'Websites kunnen Lockdown-modus in iOS 16 eenvoudig detecteren'

Privacy-activist John Ozbay stelt dat het eenvoudig is voor websites om na te gaan wanneer de Lockdown-modus in iOS 16 actief is. De onmogelijkheid om custom fonts te laden zou een duidelijke indicator zijn voor websites dat de modus is ingeschakeld.

Er zijn volgens de man heel wat wijzen waarop websites en online-advertenties kunnen detecteren dat de Lockdown-modus in iOS 16, iPadOS 16 en macOS 13 actief is, maar een van de meest in het oog springende wijzen is de onmogelijkheid om custom fonts op een website te laden. Om zijn stelling kracht bij te zetten, heeft Ozbay een proof-of-conceptwebsite ontwikkeld die controleert op de modus. Als een gebruiker van de Lockdown-modus daar naartoe surft, wordt dat zichtbaar.

Volgens Ozbay is dit geen kwetsbaarheid of bug. "Het is een compromis dat gemaakt wordt. Voor sommigen is het aanvaardbaar, maar voor anderen kan deze vorm van fingerprinting een duidelijk risico met zich meebrengen", stelt de man op Twitter. Hij verwijst naar het ip-adres dat websites verzamelen van bezoekers, in combinatie met de informatie die ze vrijgeven dat de Lockdown-modus actief is.

Apple presenteerde begin juli de Lockdown-modus voor iOS 16, iPadOS 16 en macOS 13, de besturingssystemen die dit najaar uitkomen. Via die modus worden bepaalde functies van de Apple-apparaten beperkt waardoor de mogelijkheid voor aanvallen kleiner wordt. De Lockdown-modus zal te vinden zijn in het Privacy & Beveiliging-gedeelte van het Instellingen-menu.

Beperkingen Lockdown-modus
App Beperkingen
Safari 'Bepaalde' geavanceerde webtechnieken zoals JIT-compilatie van JavaScript zijn geblokkeerd
Facetime Binnenkomende oproepen van onbekende nummers worden geblokkeerd
Foto's Binnenkomende uitnodigingen voor gedeelde mappen worden geblokkeerd
Beheer Nieuwe configuratieprofielen en MDM-enrollments zijn onmogelijk (huidige blijven behouden)
Berichten Bijlages behalve foto's worden geblokkeerd. Ook link previews werken niet

Door Jay Stout

Redacteur

25-08-2022 • 21:04

73 Linkedin

Reacties (73)

Wijzig sortering
Maar als je hierbij "Private relay" (iCloud) aanzet, ben je alsnog niet te volgen. Gezien je dan steeds een ander IP adres hebt (via de relay) en je eigen IP adres verborgen is.

Dat je dan kan zien dat iemand geen fonts kan laden heeft echt geen enkele toegevoegde waarde meer.
Maar alles gaat via Apple... Moet je ook maar blind vertrouwen. Historisch gezien hebben ze de nodige fouten gemaakt, dus of dat een beter alternatief is? Het blijft een groot Amerikaans bedrijf dat heel graag geld wil zien en de zaken altijd mooier voordoet dan ze zijn.
Liever een bedrijf die fouten gemaakt heeft, en ze heeft rechtgezet, als een bedrijf die de fouten nog moet maken.
Ja want nieuwe fouten zijn onmogelijk natuurlijk. :+
Iedereen maakt fouten. Het enige wat er toe doet is hoe ze er mee om gaan: hoe snel reageren ze en hoe transparant zijn ze. Apple is op deze vlakken geen kampioen, trouwens, maar ze maken vooruitgang.
Zeker nu ze recentelijk ook hebben aangekondigd met advertenties te gaan werken op de iPhone...
Dat deden ze al, er komen alleen in apps van Apple een aantal ads bij. Beetje hetzelfde zoals Google dat doet, vrij onopvallend.
Ik ben totaal geen fan van ads (en ik blokkeer ze dan ook op alle mogelijke manieren), maar het is dan ook enkel in apps van Apple en die gebruiken de meeste mensen niet zoveel.
Zoals je het nu stelt, zou je het kunnen interpreteren als "Ik start mijn telefoon op en krijg eerst een advertentie, voordat ik mijn wachtwoord kan invullen en vervolgens staat er een advertentie in mijn widgets".
Klopt, en de vraag is, die ik niet kan beantwoorden, of ze lukraak reclame aanbieden op subtiele manier of dat ze dat doen op basis van zaken die ze op basis van jouw gegevens/zoekresultaten/browserhistorie etc gaan vullen. Dat is ook nog een heel verschil. Als ze dat niet doen, zijn er we advertenties, maar niks wat privacy in het gedrang zou brengen.
Ik gok dat ze kijken naar je settings, als je tracking uit hebt staan, dan zullen zij zich daar vast aan houden. Als ze dat niet doen en dat komt uit, dan is er zo'n groot imago schade, dat ze dat potentieel veel klanten kan kosten (doordat ze nu zo inzetten op privacy).
In tegenstelling tot Google, heb ik niet het idee dat Apple data van users verkoopt; maar dat is een dikke vette aanname en voornamelijk op onderbuikgevoel (en wat nieuws artikelen) gebaseerd.
Ik gok dat
Oei...

Apple heeft een privacy policy. Ik moet zeggen dat ze zichzelf bijzonder veel ruimte geven. Ik denk dat Google of zelfs Facebook met dezelfde privacy policy niets zou hoeven aanpassen aan hun dienstverlening, zo breed is die van Apple.
In tegenstelling tot Google, heb ik niet het idee dat Apple data van users verkoopt
Dat doet Google ook niet. Je kunt adverteren richting doelgroepen met gedeelde interesses, maar niet data kopen van mensen. Precies zoals bij Apple dus eigenlijk.
Ja dat onderbuikgevoel deel ik met je. Nou ja, van Google weten we het zeker, van Apple nemen we aan dat dat nog niet zo is. Wat je zegt, als dat wel zo zou zijn en het komt uit.....
Private relay is een handige optie, maar dat werkt alleen als je Safari gebruikt. Bij gebruik van Firefox of Chrome heb je er niets aan.
Daarop heb ik juist een paar weken geleden een oplossing gevonden, IP-adres wisselen maakt niet meer uit, tracking gaat door.
Ik ben het nu breder aan het testen, werkt zonder cliënt side script.

[Reactie gewijzigd door djwice op 26 augustus 2022 22:08]

Firefox Focus kan ook weblettertypen blokkeren op iOS, en dit kan ook gebruikt worden in Safari door Firefox Focus als materiaalblokkering in te stellen. Wanneer je dit doet geeft bovenstaande website aan dat ik in Lockdownmodus zit. Voor iemand die stelt dat ‘het eenvoudig is voor websites om na te gaan wanneer de Lockdown-modus in iOS 16 actief is’ is deze PoC-site wel erg makkelijk om de tuin te leiden. :X
Die site is zeker om de tuin te leiden maar in hoeverre is dat relevant?
Omdat de maker van deze tool aangeeft dat het eenvoudig is voor websites om vast te stellen of een iPhone in lockdownmodus staat. Volgens mij is dat wat overdreven, en bedoelt deze persoon te zeggen dat het voor een website eenvoudig is om te herkennen of een gebruiker weblettertypen blokkeert. En dat heeft dan weer geen nieuwswaarde ;)
Het is ook een PoC he waarschijnlijk in een paar uurtjes gefabriceerd. Noem mij een gebruiker die bewust weblettertypen blokkeert zeker op iOS. In de praktijk is dat vrijwel niemand. Daarmee lijkt mij deze PoC toch wel geslaagd.
Kan iemand mij hier een scenario schetsen waarin het handig zou zijn om te weten wanneer een bezoeker van je site in lockdown modus zit?
* Een lijstje bijhouden met specifiek lockdownbezoekers en wat ze doen/waar naar zoeken.

* Geen dure advertenties voor inkopen want het profiel van de gebruiker is onduidelijk

* Juist iemand willen aanvallen omdat die zichzelf wil beschermen, er zal vast iets waardevols op de telefoon staan of de persoon is een goed doelwit om af te persen
Ik wil altijd in lockdown modus zitten na het lezen van je punten.
punt 1 is niet echt iets interessants en alles word geblockt waardoor punt 3 niets zal opleveren.

[Reactie gewijzigd door TweakerCarlo op 26 augustus 2022 00:17]

Nou, puntje 3 heeft hetzelfde idee als een fietshelm dragen. Aan een kant is het natuurlijk veiliger om een helm te dragen, maar aan de andere kant krijg je een gevoel van security waardoor je meer risico kan gaan nemen ("ik draag een helm dus ik kan best een keer extra snel fietsen"), dit kan juist zorgen voor meer ongelukken.

Nooit aannemen dat je compleet veilig bent, dat maakt alles een stuk veiliger.
Te kort door de bocht. Dan zou je geen enkele veiligheidsmaatregel meer nemen, want dit effect treedt ook op bij autogordels, abs, airbags, traction control, anti-slipcursussen, etc etc.

Toch zijn auto’s veel veiliger geworden. Kortom: Ja, er is een zeker ondergravend psychologisch effect, maar dat doet niet de veiligheidsmaatregel weer helemaal teniet, laat staan dat het het gevaar erger maakt.
Tijdens een aanval is het handig om te weten of het slachtoffer in lockdown modus zit of niet.
Maar je kan daarmee toch alleen bevestigen dat het geen nut heeft om de moeite te doen?

Lijkt me verder niet echt een issue dat het te detecteren is. Een beetje hetzelfde als hoe apps op Android om roottoegang vragen; die sturen een soort van sudo verzoek en als daar niks uit komt dan gaan ze uit van geen toegang
"This website can not be accessed on a device in lockdown mode"
Met mooie verhaaltjes om de persoon te overtuigen om uit die modus de gaan. Als iemand het dan uitzet val je hem aan.
Een goed voorbeeld is jailbreakme die zou kunnen detecteren of het wel of niet kan.
Zelfs al kunnen we nu nog geen reden bedenken dat het detecteren een probleem is zou het natuurlijk ergens in de toekomst wel een probleem kunnen worden. Het beste is gewoon helaas om er een klein beetje moeite in te stoppen en te zorgen dat het niet te detecteren is.
Als ik het goed begrepen heb schakelt lockdown ook de Javascript JIT uit. Een nieuwe iPhone die slechter presteert dan een toestel van 10 jaar oud is ook een redelijk betrouwbare indicatie, en daar is gewoon geen oplossing voor. Ook niet met "een beetje moeite".
Is er als "Javascript JIT" uit staat een andere javascript interpreter of kun je gewoon niets op pagina's met javascript?
Er zijn twee manieren om Javascript code uit te voeren: interpreteren, dus de regels code evalueren, uitvoeren, volgende regel etc. Moderne browsers gebruiken al jaren een "just in time" compiler die net blokken code naar native x86/arm vertaalt zodat het uitvoeren sneller gaat (scheelt zo een factor 10).
Probleem met native code is dat het zo snel is dat je ook bepaalde timing gevoelige attacks zoals meltdown of spectre kan uitvoeren. Dus doet iOS in lockdown modus geen JIT wat betekent dat je aan het performance verschil makkelijk kan detecteren of lockdown aan staat...
Dank je voor je duidelijke uitleg.
Maar je kan daarmee toch alleen bevestigen dat het geen nut heeft om de moeite te doen?
Het lost voor de aanvaller op of hij een zeroday die miljoenen waard is gaat burnen op zijn slachtoffer of een iets goedkopere zeroday gaat proberen die via de gebruikelijke weg te misbruiken is. (En daardoor de eerste zeroday nog wat langer ‘zero’ day houdt)
Het is een eerste stap om als inbreker te weten met welke kluis je te maken hebt...
Dit is anders dan root toegang te vragen. Meeste IOS apps zijn al "sandboxxed"

Dit is een andere methode van privacy beveiliging.
Je meent het? :+

De manier waarop de controle plaatsvindt is toch echt gewoon hetzelfde. Dat is ook weer precies hetzelfde als wanneer je bijvoorbeeld Teams of Zoom in je browser gebruikt en deze je microfoon wil gebruiken. Je browser of app vraagt of die toestemming verleend kan worden, zo niet dan weet je dat die toestemming er niet is.

In het geval van deze lockdown modus kun je dus heel simpel checken of JIT-compilatie mogelijk is, zo niet dan weet je dat dat uit staat, en vermoedelijk lockdown modus aan staat. Het is allemaal niks nieuws of spannends, en heel logisch dat een website dit kan controleren.
Het is allemaal niks nieuws of spannends
OK, kun je dan aangeven hoe deze functie benoemd wordt op Android?
Ik denk dat jij over iets totaal anders bezig bent dan ik of het artikel.

Het artikel gaat niet over de lockdown modus, maar over het detecteren ervan. Dat detecteren kan op de manier die ik heb uitgelegd, en dat is gewoon een techniek die al jaren gebruikt wordt om in te schatten welke mogelijkheden een app of website kan gebruiken.

Dat lockdown modus een nieuwe feature is is prima, maar daar gaat het hier helemaal niet over.
Je weet nog steeds GEEN specifieke naam voor deze functie.

Jij bent begonnen met "het is niks nieuws en of spannend", dit wordt aan het apparaat gedaan. Nogmaals noem de functie op Android die hetzelfde doet.
Snap je nou echt niet dat je een hele andere discussie aan het voeren bent dan ik?

Ik heb nooit gezegd dat Android een vergelijkbare functie heeft of dat de lockdown modus niks nieuws of spannends is, alleen dat het detecteren ervan niks nieuws of spannends is, want dat wordt al jaren gedaan voor andere dingen die op precies dezelfde manier te herkennen zijn.

En als je het nu nog niet snapt dan laat maar gewoon, ik heb betere dingen te doen dan jou uitleggen hoe je moet lezen :+
Geen toegang geven als er minder aan valt te verdienen… (Edit: iets dat ik overigens alleen hoop tegen te komen bij de minder nette sites, buiten Europa..)

[Reactie gewijzigd door F_J_K op 25 augustus 2022 21:29]

Aan dat gegeven zelf opzich niet. Maar het is wel weer een variabele die je kunt gebruiken op de grote stapel andere gegevens. Daarmee zou je iemand kunnen herkennen en volgen zonder bijvoorbeeld cookies te plaatsen. Onzichtbare tracking dus.
Als crimineel is deze kennis misschien genoeg reden om niet de Lockdown-modus te gebruiken. Je groepeert jezelf dan met anderen die blijkbaar iets te verbergen hebben, wat misschien een extra vinkje vormt voor een inlichtingendienst om even op de koffie te gaan bij dat IP-adres.
Er gaan waarschijnlijk honderdduizenden mensen Lockdown Mode gebruiken, iedereen die om security geeft, bedrijven die al hun telefoons op LM instellen, etc. Ik heb niet het idee dat dit een indicator is.

Ik ben erg blij dat Lockdown Mode komt, als het genoeg aanslaat dan zullen bv websites gedwongen worden om te moderniseren zodat ze ook zonder Javascript werken etc. Kan het web een stuk sneller maken, en veiliger.

[Reactie gewijzigd door Dreamvoid op 26 augustus 2022 02:25]

iOS heeft natuurlijk ook al een vpn ingebakken, dus dat ip adres is van Apple 😉
Kan iemand mij hier een scenario schetsen waarin het handig zou zijn om te weten wanneer een bezoeker van je site in lockdown modus zit?
Als je Paranoid draait?
Genoeg maar de Lockdown modus is eigenlijk BS.
Nee, wellicht goed om het artikel even te lezen, in plaats er vanuit te gaan dat dit iets negatiefs is.

Dit is iets als “hey ik kan aan je voordeur zien dat je een slot hebt”. Ja klopt…

Sites kunnen ook zien dat je een ad-blocker gebruikt. Maakt dat ad-blockers BS?

[Reactie gewijzigd door Zyphrax op 29 augustus 2022 01:14]

The Lockdown modus is BS omdat dit de te tekortkomingen van een OS maskeert door minder functioneel te worden, daarnaast als je een baan hebt zoals ik waar die functie op zich nog zou kunnen gebruiken, moet je FB en al die shit niet op je telefoon installeren.
Het voegt nog een identificeerbare bit toe aan de vingerafdruk van het slachtoffer. Zie websites als https://coveryourtracks.eff.org/ voor een demonstratie daarvan.

Op basis van allerlei identificeerbare informatie wordt er een speciaal nummertje aan je toegekend en kun je op internet gevolgd worden, grotendeels zonder cookies of andere opgeslagen informatie. Slechte adverteerders maken hier gretig gebruik van omdat sinds de cookiewetgeving van de EU (niet de GDPR maar de ePrivacy Directive) meer regels zijn opgezet voor het opslaan van data. Ook zijn er andere trackingbedrijven die deze technologie misbruiken om bijvoorbeeld website-eigenaren te vertellen waar jij als bezoeker vandaan komt, wat voor websites je eerder bezocht hebt en hoe vaak.

Het kan ook nuttig zijn voor hackers die Safari proberen te exploiten omdat ze daarmee kunnen weten dat hun standaardaanval niet gaat werken voor ze het proberen, maar ik zie daar maar zeer beperkt nut in. Als de aanval niet werkt, weten ze dat toch vanzelf wel.
Zou bij wet verboden moeten worden, dat eeuwige gestalk en getrack van bezoekers op sites. Maar ken echt niet 1 site die niet probeert zo veel mogelijk van je data uit je systeem te trekken. 🤦🏻‍♂️

Zelfs hier krijg ik dagelijks iemand die me vraagt of ik niet alsjeblieft een uitzondering wil maken in mijn adblockers
Zelfs hier krijg ik dagelijks iemand die me vraagt of ik niet alsjeblieft een uitzondering wil maken in mijn adblockers
Neem een abonnement, dan heb je daar geen last van....
Tweakers moet toch ergens geld aan verdienen, dus zijn advertenties nodig. (en er is een groot verschil tussen pure advertenties en ads met tracking)
Strict gezien moet Tweakers helemaal niets… Ik herinner mij de tijd nog dat het internet een “hobbyprojectje” was en er zijn vandaag nog héél veel mensen die enorm veel goeie dingen doen op het internet zonder dat “geld verdienen” daarbij een doel op zich is.

Het “verdienmodel” is een excuus geworden om iedereen maar plat te gooien met reclame overal. 80% van wat op het internet verschijnt, hoeft er helemaal niet op te staan maar wordt wél gefinancierd met reclame (omdat niemand anders ervoor wil betalen). Laat ons eerlijk zijn, 95% van wat de redactie hier op Tweakers plaatst, is al ergens anders eerder verschenen. Is er écht iets wat Tweakers het betalen waard maakt dan?

Ik denk dat het internet er een pak beter zou uitzien met 80% minder reclame (en dan zou ik er ook niet van wakker liggen dat het er is, net zoals ik het vroeger ook geen probleem vond om 2 minuten reclame te krijgen voor de film, vandaag wordt de film 7 keer onderbroken voor 7 minuten reclame).
Ik herinner mij de tijd nog dat het internet een “hobbyprojectje” was en er zijn vandaag nog héél veel mensen die enorm veel goeie dingen doen op het internet zonder dat “geld verdienen” daarbij een doel op zich is.
En dat konden ze doen omdat bedrijven een hoop geld in internet staken..
Laat ons eerlijk zijn, 95% van wat de redactie hier op Tweakers plaatst, is al ergens anders eerder verschenen. Is er écht iets wat Tweakers het betalen waard maakt dan?
Dan is het dus geen probleem om gewoon de site niet te gebruiken als je ad's irritant vind....
Blijkbaar is er dus wel een meerwaarde.
"En dat konden ze doen omdat bedrijven een hoop geld in internet staken.."
Daarover kan ik het niet helemaal met je eens zijn.
Genoeg mensen die het in de begintijd gewoon leuk vonden om hun kennis te delen en informatie beschikbaar te maken voor anderen en er in hun vrije tijd een webstite voor te bouwen en te onderhouden.
Ook Tweakers is zo ontstaan. gewoon als hangplek voor vrienden en tech-nerds.

Maar het is steeds meer een businessmodel geworden. En reclame dient nu niet meer om de kosten te drukken van de server die je moet huren maar om de aandeelhouders tevreden te houden.
Het doel van het opzetten van een site of het bouwen van een app gaat vrijwel nooit meer om anderen iets te bieden, maar om een businessmodel te creëren. En het creëren van een businessmodel is niet verkeerd begrijp mij goed, maar te vaak is dat het primaire doel en niet meer het delen van interesses en informatie.
Zoek bijvoorbeeld eens in de Playstore naar een Sudoku app zonder reclame. Een aantal jaar geleden waren er nog wel enkele te vinden, maar tegenwoordig is het vrijwel geen uitzondering om zelfs tijdens de puzzel een reclame te tonen.

Een goed voorbeeld van een site die behoorlijk trouw is gebleven aan de gedachte waarmee het is opgezet vind ik Craigslist.
Zover ik kan nagaan is deze nog steeds in eigen beheer en zover ik weet reclame vrij (alhoewel voor het plaatsen van sommige zaken moet worden betaald).
Genoeg mensen die het in de begintijd gewoon leuk vonden om hun kennis te delen en informatie beschikbaar te maken voor anderen en er in hun vrije tijd een webstite voor te bouwen en te onderhouden.
En wie denk je dat de infrastructuur van dat internet betaalde? Diverse bedrijven.
Ik weet niet of ik je punt snap. Dat er bedrijven (en overheden) geïnvesteerd hebben (en nog altijd investeren) in de aanleg van “het internet”, dat klopt inderdaad. Dat er misschien wat bedrijven “uit liefdadigheid” geld gedoneerd hebben, kan zelfs ook nog (al betwijfel ik dat er veel liefdadigheid aan te pas is gekomen). Maar ik denk niet dat hen dat veel windeieren heeft gelegd (dat is ook het punt van het investeren).

Maar wat heeft dat te maken met de reclame-inkomsten van vandaag? Van de reclame op Tweakers wordt ongetwijfeld ook wel de infrastructuur van Tweakers in de lucht gehouden, en ook de lonen van de medewerkers, maar wordt toch vooral de winstpot van DPG media mee gespekt, zou ik denken. Als Tweakers ermee ophoudt, is het internet straks niet weg hoor. En ook niet mocht Alfabet of Meta ermee ophouden (al gaat dat wel wat meer mensen ongelukkig maken).

En vroeger had ik gewoon een eigen servertje staan (voor mail, IRC, web en CounterStrike). Nu hou ik er mij niet meer mee bezig (heb ook weinig boeiends te vertellen) maar zo ken ik zoveel mensen die dat deden. Dat werd echt niet betaald door één of ander bedrijf…
Als Tweakers ermee ophoudt, is het internet straks niet weg hoor. En ook niet mocht Alfabet of Meta ermee ophouden (al gaat dat wel wat meer mensen ongelukkig maken).
Mijn punt is heel simpel, zonder (de investeringen) van bedrijven had "internet" nooit bestaan, en zonder bedrijven kan het ook niet bestaan.
Dat klopt, maar ik snap het verband niet. Ik (wij) geven aan dat er vroeger veel meer “vrijwillig” op het internet werd gedaan (en versta me niet verkeerd: zo zijn er nog steeds heel veel mensen) terwijl alles nu een verdienmodel moet zijn waardoor het ganse internet vol staat met rommel, wat dan maar betaald wordt met reclame aangezien niemand er écht voor wil betalen.

Er zijn inderdaad bedrijven die het internet hebben opgezet en nu nog steeds onderhouden, maar daar worden ze netjes voor betaald ook, met bijvoorbeeld ons internetabonnement. Mijn punt is dat “het internet” niet betaald wordt met de reclame die bijvoorbeeld op YouTube te zien is. Daarmee betalen ze de influencers, de medewerkers van Google én de aandeelhouders. En ik zie nog steeds nergens in jouw betoog bewijs van het tegendeel.

Jij laat nu bijna uitschijnen dat het internet alleen maar bestaat dankzij Google en Facebook. Google Ads is gelanceerd in 2000, dan zat zelfs ik al 6 jaar op het internet (en ik was geen pionier). Facebook Ads was nog 7 jaar later.
Daarmee betalen ze de influencers, de medewerkers van Google én de aandeelhouders.
En onderhouden ze een groot deel van de infra. Bedrijven als Google, Facebook etc investeren ook een hoop in onder andere de intercontinentale verbindingen die internet mogelijk maken.
Of ze maken de reclameblokken op q-music gewoon wat langer. Of iets meer product placement in de Donald Duck.
Het heeft teveel economisch gewicht, waardoor de politiek het ook steunt. De meest simpele oplossing zou zijn om te verbieden dat tracken doelgericht te verbergen.
Een website die een cookie-melding toont waarbij default alles grijs is zodat het lijkt alsof alles uit staat is gewoon aan het oplichten. Ze verdienen geld onder valse voorwendselen.
Zelfs hier krijg ik dagelijks iemand die me vraagt of ik niet alsjeblieft een uitzondering wil maken in mijn adblockers
Die irritatiefactoren zijn daarom ook elementen die ik blokkeer op websites :)
Het vervelende: je blijft bezig om jezelf tegen het hufterige gedrag van websites te wapenen. Terwijl ze het uit goed fatsoen nooit hadden moeten doen 🤷🏻‍♂️
Nee inderdaad, vooral bepaalde techsites zouden moeten begrijpen waarom een bezoeker een adblocker gebruikt. Helaas zit er altijd een winstoogmerk aan waardoor dat niet opgaat...
Het is over het algemeen bij wet verboden tenzij je toestemming geeft, daarom die eindeloze popups.

Hoe websites toestemming vragen is aan de sites zelf. Ik vind de manier van Tweakers nog een van de minst ergerlijke, helemaal omdat hun advertentietech ook geen echte tracking meer doet en je de melding zo wegklikt.

Ik overweeg om weer terug te gaan naar AdNauseam, een adblocker die wel de advertentie verbergt maar op de achtergrond op iedere advertentie klikt. Op die manier wordt je advertentieprofiel na een week echt complete waanzin. Als ze niet ophouden met stalken, stuur ik ze wel de verkeerde kant op.
Het irritante is dat ik alleen vandaag al 3x de vraag heb gehad of ik niet toch advertenties wil toestaan...
"Nee" is geen geldig antwoord, dus blijven ze het vragen.
Ik weet niet of het hier op Tweakers ook werkt, maar in uBlock kun je bij veel websites de "zet alsjeblieft stalking aan"-meldingen weghalen met het Annoyances filter.
Hebben we het hier over CDN's (zoals Google Fonts) of (ook) over fonts die worden ingeladen via website zelf?

Bij CDN's kan ik het nog begrijpen, maar ik vraag mij af wat het gevaar is als hij deze direct van de website laadt?
Omdat font hinting via een interpreter gaat, en daar zou ook een exploiteerbare bug in kunnen zitten.
Om hcQd aan te vullen met een onderzoek waarin er veel meer ingegaan wordt over risico’s van fonts laden. Het is een ouder artikel, maar laat wel goed zien wat het risico kan zijn (onafhankelijk waar deze gehost wordt).

https://googleprojectzero...ity-to-rule-them-all.html
Lettertypes worden nog wel eens op kernelniveau geparset (al kan het zijn dat dat tegenwoordig alleen nog op Windows is) dus als daar een exploit in zit, zit die ook meteen goed diep.

Lettertype-exploits zijn er meer dan genoeg geweest.

Ook is het mogelijk voor een aanvaller om een key logger op te zetten als ze een extern lettertype in de website kunnen injecteren. XSS is tegenwoordig best moeilijk, maar lettertypes hebben een stuk minder beperkingen dan Javascript, dus een aanval kan op die manier goed werken. Met een goede content security policy is een website hier veilig tegen, maar veel websites en ontwikkelaars weten niet eens wat dat is.
Datzelfde heb je met privé modus, maar wanneer mensen mogen kiezen tussen dat een website ziet dat je in privé modus bent, of dat een website kan fingerprinten wie jij precies bent, is de privacy vriendelijkere keuze wel duidelijk.
Aanvallen van statelijke actoren vinden deels plaats door fysieke toegang te verschaffen tot een iPhone via de Lightning poort.

Jammer dat de Lockdown mode niet de Lightning poort volledig disabled (momenteel alleen in de locked mode). Opladen is dan wel mogelijk middels MagSafe.

[Reactie gewijzigd door rapanui op 25 augustus 2022 22:39]

Even voor de duidelijkheid: lockdownmode is de engelse benaming. In de beta zoals die er nu is heet het isolatiemodus

Op dit item kan niet meer gereageerd worden.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ.

Rapporteer misbruik van moderaties in Frontpagemoderatie.




Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee