SafeWeb blijkt toch niet zo veilig

In tegenstelling tot wat SafeWeb beweert, is haar anonieme surftechnologie absoluut niet veilig voor de privacy van haar gebruikers. Want met behulp van Javascript is het mogelijk om het verborgen IP-adres van de surfer te onthullen. Daarnaast kan - doordat alle gegevens bij elkaar staan - de surfgeschiedenis achterhaald worden met behulp van cookies en webpagina's. Zelfs de paranoid mode kan zijn beloftes niet waarmaken, omdat niet alles wordt verwijderd wat wel wordt beloofd. Dit is terug te lezen in een verslag van David Martin - een wetenschapper op het gebied van computers van de Boston University - en Andrew Schulman, lid van de Privacy Foundation. Ondanks dat in het onthullende verslag voorbeelden staan hoe de eergenoemde zaken uitgevoerd kunnen worden, heeft SafeWeb deze beveiligingsmazen niet opgelost. Dit kan komen door twee redenen, de economische terugval en de CIA - die de exploits waarschijnlijk zelf gebruikt. In een interview hadden werknemers van SafeWeb het volgende te zeggen:

[...] would not commit to fixing their product's bugs, even though the Martin-Schulman paper features example code that an attacker could use to invade the privacy of someone who relies on the technology. Martin tipped the firm off to the security holes last fall, and said he received no substantive response. Chun, SafeWeb's CEO, said: "I'll have to look at what's involved here. I'll have to talk to our guys to see what would be involved in taking our (revised) JavaScript engine and giving it to PrivaSec."

De voor deze keer niet anonieme surfer RawPeanut heeft ons dit linkje gesubmit

Lees meer

Nieuwste IT Banen

IT trainingen bij Computrain

Reacties (25)

+2 Tacoos
14 februari 2002 23:48

Vooral jammer dat ze zo laks zijn dat ze nog nix aan het lek gedaan hebben en dan ook zo laconiek reageren als de ontdekker het lek maar openbaar maakt (omdat ze er niets aan doen).
Misschien moet je je veiligheid niet in handen leggen van zo'n bedrijf. Da's dus echt teveel betaald.

[ingehouden modus] Overigens, StalieN, heeft dit nix, nada, noppes met M$ te doen.
Elk proggie kan lekken bevatten, het gaat erom hoe je met het opsporen en oplossen daarvan omgaat.
En al helemaal als mensen je betalen voor hun veiligheid.
[/ingehouden modus]

Maak hier dus geen M$ flamewar van!

0 InterFreak
14 februari 2002 23:26

je moet toch ergens je geld mee verdienen?

Groote praatjes ook altijd! Veilig internetten bestaat gewoon niet!

The Bad Seed
@InterFreak • 14 februari 2002 23:31

Misschien niet, maar als je een product of dienst aanbiedt moet je er wel naar beste vermogen voor zorgen dat je de beloofde zaken kan waarmaken.
Als de fouten gemeld zijn en niet worden opgelost, dan heb je als aanbieder toch een probleem...

0 JoY
@The Bad Seed • 14 februari 2002 23:47

Als de fouten gemeld zijn en niet worden opgelost, dan heb je als aanbieder toch een probleem...

daar denken ze bij chello héél anders over volgens mij ;-),<offtopic>
<ontopic>

Dit kan komen door twee redenen, de economische terugval en de CIA - die de exploits waarschijnlijk zelf gebruikt.

Dat geeft toch niet, dat is toch een veiligheidsdienst

Killjoy_b
@InterFreak • 14 februari 2002 23:31

Jawel, bestaat wel, op intranet zonder verbinding naar buiten

+1 Gilles de Hollander
@Killjoy_b • 14 februari 2002 23:52

ja maar dat heet toch ook niet voor niks intranet?
Is iets anders dan internetten.

blaatenator
@InterFreak • 15 februari 2002 18:35

'k vond het concept van die Liberty (of Freedom) servers er toch wel redelijk veilig uitzien.
Een verzameling proxies, onafhankelijk van elkaar. Als client maakte je verbinding met een proxy, die verbond weer willekeurig door naar een andere server, en zo verder. Dus er was geen enkele server die en het beginpunt en het eindpunt tegelijkertijd kan weten(als de servers idd onafhankelijk zijn).
Dat, icm een encryptie methode (pgp/ IPsec oid) maakt het geheel volgens mij toch behoorlijk anoniem en veilig.
Uiteraard moet je er dan wel voor zorgen dat je geen 'mogelijk compromiterende zaken' op je pc hebt staan, zoals bepaalde soorten cookies.

edit:
wat toegevoegd

Nikel

14 februari 2002 23:45

Dit is toch precies hetzelfde verhaal als bij anonymizer.com al meer dan twee jaar geleden. Ook daarbij was het mogelijk om via javascript het ip van de bezoeker te achterhalen (duh!). De verantwoordelijkheid om dit te voorkomen ligt dan ook bij de gebruiker zelf. Mensen die echt om hun privacy geven weten dit ook wel.

Een beetje oud nieuws dus wat mij betreft. Als je je nog de illusie maakte dat als je van een dergelijke service gebruik maakt volkomen veilig bent wat privacy betreft heb je gewoon het nieuws niet gevolgd de afgelopen jaren.

skunkah
@Nikel • 16 februari 2002 19:51

idd helemaal waar, het probleem zit hem er in dat javascript het IP address wat de computer zelf heeft en niet dat van de proxy server weergeeft...

Het is mogenlijk om dit te omzeilen..als je namelijk op een intranet zit en je computer het IP address van de computer die wel op het internet zit niet kent kan Javascript of VBScript dit natuurlijk nooit revealen

en indien het IP address word opgevraagt zal het javascript het interne netwerk adress revealen wat bv.. 68.192.1.1 is en daar heeft toch niemand wat aan!

Maar ik denk dat safeweb zijn werk goed heeft gedaan, alleen ik vind dat ze vanaf nu niet meer 100% safe mogen garanderen maar gewoon 99,9999% aangezien ik niet verwacht dat websites zullen monitoren op deze manier!

tineau
14 februari 2002 23:47

Als ik dit lees, denk ik niet dat dit een relevant onderzoek is. De gratis service bestaat niet meer

KeX
@tineau • 15 februari 2002 09:30

De gratis anonieme internet service is nu een paar maanden offline, sinds 19 november om precies te zijn.
Sinds een paar weken is de nieuwe site online en safeweb heroverweegt nog steeds een comeback van een gratis online privacy service.

Zolang de gratis dienst van safeweb niet online is zijn er nog een aantal alternatieven via WebVeil's Anonymous Surfing Guide te vinden. In hoeverre deze alternatieven veilig zijn op de manier zoals in bovenstaand artikel besproken wordt is niet duidelijk. Al lijkt het me logisch dat deze produkten met eenzelfde problematiek kampen. Zelf maak ik regelmatig gebruik van A4U en heb ik daar op de drukte na weinig problemen mee. (en dan noem ik het hier

). Een site als A4U draait nu nog op ideologie:

a4u.at is offering this web based anonymizing proxy service free for all since we believe that everyone has a right to both uncesored access to the internet and online privacy.

maar de drukte is er behoorlijk toegenomen sinds safeweb's gratis service uit de lucht is en ik vraag me af hoelang ze dit volhouden.

+1 Xiller577
15 februari 2002 20:18

Totale privacy in 10 stappen:

1: pak een laptop
2: pak je gsm
3: zorg dat je via je gsm op je laptop kunt internetten
4: Maak een gratis internet account aan op een
naam/adres die je uit het telefoonboek gevist hebt.
5: Zorg dat je anoniem inbeld.
6: Zorg dat je via een proxy server ergens in verweggistan surft.
7: Pak de trein
8: Ga pas internetten terwijl de trein vooruit of achteruit
gaat, zodat je gsm meerdere gsm punten gebruikt.
9: Als je klaar bent sla je gsm tot moes.
(Zo dat er totaal niets meer van over is)
10: Gooi een beetje gruis in de zee een beetje gruis bij je oma in de tuin of weet ik veel waar.
En je hebt een totaal niet te achterhalen internet verbinding achter de rug.

Misschien dure oplossing maar 100% veilig!..

karelvandongen

@Xiller577 • 15 februari 2002 21:42

<paranoiamode>

Een trein gaat een vaste route en aan de hand daar van kun je achterhalen voor welke route je minstens een kaartje hebt gekocht. En kun je dus achterhalen welke mensen een kaarte daar voor hebben gekocht enz.

</paranoiamode>

plok
15 februari 2002 08:33

Ondanks dat in het onthullende verslag voorbeelden staan hoe de eergenoemde zaken uitgevoerd kunnen worden, heeft SafeWeb deze beveiligingsmazen niet opgelost. Dit kan komen door twee redenen, de economische terugval en de CIA - die de exploits waarschijnlijk zelf gebruikt

Ik denk dat de tweede reden wel de belangrijkste is. Als ze zo laconiek over deze gaten in de beveiliging doen dan lijkt het er op dat deze gaten doelbewust er in worden gehouden. Dat is eigenlijk best wel triest.

+1 Xiller577
16 februari 2002 02:37

Tjsa dan was ik ook nog es vergeten om te vermelden dat je die gsm contant moet betalen.

Pfff

+2 Pope-X552
@StalieN • 14 februari 2002 23:49

microsoft is geen grondlegger van internet
ookniet grondlegger van javascript..

Shaidar
@StalieN • 15 februari 2002 07:37

Je geeft Microsoft wat teveel credits hier ... Microsoft is helemaal geen grondlegger van't internet...

StalieN
@Shaidar • 15 februari 2002 11:20

Dat zeg ik ook niet, maar als ze opnieuw zouden beginnen dan zou M$ er zich in elk geval mee gaan bemoeien

0 danny198
14 februari 2002 23:32

Hoe wouden ze je ip eigelijk verbergen? Toch wel lomp dat het ze niet eens lukt...

+1 Pope-X552
@danny198 • 14 februari 2002 23:45

gebruik maken van een proxy denk ik.
en zo lomp is het niet.. javascript draait aan de CLIENT side.. en dan kun je dus zo gegevens naar de webserver toehalen

het enige dat ze wel zouden kunnen doen is zulke javascripts screenen en blocken

gumkop
15 februari 2002 10:40

Als je echt veilig wilt surfen, gebruik dan de (gratis) anonymizer van http://www.anonymizer.com/ .

blaatenator
@gumkop • 15 februari 2002 19:20

Kun je dan ook uitleggen waarom die dan wel zo 'echt veilig' is?
Omdat ze dat op de website claimen

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers