mis met een captive portal.
Zoals een zeer wijs persoon mij ooit vertelde:
De bij eerste request word alleen een portal geopend vanaf het accepoint. Alleen bij https geeft dit een browser error omdat browser denkt dat er iets misgaat.
Ik snap niet dat mensen die voor veiligheid zijn zoon afkeer hebben tegen walled omgeving en liever een helemaal open netwerk hebben.
Op welke manier is deze vorm van een walled omgeving (met toegang alleen voor mensen die vragen wat het wachtwoord is plus degenen die te lui zijn om het te vragen en gewoon de naam van de aanbieder invullen...) veiliger dan een volledig open omgeving? Alle beveiligingsmaatregelen (versleuteld verkeer, WPA2, client isolation) kunnen prima genomen worden zonder die zinloze "welkom op ons netwerk, klik hier om akkoord te gaan met voorwaarden die zo zelden gelezen worden dat we maandenlang niet merken dat de link dood is"-pagina. En als je die pagina weglaat, dan is er mijns inziens geen sprake meer van een "captive portal".
Kan je uitleggen hoe een captive portal op wat voor manier dan ook maar bijdraagt aan veiligheid?...
Zowat iedere scriptkiddie kan die al namaken, die ene seconde extra tijd om een MITM op te zetten zal nooit iemand tegenhouden.
Volgens jouw redenering zou een captive portal juist minder veilig zijn, omdat gebruikers als jij aannemen dat het veilig is want captive portal :+
Goedwillende captive portals onderscheppen en manipuleren niets.
Fixed that for you btw, elke captive portal die wel kwaad wil kan dat zonder enige hinder direct doen namelijk, we beveiligen ons niet tegen normale applicaties maar juist de hackpogingen, hoe het hoort te werken maakt dus niks uit hierin.
Wat maakt iets een professioneel netwerk? Heb netwerken gezien waar een aantal duizenden op zitten die geen enkele beveiliging hebben, prijskaartje van de apparatuur zegt niks over de beveiliging.
Een captive portal is niks anders dan de pagina, client separation is iets heel anders wat volledig los daarvan werkt.
De meeste captive portals die ik tegenkom gaan over onbeveiligde wifi. Enige wat de captive portal doet is je omleiden naar de voorwaarden en bij accepteren je in een whitelist zetten.
En ja ze zullen AP isolation wel aan hebben gezet waardoor het AP geen data van ene client doorstuurt naar andere client, maar wat doet dat precies voor de veiligheid? Je data gaat nog steeds onversleuteld door de lucht en iedereen kan het onderscheppen.
En goede captive portal (de hardware er achter) zorgt er voor dat ondeling geen verkeer zichtbaar is waardoor het onmogelijk is om via wireshark verkeer te onderscheppen.
Zolang de verbinding niet versleuteld is kun je, met de wifi-adapter in RFMON, al het verkeer onderscheppen.
Dat valt wel tegen idd van geenstijl. Want op dumpert - de grote broer - gebruiken ze wel https.
Nee hoor, ook Dumpert heeft geen geldig https certificaat lijkt het op
Denk dat dat toch nog behoorlijk zal tegenvallen, er zitten nog ongelooflijk veel mensen op GS en daarmee blijft het een zeer interessante site wat betreft informatie en reclames.
Prachtig staaltje onderzoeksjournalistiek weer van de NOS. "Als je kinderen onbedoeld kinderporno maken, dan kan het eventueel onderschept worden en door pedofielen verspreid worden." Leer die kinderen alsjeblieft dat je geen 'uitdagende' filmpjes het wereldwijde web in gooit en wat de gevolgen daar van zijn, i.p.v. met Wireshark een beetje internetverkeer te gaan onderscheppen.

Alsof de filmpjes anders wel 100% veilig zouden zijn, de naïviteit zeg...
Leer die kinderen alsjeblieft dat je geen 'uitdagende' filmpjes het wereldwijde web in gooit en wat de gevolgen daar van zijn, i.p.v. met Wireshark een beetje internetverkeer te gaan onderscheppen.
Het probleem van brakke wifi groter dan alleen "uitdagende filmpjes", als kinderen überhaupt al snappen wat dat is en wat het probleem precies is.
Het nieuwsbericht is overigens bedoeld voor de ouders, niet de kinderen zelf, die kijken niet naar het NOS-journaal.
Eigenlijk ben ik wel blij dat het niet geframed wordt als "bloot = vies", zoals vaak gebeurt bij dit soort onderwerpen.
Het verhaal focust zich op de mogelijke gevaren bij het gebruik van deze specifieke applicatie, terwijl het probleem veel groter is. Zoals jij zelf aangeeft gaat het om de combinatie van onveilige verbinding en onveilige wifi-netwerken. Helaas zal dit probleem niet 1-2-3 kunnen worden opgelost, daarom pleit ik voor bewustwording bij het gebruik van internet en sociale netwerken. Met het de grond in boren van 1 specifieke app los je het probleem dan ook niet op.
Zo werkt het natuurlijk niet, juist zo'n grote commerciele app moet zijn zaken op orde hebben. Er zijn een hoop andere apps die ook slecht zijn, maar doordat die nauwelijks gebruikt worden is het gevaar daarvan uiteraard veel kleiner.

[Reactie gewijzigd door Dreamvoid op 23 juli 2017 11:23]

Zo werkt het wel. Mensen moeten zich bewust worden dat alles wat je het internet in slingert in principe openbaar is. En dat moet je juist kinderen nu duidelijk proberen te maken. Anders is echt het einde zoek. Je filmpjes kunnen op elke andere mogelijke manier, bijvoorbeeld het verkeerde contact aangeklikt, in verkeerde handen komen. Moet je dan echt je woede op de app zelf richten?
Mensen moeten voorzichtig rijden en niet tegen elkaar op botsen, maar dat betekent niet dat auto's niet veilig moeten zijn.
Dat is inderdaad het punt: je kunt kinderen dit bijna niet uitleggen want die begrijpen hier helemaal niets van. Aan de andere kant moeten we ook niet overdrijven. Iedereen die gek is op voeten, verzamelt misschien op YouTube duizenden filmpjes met voeten. Dat hadden de eigenaren van die voeten ook niet verwacht, maar gebeurt toch ook.
Nee, ik vind pedofielen die kinderen dwingen 'echte' filmpjes te maken of daarin handelen toch een stuk erger. Het artikel van de NOS kan hooguit benadrukken geen gevoelige info over een onbeveiligde verbinding te sturen. De musical.ly filmpjes moeten echter als openbaar beschouwd worden zodra je ze verstuurt. Want ook al is jouw account privé of afgeschermd, een vriend kan ze altijd doordelen naar andere of YouTube.
Het nieuwsbericht is overigens bedoeld voor de ouders, niet de kinderen zelf, die kijken niet naar het NOS-journaal.
Het was een jeugdjournaal-reportage, waar toch vooral kinderen naar kijken.
Prachtig staaltje onderzoeksjournalistiek weer van de NOS. "Als je kinderen onbedoeld kinderporno maken, dan kan het eventueel onderschept worden en door pedofielen verspreid worden." Leer die kinderen alsjeblieft dat je geen 'uitdagende' filmpjes het wereldwijde web in gooit en wat de gevolgen daar van zijn, i.p.v. met Wireshark een beetje internetverkeer te gaan onderscheppen.

Alsof de filmpjes anders wel 100% veilig zouden zijn, de naïviteit zeg...
Er is al zoveel gepubliceerd over de gevaren van internet voor kinderen. En de industrie maakt tablets speciaal voor kinderen.
Tja......Wat de NOS hooguit kan doen is ouders voor de zoveelste keer waarschuwen voor eventuele gevaren die gebruik van dergelijke apps door hun kroost met zich meebrengen. Het is vervolgens aan de ouders zelf wat die met de informatie doen. Die taak ligt bij de ouders. De NOS is hooguit de boodschapper van Goed, slecht, of probleem nieuws
Je moet ouders inderdaad waarschuwen voor de eventuele gevaren die het gebruik van dergelijke apps met zich mee brengen. Maar moet je daarom maar schijnoplossingen gaan voorstellen ('een vpn' zonder daadwerkelijk achtergrondinformatie te geven of manieren hoe te gebruiken) of 'massahysterie' gaan creëeren? Ik kan mij voorstellen dat het als een lopend vuurtje over de camping en honderden, zo niet duizenden, kinderen nu zijn verboden deze specifieke app te gebruiken en andere mogelijk nog gevaarlijkere apps wel kunnen/mogen blijven gebruiken. En dat alles omdat een 'journalist' zich richt op 1 specifieke app..
Nou ben ik geen expert op het gebied van pedofilie, maar een filmpje of foto hoeft niet per se uitdagend te zijn om interessant te zijn voor een pedofiel. Een bekend voorbeeld zijn foto's van prinses Amalia die op pedosite Martijn gepost werden in 2007. Dat waren geen uitdagende foto's, maar toch waren ze blijkbaar interessant. Ik zal sowieso 'kinderporno' vervangen door iets met 'pedofielen'.
Hoi Mark,

Ik zou graag willen reageren op de verandering die je hebt gemaakt. Ik ben wat bekender met het onderwerp, omdat ik zelf pedofiel ben. Ik vind het jammer dat je gelijk een hele groep mensen met deze geaardheid erbij sleept, om het eigenlijk te hebben over mensen die misbruik maken van een lek in software om kinderen te bespioneren.

Als je gevoelens hebt voor kinderen, zegt dat niets over wat je met die gevoelens doet. Ik kwam er zelf op m'n 15e achter dat ik eigenlijk alleen verliefd wordt op jongens van een stuk jonger. Ik doe verder niets met die gevoelens, en vele andere pedofielen die ik ken handelen daar ook niet naar.

Als je een artikel zou schrijven over, weet ik veel, Tinder of Grindr die foto's niet over HTTPS zouden versturen, zou je ook niet de hele groep hetero's of homo's erbij slepen om je punt te maken. Dat je dat wel voor pedofielen doet vind ik behoorlijk stigmatiserend. Alsof ik, puur omdat ik deze gevoelens heb, misbruik van dit soort situaties zou maken.

Je hebt gelijk dat een filmpje of foto niet uitdagend hoeft te zijn om leuk gevonden te kunnen worden. Dat geldt denk ik voor iedereen. Ik vind het ook leuk als er een leuke jongen voor me in de rij bij de supermarkt staat, en op YouTube zijn er ook genoeg leuke filmpjes te vinden. Van deze twee voorbeelden (in tegenstelling tot het bespioneren) zie ik het kwaad niet zo goed. Iedereen is blijkbaar heel erg bezig met wat er in het hoofd van een pedo zit, net zoals men vroeger erg bang was voor het verderfelijke gedachtengoed van homo's.

Bedenk je ook dat in jouw omgeving, misschien in je vriendenkring, ook een aantal mensen met pedofiele gevoelens rondlopen, zelfs al zijn ze getrouwd. Ze durven alleen niet naar jou uit de kast te komen, omdat ze je dit soort dingen zien opschrijven.
Hoi anoniem. Dit soort discussies moeten we volgens de regels in Geachte Redactie voeren. Vind je het goed als we dat doen? Ik wil wel een topic openen voor je. Wat mij betreft kan het ook per pb.

[Reactie gewijzigd door Mark_88 op 23 juli 2017 16:07]

Ik zou het jammer vinden als ik mijn reactie uit het zicht van dit topic zou moeten halen. Ik heb aardig wat moeite gedaan deze te formuleren, en gezien de vele andere reacties over pedo's, denk ik dat hij toch aardig on-topic is.

Zie mijn reactie misschien ook iets minder als een bericht aan jou als auteur (ook al speel ik best op de man), en meer als een bericht aan het sentiment in dit topic.

[Reactie gewijzigd door throwaway48236 op 23 juli 2017 16:12]

Wat mij betreft hoeft je reactie niet weg, maar het verdere gesprek over hoe dit onderdeel van het verhaal te formuleren, zou ik toch echt elders met je moeten voeren. Dat is voor Tweakers-begrippen toch echt OT.
Vziw waren die interessant omdat dat stel gekken daar er de meest bizarre fantasietjes bij poste over wat ze allemaal met dat kind wilden doen en ze zichzelf in fantasiewereld graag zagen als "dat lieve suikeroompje bij wie je altijd speciaal plezier hebt" *kots*. Wat stuitend was, ja allemaal offtopic, was dat het koningshuis daar wél iets tegen deed: maar niet tegen de rest van de vulgaire en doodzieke content op die website van andere onschuldige kinderen.

Goed, uiteindelijk is die site offline gehaald toen de vereniging verboden werd (of dat slim was is een tweede, nu had je al die mafkezen op één plek én in het zicht) maar een rare gang van zaken was het wel.

[Reactie gewijzigd door WhatsappHack op 24 juli 2017 03:49]

Ik moest daar hele hard om lachen. Ze zijn immers zelf dan ook kinderporno aan het verspreiden. Ik oan me niet voorstellen dat je daar geen gezeik met justitie mee krijgt.
Het probleem is dat als jij als kind iets te uitdagend was, dit dus makkelijk TEGEN je kan worden gebruikt.
'Doe je BH en broekje uit en speel met jezelf of ik zet dit op internet'.
Nou ja, als je kinderen hun filmpjes naar Youtube uploaden is het wel goed, want youtube gebruikt HTTPS!

Dat na het uploaden Jan en Alleman die filmpjes kunnen bekijken en downloaden, dat is dan ineens niet relevant ofzo?

Ach, een verhaaltje inpakken met "kinderporno" scoort altijd goed. Trekt allicht meer aandacht dan alleen "encryptie" in je artikelkop zetten.
Als je encryptie nodig hebt om je veilig te voelen bij de inhoud van de video's vraag ik me toch echt af wat voor video's je aan het uploaden bent. Niet alles hoeft encrypted te zijn als je nadenkt voor je handelt.
Misschien gaat het andere mensen niks aan wat je uploadt, en encrypt je het daarom? Je doet toch ook bijvoorbeeld de deur op slot als je naar de wc gaat?
das opzich een fair punt. Heb zelf alleen nooit zo die neiging gehad. Heb bijvoorbeeld geen sticker op mn webcam.
Ook zou je je kinderen opzich wel kunnen inlichten over de gevaren van openbare wifinetwerken.

[Reactie gewijzigd door youridv1 op 23 juli 2017 11:34]

Sticker is ook gewoon belachelijk :) altijd maar vreemd selfies aan het nemen, hoe vreemder, hoe beter... Maar de webcam die alles zou kunnen zien? Oh neen, dat mag niet! 8)7 ze vergeten wel dat ze ondertussen meer tijd op hun smartphone doorbrengen dan achter hun computer...
Voor smartphones is t niet zo kinderlijk eenvoudig om rats te installeren en ongemerkt het device te gebruiken, pc's zijn daarom veel vaker doelwit hiervan
ook niet alles hoeft online te staan.
Het is natuurlijk wel zo dat de communicatie van kinderen met vriendjes en vriendinnetjes gewoon beschermd moet worden tegen de buitenwereld ongeacht wat ze doen. Wij zijn daar als maatachappij verantwoordelijk voor. Net als dat ouders kids niet zomaar in aanraking moet laten komen met drugs, geweld en rare gedragingen op TV moeten buitenstaanders zich ook niet ongewenst en ongemerkt mengen in die communicatie.
Er is vandaag de dag geen excuus om geen HTTPS te gebruiken, via veel hosting partijen krijg je het gratis aangeboden. Daarnaast zijn er gratis oplossingen beschikbaar zoals https://letsencrypt.org. Indien er privacy gevoelige data op het spel staat altijd gebruiken dus :)

Ik ben het wel met Toettoetdaan eens dat het een beetje triest is om musical.ly nu zo hard aan te pakken terwijl er zat andere grote sites zijn die ook slecht beveiligd zijn of pas net zijn overgestapt op HTTPS. Zijn idee om een lijst te maken en wellicht dit te koppelen aan een artikel waarom HTTPS belangrijk is, zou van veel meer waarde zijn geweest.
Ik heb wel een excuus. Ik heb zelf een VPS met Centos bij transip.. En ik vind het te ingewikkeld om SSL te installeren.
Ik durf zelf niet teveel te doen op de command line uit angst dat ik een fout maak, en mijn server niet meer werkt.
Antagonist bied het standaard aan tegenwoordig.
als je voor je VPS Plesk gebruikt dan is het echt super simpel om met letsencrypt een certificaat op te stellen, letterlijk 3 knoppen
Dan bel je TransIP en zeg je 'jongens ik wil er graag SSL op". En voila. Of je regelt een freelancer die het voor je doet.

Overigens begrijp ik al dat geleuter over https ook niet echt. Https is helemaal niet nodig voor 99,9% van de websites. Het klinkt een beetje als beginnende computeraars die net een nieuwe term hebben geleerd hier (https) en denken dat het gelijk een oplossing voor alles is.
Ik heb een freelancer ingehuurd, die het niet voor elkaar kreeg.
Daarna een andere freelancer die er uren mee bezig is geweest.
Er zijn wel meer aspecten dan alleen het configureren van de server en verkrijgen van certificaten. Codering vereist extra rekenkracht op zowel de client alsmede de server en kan voor een aanbieder die primair met mediabestanden werkt een behoorlijke invloed op de infrastructuur en kostenpost hebben. Ars Technica publiceerde twee jaar geleden een artikel over Netflix waarin dit punt werd belicht.
Opera heeft een gratis VPN-app voor Android. Het is erg laagdrempelig en levert in ieder geval iets aan beveiliging.
Juist, maar Opera moet die servers wel bekostigen.. dus zal je met minder strenge tot geen beveiliging te maken krijgen.
Dus omdat je op open wifi zat was het mogelijk. maar als de camping er een wachtwoord op had gezet was het niet mogelijk ?

Dit kan dus op ELK netwerk. zodra er "vreemden" op de wifi zitten moet je je gewoon zorgen maken. je apparaat word niet meer afgeschermd door je router hierdoor is het makkelijk om apparaten te hacken op een gedeelde wifi netwerk.
Tuurlijk, dan is je netwerk gewoon gehacked en hebben anderen toegang. Die zijn dan vaak ook nog op iets uit.

Overigens is het met goeie publieke netwerken die AP isolation hebben al wat moeilijker om wat in het artikel staat toe te passen.
"Uploaden" is sowieso gelijk aan "beschikbaar maken voor derden", ik snap de hele redenering over beveiliging dan ook niet. Het lijkt me beter je kinderen goed bewust te maken van wat uploaden (en meteen de hele sociale-mediawinkel) allemaal inhoudt.
Ja, maar wel aan een partij die je vertrouwt met die data.

Er is een verschil tussen een pakketje naar het postkantoor brengen en het gewoon op straat mieteren ;)
Als er geen SSL verkeer is tussen de App en API zou musical.ly volgens Apple's eigen regels geeneens in de App Store mogen staan want daar wordt het gebruik van ATS (App Transport Security) inmiddels afgedwongen voor zover ik weet.

Als ze willens en wetens die app toch hebben toegelaten, want "leuk voor kinderen", dan is Apple op z'n minst net zo onverantwoordelijk bezig als de ontwikkelaar van de app. Dat reviewproces is er immers niet voor niets lijkt mij.

[Reactie gewijzigd door mindcrash op 23 juli 2017 13:16]

HTTPS zegt ook niks als je het certificaat niet valideert ;) Weet niet precies wat ze met ATS afdwingen maar het zonder het te auditen lijkt me het nog steeds een wassen neus.

Bovendien zit je met de verschillende SSL / TLS versies die lang niet allemaal veilig zijn (Poodle, heartbleed etc).

[Reactie gewijzigd door Ventieldopje op 23 juli 2017 18:39]

Je kan het nogsteeds uitzetten volgens de apple documentatie: https://developer.apple.c...f/doc/uid/TP40009251-SW33
Dat kan, maar dan moet je ze wel een heel erg verdomd goede reden geven:
App Store Review for ATS

Your use of certain App Transport Security (ATS) keys triggers additional App Store review for your app, and requires you to provide justification. These keys are:

* NSAllowsArbitraryLoads
* NSAllowsArbitraryLoadsForMedia
* NSAllowsArbitraryLoadsInWebContent
* NSExceptionAllowsInsecureHTTPLoads
* NSExceptionMinimumTLSVersion
Wordt die reden niet geaccepteerd, dan kun je, op papier dan, hoog en laag springen maar dan komt je app niet in de App Store.

[Reactie gewijzigd door mindcrash op 23 juli 2017 22:09]

Het probleem hier is dan ook nog eens dag deze doelgroep vaak geen internet abo heeft en juist veel gebruik maakt van openbare WiFi netwerken.
Maar hoe is dat het probleem van de aanbieder van de app? Die verantwoordelijkheid zou dan toch bij de gebruikers zelf (ouders) moeten liggen?

Beetje raar om de makers van de app dan met de grond gelijk te maken.
Het is wel de verantwoordelijkheid van de developer om zijn app goed te beveiligen.
Ja, want gebrek aan opvoeding is natuurlijk de schuld van de overheid... 8)7
Ik weet niet waarom er hier (en bij de NOS) wordt aangedragen dat een VPN een wondermiddel is om beveiligingproblemen op te lossen. Aangezien dat van zoveel factoren afhankelijk is (betaald of niet, encrypted vs unencrypted). En als de beveiliging echt dusdanig slecht is, zijn ze vast ook nog wel vatbaar voor andere aanvallen...

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*