'Microsoft OneDrive geeft apps en websites toegang tot alle bestanden'

Oasis Security heeft een potentieel privacyrisico in Microsoft OneDrive ontdekt waardoor apps en websites volledige toegang krijgen tot alle bestanden van een OneDrive-gebruiker. De oorzaak ligt volgens Oasis Security bij een niet-fijnmazige implementatie van de OAuth-standaard.

Het cybersecuritybedrijf schrijft in een blogpost dat het privacyrisico zich in de Bestandenverkenner van OneDrive bevindt. Dit onderdeel, dat momenteel aan versie 8 is en in externe apps of websites kan worden geïmplementeerd, zou geen fijnmazige implementatie van de OAuth-standaard bevatten en apps en websites standaard toegang geven tot alle bestanden, in plaats van enkel toegang tot de geselecteerde bestanden. De onderzoekers claimen ook dat Microsoft dit niet duidelijk communiceert naar de gebruikers.

Het potentiële privacyrisico zorgt volgens Oasis Security voor een verhoogd beveiligingsrisico bij zowel particulieren als bedrijven. Het bedrijf raadt daarom aan om alle apps of websites die toegang hebben tot OneDrive van gebruikers te controleren en eventueel leesrechten te ontzeggen. Particulieren die een controle willen uitvoeren op de verbonden apps en websites, kunnen het Privacy-paneel van het aparte Microsoft-account openen om daarna de rechten per app te controleren en deze eventueel te wijzigen. Microsoft is ingelicht over het probleem en denkt na over verbeteringen. Wanneer die geïmplementeerd worden, is echter niet duidelijk.

Update, 15.45 uur: het woord kwetsbaarheid in dit artikel werd aangepast naar potentieel privacyrisico. Met dank aan de reactie van hottestbrain.

OneDrive File Picker. Bron: Microsoft: — OneDrive File Picker. Bron: Microsoft

Reacties (83)

Gtoniser 2 juni 2025 15:20

Dit hele "onderzoek" is een PR hype rond het feit dat Microsoft momenteel geen toestemming procedure heeft in hun OAuth2 implementatie op file niveau, maar dit altijd de gehele OneDrive betreft. Dit is een beperking van het platform, geen kwetsbaarheid.

Dat het voor individuele gebruikers volstrekt onduidelijk is wat al deze permissies doen is ook al wel een tijdje bekend, vandaar dat dit voor organisaties ook vaak dicht staat.

Ik word een beetje moe van dit soort opgehypte onderzoeken van bedrijven die toevallig een product aanbieden wat hier op aansluit. (en de media die er dan in meegaat)

mjtdevries @Gtoniser • 2 juni 2025 16:59

Dit is een beperking van het platform, geen kwetsbaarheid.

Zo'n opmerking valt in de categorie: "it's not a bug, it's a feature". Maar dan laat je Microsoft er veel te makkelijk mee weg komen.

Als ik naar de screenshots kijk in het artikel van Oasis dan suggereert Microsoft in haar bewoording zeer sterk aan de eindgebruiker dat je alleen toegang geeft voor dat ene bestand. En zeker niet de gehele OneDrive.

Dan kan je een semantische discussie hebben over wanneer iets een kwetsbaarheid genoemd mag worden. Maar als een normale gebruiker niet kan vermoeden dat hij/zij rechten heeft gegeven tot de volledige OneDrive ipv 1 bestand, dan is dat wel degelijk een issue.

Dit kan je gebruikers niet aanrekenen. Dit is echt iets dat Microsoft verkeerd doet.

Cambionn

@mjtdevries • 2 juni 2025 19:29

Niemand zei echter dat je het Microsoft niet kan aanrekenen, of dat het maar zo zou moete horen te gaan? Kwetsbaarheden zijn niet de enige mogelijke problemen. Slecht gedesignde software en zelfs software die expres zo gebouwd is dat er onwenselijke permissies worden gegeven is niet per definitie een kwetsbaarheid in de software maar nogsteeds zeer problematisch.

Het woord kwetsbaarheid impliceert juist eerder dat je het Microsoft mogelijk niet te zwaar moet aanrekenen. Dat zijn namelijk (over het algemeen onbedoelde) problemen die er niet horen te zijn en voortkomen uit oversight of een bug, niet opzettelijk ingezette features die mislijdend gemarket worden.

Krommetenen @Cambionn • 3 juni 2025 08:07

Wij hebben een heel ander concept bij de betekenis of suggestie van “kwetsbaarheid”.

Als jouw picknickmandje onbewust door jou wordt opengeklapt, dan betekent dat voor mij dat het kwetsbaar(der) is voor diefstal door een vriendelijk beer dan een picknickmandje met slot en grendel.

Snap je punt wel, alleen raakte je mij kwijt met je kwetsbaarheidverhaal.

[Reactie gewijzigd door Krommetenen op 3 juni 2025 08:08]

Cambionn

@Krommetenen • 3 juni 2025 10:05

Ik ben het in algemene zin met je eens hoor. Maar in software specifiek staat het aardig vast wat een kwetsbaarheid is (en je dus een CVE nummer krijgt). Dat staat los van de semantische betekenis van het woord kwetsbaar

[Reactie gewijzigd door Cambionn op 3 juni 2025 10:17]

Llopigat

Websites en community's
Microsoft

@Cambionn • 3 juni 2025 23:41

Zelfs als het iets is dat expres zo bedacht is kan het alsnog een kwetsbaarheid zijn. Een kwetsbaarheid is niet perse niet een foutje dat over het hoofd gezien is. Inherent onveilig ontworpen software valt daar ook onder. Het hoeft niet iets onbedoeld of ongeweten te zijn.

Ik denk dat het in dit geval een bewuste keuze was omdat granulaire toegang voor gebruikers wat lastiger te begrijpen is, dan snappen ze niet waarom iets niet werkt en krijgt de dienst een slechte naam. Immers geeft Microsoft veel meer om diensten dan software nu. Daarom is het zo belangrijk dit onder de aandacht te brengen. Nu krijgt Onedrive ook een slechte naam, en dan is niets doen geen optie meer.

En Microsoft heeft er nogal een handje van om dingen makkelijk voor de gebruiker te maken waarbij de veiligheid eronder lijdt. ActiveX, laat elke website maar lekker alle DLL's op je systeem aanroepen? What could go wrong.. OLE, laat elke app maar met elke andere app babbelen. Allemaal hele handige dingetjes. Maar niet alleen handig voor de gebruiker maar ook voor kwaadwillenden. Dit zijn dingen die later terug zijn gedraaid maar daardoor met een ingewikkelde UI opgescheept zaten omdat deze niet vanaf het begin logisch was geimplementeerd. Denk maar aan die ActiveX security zones.

[Reactie gewijzigd door Llopigat op 3 juni 2025 23:59]

Cambionn

@Llopigat • 4 juni 2025 09:50

Zelfs als het iets is dat expres zo bedacht is kan het alsnog een kwetsbaarheid zijn.

Ik heb met een reden termen als "vaak", "niet per se", "over het algemeen", etc. gebruik. Er zijn altijd uitzonderingen

. Maar wanneer we het over kwetsbaarheden hebben in software (en dus niet "kwetsbaarheden" in het algemeen) is dat over het algemeen onbedoeld.

Als je kijkt naar de CVE regels is 1 van de eisen dat "de vendor het erkent als kwetsbaarheid of het gedocumenteerd is dat het tegen de security policy ingaat". Die laatste is niet hetzelfde als een misleidend scherm die de eindgebruiker tegenkomt. De redenen waarom het zo gebouwd is maakt niet uit. Als de dienst gebouwd is om toegang tot alles te geven, dan doet het wat het moet doen. Dat Microsoft besloot de dienst zo te bouwen (ongeacht de reden), en dat ze niet duidelijk communiceren hoe het werkt, is geen software kwetsbaarheid. Dat is natuurlijk nogsteeds wel erg problematisch.

Het feit dat dit een regel is om iets binnen software een kwetsbaarheid te noemen, resulteert dat het vrijwel allemaal onbedoelde problemen zijn. En daarom is het dat je door expres zo gemaakte design "een kwetsbaarheid" te noemen het klinkt als een perongelijk foutje ipv een expresse actie.

[Reactie gewijzigd door Cambionn op 4 juni 2025 09:54]

bewerkers @mjtdevries • 3 juni 2025 13:11

Helemaal mee eens. Dit is geen bug, geen feature, geen gebrek aan een feature, maar een doelbewuste onethische ontwerpkeuze/afweging.

hottestbrain

@Gtoniser • 2 juni 2025 15:28

@JayStout Wellicht volgende keer in ieder geval even zoeken naar een CVE nummer om te voorkomen dat je een potentiele reclamepost submit als nieuws over een vulnerability. 99,99% van de vulnerabilities heeft dat gewoon.

kodak

Beveiliging en antivirus

@hottestbrain • 2 juni 2025 18:42

Het feit dat er geen cve-nummer bestaat wil niet zeggen dat het geen kwetsbaarheid is. Hooguit dat het niet is aangevraagd of dat er onenigheid is of het een kwetsbaarheid is die een cve-nummer hoort te krijgen.

Ik ben het er mee eens dat als een beveiligingsbedrijf stelt dat een specifiek product kwetsbaar is er wel duidelijkheid over een aanvraag van een cve-nummer verwacht mag worden. Maar software kan al zo lang cve-nummer bestaan ook belangrijke risico's geven zonder dat er een cve is. Omdat niet ieder risico even geaccepteerd is als ontwerpfout en softwareprobleem. Met als gevolg dat het nogal afhankelijk van de deskundigheid van gebruikers is om zich bewust te zijn van standaard risico's die niet iedereen acceptabel zal (kunnen/mogen) vinden.

gskroon @Gtoniser • 2 juni 2025 15:26

Heel blij dat ik OneDrive niet in gebruik heb...... ;-)

emeralda @gskroon • 2 juni 2025 20:56

Zaterdag een nieuwe PC geïnstalleerd. Microsoft probeert OneDrive heel erg te pushen. Er is 1 kleine knop met een vage beschrijving anders wordt alles automatisch gesynchroniseerd.

JacOwns7 @emeralda • 3 juni 2025 08:42

Als je geen lokaal account afdwingt moet je idd nogal opassen om niet in de Online MS fuik te vallen. Daarom hier local only

Llopigat

Websites en community's
Microsoft

@JacOwns7 • 3 juni 2025 23:36

Ja en daarom maken ze dat ook steeds moeilijker

JacOwns7 @Llopigat • 4 juni 2025 08:37

Yup. Maar gelukkig, waar de ene methode sneuvelt, ontstaat een andere. Deze vind ik op het moment het beste. Weekje geleden nog gedaan.

Tijdens Let's connect you to a network

1. Shift-F10
2. start ms-cxh:localonly

https://www.bleepingcompu...soft-account-requirement/

[Reactie gewijzigd door JacOwns7 op 4 juni 2025 08:43]

Awesomo4k @JacOwns7 • 3 juni 2025 23:43

Local met het trucje zonder internetverbinding installeren? Dat hebben ze ook eruit gesloopt met een update.

JacOwns7 @Awesomo4k • 4 juni 2025 08:36

Neh dat truckje is niet meer nodig. Makkelijkste wat je nu kunt doen tijdens de OOBE, stap Let's connect you to a network.

1. Shift-F10
2. start ms-cxh:localonly

Week geleden nog gedaan op een Home editie van een maat. Deze opent naast de OOBE een window waar je de gebruiker aanmaakt. Eenmaal ingevuld skipt die gelijk de rest van de OOBE.

https://www.bleepingcompu...soft-account-requirement/

[Reactie gewijzigd door JacOwns7 op 4 juni 2025 08:43]

Llopigat

Websites en community's
Microsoft

@emeralda • 3 juni 2025 23:37

Maar met een gratis account heb je helemaal niet genoeg opslag om alles te syncen toch? Hoe gaat dat dan in zijn werk?

jpsch @gskroon • 2 juni 2025 22:11

Prive staat er niets bijzonders op. Qua werk moest ik het verplicht gaan gebruiken, nooit een fan van geweest net als sharepoint.

veragodspiel @Gtoniser • 3 juni 2025 11:45

Het gaat hier zoals vaak over een potentieel risico en het komt veel te vaak voor dat door onwetendheid van gebruikers dit tot problemen leidt. Dus dat het een beetje meer wordt opgehyped dan strikt noodzakelijk is niet dramatisch.

En met de hoeveelheid viespeukerij waar bedrijven zoals ook Microsoft mee weg komen om de aandeelhouder maar tevreden te houden is het mijns inziens prima om dit soort zaken meteen aan de kaak te stellen.

sj31 @Gtoniser • 6 juni 2025 10:23

Microsoft biedt wel een procedure voor het geven van toestemming wanneer het gaat om applicaties die OAuth2 gebruiken.
In Entra kun je onder Enterprise Applications de User Consent Settings aanpassen dat je standaard niet toelaat dat gebruikers zelf toestemming kunnen geven voor een applicatie en hiervoor eerst een verzoek moeten doen.
Onder de Admin consent settings kun je vervolgens beheerders aanwijzen die het verzoek binnen krijgen en kunnen beoordelen.

Ook kun je Permission classification instellen waarbij gebruikers wel applicaties die alleen gebruik maken van bijv openid mogen gebruiken maar zodra er permissies zoals Files.Read.All of welke andere permissie dan ook aanvragen er goedkeuring nodig is.

Daarnaast heb je ook nog Defender for Cloud Apps waar je dit allemaal inzichtelijk mee kan krijgen.

[Reactie gewijzigd door sj31 op 6 juni 2025 10:23]

freburgje 2 juni 2025 16:38

Oh wow - net even dat privacy dashboard bekeken.

Nooit bij stil gestaan dat ze inderdaad toegang tot je hele OneDrive krijgen (had mijn muziek gedeeld met een cloud player om mn eigen muziek te kunnen spelen etc)

Daar kan een heleboel uit (niet veel voor OneDrive), voornamelijk xbox live koppelingen voor spellen die ik niet meer speel.

Edit: linkje naar privacy dashboard
https://go.microsoft.com/....privacy.app-and-services

[Reactie gewijzigd door freburgje op 2 juni 2025 16:42]

telenut @freburgje • 3 juni 2025 13:53

Je gaf een app toestemming tot uw onedrive, en achteraf schrik je dat die app toestemming had tot uw onedrive?
Ik snap het probleem niet helemaal... Hier had de Samsung app toegang tot mijn Onedrive, heb die gewist, want heb geen samsung meer. Maar vermoedelijk heb ik dit zelf toegestaan toen de app dit vroeg... Mag ik toegang tot onedrive? ja... tja, denk niet dat er een vraag kwam zoals: mag ik toegang tot één specifieke map in onedrive?

Llopigat

Websites en community's
Microsoft

@telenut • 3 juni 2025 23:45

.. tja, denk niet dat er een vraag kwam zoals: mag ik toegang tot één specifieke map in onedrive?

Nee, dat is nou precies het punt, die mogelijkheid ontbreekt gewoon volkomen. Ook het inzicht erin ontbreekt duidelijk als je Samsung toegang had gegeven zonder dat je dat nog wist. Zelfde met @ZwolschBalletje.

Juist om deze reden hebben we bij ons op het werk allerlei herinneringen. "Je hebt ooit folder X gedeeld met externe persoon Y, moet die nog toegang hebben?". Als je daar niet op reageert dan wordt die toegang ingetrokken. Want dit zijn het soort dingen waardoor data op straat belandt.

[Reactie gewijzigd door Llopigat op 3 juni 2025 23:56]

freburgje @telenut • 4 juni 2025 07:09

De vraag was waarschijnlijk inderdaad ""toegang tot OneDrive" (voor de app), maar vervolgens selecteer je (in de app) een specifieke map. Je gaat er dan onbewust van uit dat je alleen toegang tot die map verleend. Nu zullen de meeste Apps zich netjes gedragen en alleen die map uitlezen, maar de mogelijkheid voor misbruik is daar.

ZwolschBalletje @freburgje • 3 juni 2025 17:11

Bedankt voor die link! Net even zelf gekeken en de toegang van Nokia tot mijn account maar eens geschrapt…

Toch ben ik ook wel nieuwsgierig, want in mijn dashboard stond heel expliciet dat Whatsapp toegang had tot mijn mail Apps/Whatsapp. Dat lijkt in strijd met wat hierboven wordt beschreven… ga ik straks nog maar eens rustig voor zitten om dat uit te zoeken.

Horatius 2 juni 2025 15:16

Titel: Microsoft OneDrive geeft apps en websites toegang tot alle bestanden

Vind ik simpelweg niet kloppend. Ik lees dit als een feature welke Microsoft gaat implementeren of heeft geïmplementeerd. Niet als een kwetsbaarheid. Geven is een actieve vorm, een kwetsbaarheid is een passief iets dat niet de bedoeling is.

Zou moeten zijn; OneDrive geeft door kwetsbaarheid apps en websites toegang tot alle bestanden.

Kenhas @Horatius • 2 juni 2025 15:25

Zoals ik het lees, is het toch niet echt een feature maar toch meer een kwetsbaarheid.

Ik had bijvoorbeeld een extensie die binnen Home Assistant alle backups op OneDrive plaatste. Het kan toch geen feature zijn dat die extensie toegang heeft tot alle bestanden die op mijn OneDrive staan.

Maar kan evengoed zijn dat ik het verkeerd lees en dat die extensie helemaal geen toegang heeft. Ik gebruik die extensie al tijdje niet meer dus kan het niet echt controleren

Blokker_1999

Bugs
Websites en community's
Microsoft
Beveiliging en antivirus

@Kenhas • 2 juni 2025 16:42

Fijnmazige toegang is niet eenvoudig om goed en duidelijk op te zetten. Dus ik begrijp wel dat een product dat primair bedoeld is om door de gebruiker gebruikt te worden geen interface heeft om dat op te zetten. Want hoe laat je de applicatie aanmelden? Met je eigen credential meestal. Hoe wil je dan fijnmazige controle opzetten? Natuurlijk kan je dan zeggen dat device X alleen maar aan folder B mag, maar dat kan snel complex worden om te gaan troubleshooten.

Idealiter heb je natuurlijk gewoon de optie voor service accounts, maar het blijft primair een consumentenproduct waarbij het overgrote deel van mensen zoiets nooit nodig zal hebben.

SPee @Blokker_1999 • 2 juni 2025 17:18

Want hoe laat je de applicatie aanmelden? Met je eigen credential meestal. Hoe wil je dan fijnmazige controle opzetten?

Met een token. Bij authenticeren kun je dan vragen of de app toegang tot alles of tot een beperkt deel mag hebben.

Kenhas @Blokker_1999 • 3 juni 2025 08:33

zoals @SPee zegt, met een token. Je moet zelf aanmelden en dan krijgt de applicatie een "application token". Je kunt zefls vanalles in die token stoppen, zoals de mapnaam en dergelijke. Nu zou dat, bij het delen van individuele bestanden, moeilijk worden als er vele bestanden zijn maar het is niet echt moeilijk om gegevens in een token verwerken, als is het maar een id van een lijst bij Onedrive met de gedeelde bestanden.

Ik doe het zelf voor applicaties die ik maak dus zo moeilijk kan het niet zijn

TheVivaldi @Blokker_1999 • 3 juni 2025 10:14

Los van wat hieronder wordt gezegd: zelfs al zou het moeilijk zijn, dan nog moet Microsoft niet doen alsof het wél zo is. Dat vind ik persoonlijk een groter probleem. Als je als bedrijf zegt “je kunt toegang geven tot slechts één bestand of map”, dan moet dat ook zo zijn. Anders moeten ze gewoon eerlijk zijn en zeggen dat dat niet mogelijk is.

TheVivaldi @Horatius • 2 juni 2025 17:55

Zoiets had ik ook gezet bij het indienen ervan, maar JayStout heeft voor een andere bewoording gekozen.

tw_gotcha

2 juni 2025 15:09

veel bedrijven gebruiken microsoft inclusief sharepoint waar zo'n beetje alles staat. Hoe verhouden Sharepoint en onedrive zich tot elkaar? Ik weet er weinig van

wiseger @tw_gotcha • 2 juni 2025 15:13

Je 'Mijn Documenten' folder wordt continue gesynchroniseerd naar OneDrive. Al je documenten, Excel sheets et cetera staan dus op OneDrive.

Carlos0_0 @wiseger • 2 juni 2025 15:48

Dat gebeurt dus niet standaard, zelfs niet als je met een Microsoft account aanmeld.
Je krijgt de vraag of je dit wil, en je kan dit prima dus zeggen nee.

wiseger @Carlos0_0 • 3 juni 2025 11:55

Het gaat om bedrijven. Als die OneDrive gebruiken, bijvoorbeeld met hun Office 365, dan heeft de gebruiker geen keuze. Het bedrijf heeft het zo ingesteld.

Carlos0_0 @wiseger • 3 juni 2025 12:00

Nope ook bedrijven kunnen kiezen, wij hebben ook Onedrive en Office365.
Het synct helemaal niks standaard van de default folders, je moet zelfs permissie vragen apart om dit te kunnen activeren.

Het is gewoon hoe je het instelt, ook bedrijf technisch gezien.

[Reactie gewijzigd door Carlos0_0 op 3 juni 2025 12:00]

wiseger @Carlos0_0 • 3 juni 2025 12:20

Dat is dus precies wat ik zeg, als het bedrijf het zo ingesteld heeft, dan heeft de gebruiker geen keuze en wordt zijn Mijn Documenten folder gesynchroniseerd.

Gebruikers realiseren zich helemaal niet wat de consequenties daar van zijn, laat staan dat er een risico is dat gegevens uitlekken en ze dus voorzichtig moeten zijn wat ze in Mijn documenten zetten. Met name bij ambtenaren die met vertrouwelijke informatie omgaan.

Even via een Excel bestandje vertrouwelijke data uit een systeem laden om wat onderzoek te doen en voilà, de Mijn documenten folder is gesynchroniseerd en vertrouwelijk data staat nu in de Cloud. Blootgesteld aan het risico zoals dit artikel beschrijft.

Dat is juist waar dit hele topic over gaat.

[Reactie gewijzigd door wiseger op 3 juni 2025 12:22]

Milmoor

@wiseger • 3 juni 2025 20:11

Dat hoort de gebruiker ook niet te kunnen kiezen. Dat hoort aan de hand van je governance door IT ingesteld te zijn. Daarbij hoort wel dat het bedrijf uitlegt wat hun beleid is en welk gedrag daar bij hoort. Als gebruikers dat individueel zouden kunnen instellen dan zet de meerderheid alles open uit onhandigheid of vanwege gemakzucht. Je kan hier zo belachelijk veel aan instellen dat dit bedrijfsmatig al bijna niet te doen is, laat staan door elke eindgebruiker.

Maulet @wiseger • 2 juni 2025 15:20

niet als je windows na behoren installeerd, dus zonder onedrive. later kun je het gewoon toevoegen zonder dat het "jouw" PC kaapt

fastedje @wiseger • 2 juni 2025 17:38

Als je onbedoeld je documenten met OneDrive synched dan is het best lastig om dit weer uit te zetten. Stel je zit met een aantal personen in een stichting en wilt documenten delen met OneDrive. Als je niet oppast zijn al je alle vakantiekiekjes voor iedereen in de organisatie zichtbaar.

Finraziel

Microsoft

@tw_gotcha • 2 juni 2025 15:17

SharePoint is volgens mij meer een overkoepelend product wat ook als soort intranet kan fungeren en waar je ook bij je bestanden in OneDrive kan.

Llopigat

Websites en community's
Microsoft

@Finraziel • 4 juni 2025 00:01

Nee, sharepoint is echt de zakelijke backend van onedrive. En ook van andere zakelijke dingen als teams, loop en onenote. Elke keer als je bijvoorbeeld een team in teams aanmaakt wordt er op de achtergrond ook een sharepoint site bij aangemaakt.

Daarom is de zakelijke onedrive ook onder water iets heel anders dan de persoonlijke versie. En heeft meer beperkingen qua filenames omdat deze in een URL moeten kunnen passen.

[Reactie gewijzigd door Llopigat op 4 juni 2025 00:02]

Finraziel

Microsoft

@Llopigat • 4 juni 2025 07:32

Volgens mij zeg je ongeveer hetzelfde als ik maar wat uitgebreider.

zordaz @tw_gotcha • 2 juni 2025 15:23

Technisch gezien was Onedrive ooit gebaseerd op de knutsel-frutsel-plakbandjes basis van Sharepoint, want er moest toen snel concurrent voor Dropbox en consorten komen. Het kan inmiddels zijn veranderd, maar ik denk van niet.

[Reactie gewijzigd door zordaz op 2 juni 2025 15:24]

Milmoor

@zordaz • 3 juni 2025 20:12

Teams, OneDrive en meer gebruiken onderwater Sharepoint.

Gekke Rafael @zordaz • 5 juni 2025 10:38

Bedoel je niet "SkyDrive"?

Wafeltje @tw_gotcha • 2 juni 2025 17:06

Onedrive kun je zien als een document library (binnen je MySite) op sharepoint. Je kunt bijna niet het een hebben zonder het ander.

r2504 2 juni 2025 15:12

En waar mag dit dan wel wezen; "kunnen het Privacy-paneel van het aparte Microsoft-account openen om daarna de rechten per app te controleren en deze eventueel te wijzigen."

In m'n Microsoft account zelf heb ik onder Privacy - App Access en daar zie ik inderdaad oa. m'n Keepassium welke access heeft tot m'n OneDrive echter ik kan hier niets aanpassen van rechten (want blijkbaar heeft die full access op m'n OneDrive waar die eigenlijk enkel aan de keepass file moet kunnen).

Gekke Rafael 2 juni 2025 15:15

Het verbaast me keer op keer hoe een bedrijf zo groot als Microsoft toch dit soort software aan eindgebruikers durft te leveren.

Pinkys Brain @Gekke Rafael • 2 juni 2025 20:33

Microsoft is volledig verrot van binnen, maar zo lang de cloud/365 transitie bakken met geld binnenbrengen valt het bijna niemand op.

Is OneDrive backup? Ehhh. Is onedrive een sync mechanisme? Ehhh. Is onedrive een netwerk schijf? Ehhh. Beetje van alles, maar net niet, met hopeloos niet intuitieve integratie in Windows. Het is bijna niet mogelijk om bugs van functionaliteit te onderscheiden.

emeralda @Pinkys Brain • 2 juni 2025 21:04

Ik ben een oude man. Belangrijke dingen gooi ik op een flash drive ipv. honderden euros aan MS365 te besteden. Maar jongeren zijn hiermee opgegroeid.

Llopigat

Websites en community's
Microsoft

@emeralda • 4 juni 2025 00:03

Ik ook, Ik doe alles in eigen beheer.

Nou moet ik wel zeggen dat niet alle jongeren zo zijn. Privacy en self-hosting fans heb je ook in de jonge variant

Ik snap wel wat er het handige aan is hoor. Als je alles op mobiele apparaten doet dan kan je niet alles bij je hebben bijvoorbeeld.

arbraxas @Gekke Rafael • 3 juni 2025 09:32

Het verbaasd me dat mensen nog steeds massaal verslaafd aan windows zijn.
Zeker voor een standaard gebruiker met wat mail en youtube voldoet een Linux prima.
Neem je een distro als Mint valt de overstap ook wel mee.

CivLord

@arbraxas • 3 juni 2025 10:15

Misschien dat die standaardgebruiker toch iets meer doet dan enkel emailen en youtube kijken?

arbraxas @CivLord • 3 juni 2025 11:38

Zoals? Iets wat niet standaard al gedekt is door een distro als Mint.

CivLord

@arbraxas • 3 juni 2025 14:39

Een game spelen.

Een (door een ander) in Word gemaakte leaflet/ brochure/ etc. aanpassen zonder dat de hele indeling en opmaak in de war gaat.

Huishoudboekhouding in Excel waarin over de jaren allerlei formules en voorwaardelijke opmaak ingebouwd zijn die niet één-op-één worden overgenomen door Libre Office.

Foto's/ video's bewerken in een programma waar jaren ervaring mee is.

Etc. etc.

Natuurlijk is er veel op te vangen door nieuwe programma's aan te leren en/ of bestanden compleet nieuw vanaf de basis op te bouwen. En sommige games zijn al voor Linux beschikbaar of werken (of zijn speelbaar te maken) via Steam. Maar wat wint de gemiddelde gebruiker er mee om al die moeite te doen?

arbraxas @CivLord • 4 juni 2025 13:07

Haha, typische tweakert.
Dat val bij de meeste mensen al onder computerwizzard.

Maar games draaien als een tierelier onder steam.
Als je serieus moete doet is ook HDR aan de praat te krijgen. Doe ik persoonlijk met Cachyos. Maar 99% van de bevolking kan echt prima uit de voeten met Linux. Zoals jezelf al aangeeft is het meer een kwestie van luiheid.
Niet even de moeite nemen om van programma te wisselen. Als je al serieus met fotobewerking of excel bezig was, is die stap echt niet zo groot.

Het was mij het in elk geval wel waard, zodat ik niet mee hoef te doen aan de grote "big brother is watching you" update van MS.

CivLord

@arbraxas • 4 juni 2025 13:20

Aha, de typische zelfverklaarde techneut die vanuit zijn ivoren toren neerkijkt op het gepeupel.

Veel commentaar, zonder in te gaan op mijn vraag:

Maar wat wint de gemiddelde gebruiker er mee om al die moeite te doen?

arbraxas @CivLord • 4 juni 2025 22:05

privacy

Dr Pro 2 juni 2025 16:47

Geldt dit alleen voor OneDrive of ook voor OneDrive for Business?

charlie @Dr Pro • 2 juni 2025 22:07

Ik denk dat dit inderdaad enkel op de 'consumer' onedrive slaat.
Onedrive for business is gebaseerd op sharepoint technologie en staat fijnmazige access toe, ook binnen het bedrijf. Ook hier kan je als tenant admin toestaan dat bepaalde applicaties (intern of van derden) volledige toegang hebben tot je bestanden. Anders is het bv ook niet mogelijk om een 3rd party app te ontwikkelen voor backups van je bestanden.

Llopigat

Websites en community's
Microsoft

@charlie • 4 juni 2025 00:06

Ook daar schort het nogal aan. Toen wij begonnen met Microsoft 365 toen kon je in het begin bijvoorbeeld "inloggen met microsoft" bij andere diensten. Ook die waar we helemaal geen banden mee hadden. Onder water werd er dan een hele koppeling aangelegd met dat bedrijf, niet alleen voor de gebruiker die dit toestond maar voor ons hele bedrijf. Aan de gebruiker werd dat helemaal niet duidelijk gemaakt, die werd het gepresenteerd onder het mom van "Handig!! Geen apart account nodig!". Ik heb begrepen dat dit toen is gebeurd via Azure App User Consent: https://learn.microsoft.c...ps/configure-user-consent

Of dit misconfiguratie was aan onze kant of er in het begin te weinig granulariteit in de configuratie was, heb ik me niet in verdiept (ik zat niet in dat team en ik weet dat het wel eens even kan duren voor is uitgevochten welke afdeling de regie krijgt over nieuwe ontwikkelingen). Je kan er trouwens ook de kritische vraag bij zetten waarom dit standaard aan wordt gezet door een microsoft. Zij zetten die instelling standaard op het toestaan door gebruikers van "low impact permissions" dingen van "verified publishers". Wat low impact en verified is bepalen zijn dan verder zelf. Uiteraard is dat iets waar wij het niet altijd mee eens zijn.

Maar ik weet wel dat we nu al een jaar bezig zijn om al die door gebruikers aangemaakte Azure koppelingen weg te pleuren. Want er zitten er ook enkele tussen die wel nut hebben voor onze bedrijfsonderdelen. En het zijn er vele duizenden.

[Reactie gewijzigd door Llopigat op 4 juni 2025 00:17]

ericq 3 juni 2025 10:53

Dit geld ook voor andere apps waar gebruikers standaard toegang tot kunnen geven. Een gebruiker kan hiermee toegang geven tot een of alle SharePoint libraries of Exchange mailboxen.

Voor de office 365 admins, stel de Entra Applications Configure permission classifications in en limiteer de rechten van de gebruikers hier mee. Het is van de zotte dat dit standaard open staat.
https://learn.microsoft.c...sifications?pivots=portal

Wil je dit nog een stap verder beheren dan heeft Microsoft Defender for Cloud Apps.
Dit zijn punten die de Microsoft in de security score heeft staan.

Llopigat

Websites en community's
Microsoft

@ericq • 4 juni 2025 00:18

Wil je dit nog een stap verder beheren dan heeft Microsoft Defender for Cloud Apps.

En mag je ook weer de portemonnee trekken, vergeet dat niet. Kost meer dan de standaard functies (waarbij niet allen zelfs beschikbaar zijn in M365 E3), en bovendien moet je dan ook weer een extra tool beheren wat ook weer extra geld kost: https://learn.microsoft.c...s-cloud-app-security-o365

[Reactie gewijzigd door Llopigat op 4 juni 2025 00:20]

player-x 2 juni 2025 15:21

Weer een bewijs dat mijn paranoïde om bijna alles in eigen beheer te houden, weer wat zijn gelijk bewezen krijgt.

Het is alleen jammer dat het steeds meer werk wordt, om al die data graaiende multinationals buiten de deur te houden.
En vraag me nog steeds af, of dingen als OwnCloud echt veiliger zijn, daar je nog steeds afhankelijk bent van derde.

Scriptkid @player-x • 2 juni 2025 16:19

Maar je hebt toch in eigen beheer,
Je hebt immers zelf die rechten aan die app gegeven, dat is onprem niet anders als je een app full read geeft over je NAS.

the prompt’s vague and unclear language does not communicate the level of access being granted

Het probleem is end user education

[Reactie gewijzigd door Scriptkid op 2 juni 2025 16:21]

mjtdevries @Scriptkid • 2 juni 2025 17:01

Nee, dit kan je niet een end user education probleem noemen.
Het probleem is: "misleading endusers because of limitations in our systems"

Scriptkid @mjtdevries • 2 juni 2025 17:26

De vraag is letterlijk do you consent that deekseek access you Onedrive

mjtdevries @Scriptkid • 2 juni 2025 18:51

Die vraag word gesteld nadat je de upload knop hebt ingedrukt om 1 file te uploaden.
En dan komt de vraag: "let this app access your info"
Ja, uiteraard moet de app mijn info accessen als je op upload drukt.

Zie de screenshots in het artikel van Oasis. Het is volstrekt logisch in die situatie dat mensen denken dat ie dan alleen toegang krijgt tot die ene file die je geselecteerd hebt voor upload.

Scriptkid @mjtdevries • 2 juni 2025 19:40

Assumption is the ****,

Ja de popup info kan beter maar het is nogsteeds de user die de toegang geeft dus geen exploit.

En app consent werkt nu eenmaal op container level.

Zelfs al is het op 1file dan nog moet je never een app die toegang geven als je die app niet vertrouwd.

TheVivaldi @Scriptkid • 3 juni 2025 10:16

“Zelfs al is het op 1file dan nog moet je never een app die toegang geven als je die app niet vertrouwd.”

En wat nu als de app bekend staat als eentje die je kunt vertrouwen, maar er wordt een lek gevonden in de app en nu hebben de hackers door de integratie toegang tot je OneDrive, wat dan?

Microsoft moet gewoon eerlijk zijn in waar je toegang tot geeft.

Scriptkid @TheVivaldi • 3 juni 2025 15:54

Maar ze zijn toch eerlijk, heb je de popup wel goed gelezen

Untitled — Postimages

CHAT GTP needs your permissions to:

ChatGPT will be able to open OneDrive Files, Including files shared with you. !!!

CHAT GPT will maintain access to data you have given it access to !!!!!!

Ik vind het best duidelijk er staat letterlijk dat je alle files zelfs post site bezoek toegangkelijk blijft geven aan chatgpt . en jij klikt dan OK

Llopigat

Websites en community's
Microsoft

@Scriptkid • 4 juni 2025 00:22

En app consent werkt nu eenmaal op container level.

Dat is niet "nu eenmaal". Dat is een bewust gemaakte beslissing bij het ontwerp van OneDrive. Het is niet iets dat is opgelegd door een wetgever of gewoon een natuurwet is. Die beslissing wordt nu aan de kaak gesteld. De verantwoordelijkheid ligt bij de ontwikkelaar/leverancier om zo transparant mogelijk te maken waar je mee akkoord gaat.

En het punt is bovendien: Stel dat de gebruiker het wel wist en helemaal geen onbeperkte toegang wil geven voor maar 1 file of folder. Dat kan dus niet. Dus hoe moet die er dan mee werken?

[Reactie gewijzigd door Llopigat op 4 juni 2025 00:24]

Scriptkid @Llopigat • 4 juni 2025 08:17

Copy to desktop en upload.

Er is Letterlijk geen enkele reden waarom ik onvertrouwde apps als een AI toegang zoe moeten geven tot storage in cloud via oauth.

Ik geeft aan dat het nu eenmaal zo werkt en dan ben jij het niet eens en is het een bewuste keuze dat is toch het zelfde. Er is Letterlijk ontworpen om zo te werken en de popup waar jij consent geeft dat Heel duidelijk aan.

CHAT GTP needs your permissions to:

ChatGPT will be able to open OneDrive Files, Including files shared with you. !!!

Het is een app consent geen share permissie. Dit werkt zo op heel veel permissies binnen de graph Api die zijn bijna allemaal unscoped.

[Reactie gewijzigd door Scriptkid op 4 juni 2025 08:20]

emeralda @Scriptkid • 2 juni 2025 21:07

Je krijgt 1 keer de vraag of je OneDrive wilt en ze maken het zo vaag mogelijk wat het doet.

Ik weet dat dit Tweakers is en "you don't bite the hand that feeds" maar de hele Windows installatie is asshole design waar héél goed over is nagedacht.

Scriptkid @emeralda • 2 juni 2025 23:50

Dit heeft relatief weinig te maken met Odb maar meer hoe app consent werkt.

Hoeveel mensen klikken die consents klakkeloos op OK, dit zit bij ons standaard in de security assements om awareness te vragen voor wat men eigenlijk consent. Maar dat is hetzelfde als bij gamma inloggen met je Facebook etc.

Mayonaise 2 juni 2025 15:57

How OneDrive safeguards your data in the cloud - Microsoft Support

Dus Microsoft beweert dat de files in transit en in storage encrypted worden, maar apps hebben dan opeens wel toegang tot alle bestanden?

Dan zijn ze toch aan het liegen over de beveiliging van OneDrive?

Scriptkid @Mayonaise • 2 juni 2025 16:17

Access tot = decrypt

Je geeft rechten om te lezen en tijdens lezen kun je ook decrypten want de user heeft jouw die permissie rechten gegeven,

Tenzij de File MIP labeld en encrypted is met alleen tenant users.

In transit is weer een heel ander verhaal, TLS is encrypted in transit heeft niks met de files te maken.

[Reactie gewijzigd door Scriptkid op 2 juni 2025 16:17]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (83)

Sorteer op:

Weergave: