Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties
Bron: Sydney Morning Herald

Volgens zelfstandige beveiligingsanalist Richard Smith speelt VeriSigns Sitefinder informatie door aan marketingbureau Omniture, zo meldt de Sydney Morning Herald. SiteFinder is de omstreden website waar sinds kort alle niet bestaande .com- en .net- requests naartoe worden geleid. Volgens Smiths mail aan de Full-Disclosure mailinglist wordt informatie uit webforms bij een ongewild bezoek aan SiteFinder doorgestuurd naar het marketingbureau. Dit zou gebeuren als data verzonden zou worden vn een webform op een bepaalde webpagina, nr een niet (meer) bestaande website. Omdat de aanvraag voor de niet bestaande website wordt omgeleid naar SiteFinder, worden de in het form ingevulde gegevens in bepaalde gevallen ook doorgestuurd naar SiteFinder, waarna deze via een JavaScript automatisch bij Omniture zou belanden. Als de claims van Smith daadwerkelijk waar zijn, lijkt het waarschijnlijk dat de storm van kritiek op VeriSign zal veranderen in een tornado. Het bedrijf zelf werd op 24 september om commentaar gevraagd, maar heeft tot nu toe niet gereageerd:

Verisign logo"SiteFinder passes the form data along to Omniture in the URL of a web bug which is constructed on the fly by about 50 lines of JavaScript embedded in the SiteFinder home page." He said the data spill raised legal questions because of possible violations of the VeriSign privacy policy and of the Electronic Communications Privacy Act (ECPA). Smith provided code for an example form to illustrate the problem.
Moderatie-faq Wijzig weergave

Reacties (32)

Wat had je anders verwacht?? Zij gaan die informatie niet in een kluis steken om daar niets mee te doen. Voor zulke informatie wordt veel geld betaald!

Ik haat die webtrackers trouwens. Ik weet het, dit is niet hetzelfde, maar het komt op hetzelfde neer. Het geeft het internetgedrag door aan bepaalde instanties die er grof geld mee verdienen.
Nee, het is erger. De inhoud van forms wordt doorgespeeld, wat dus zomaar eens je naw gegevens kunnen zijn, of je creditcardnummer, etc.
Voorzover ik weet zijn er weinig webwinkelswaar je creditcard-nummer ongecodeerd over het net gaan, de meesten maken op het moment van verzenden gebruik van SSL (en dat kan VeriSign niet afvangen ivm certificaten :/)
misterdata:
Dat kan dus WEL. Je browser zal alleen opmerken dat je naar een niet secure site gaat.
Daarnaast vermoed ik dat de sitefinder ook https ondersteund en de browser zal vaak geen opmerking maken dat de data naar een andere site is gegaan!

ALS de beweringen van Richard Smith correct zijn is Verisign ronduit crimineel bezig. En dit zal ze dan ook enorm veel problemen gaan opleveren.
Van van wie zijn die certificaten? Juist: Verisign, ze zijn trusted root.
Alweer een irritante move van Verisign. Hoe kan dit nou niet worden tegengehouden?! Echt weer ongelofelijk en zeer Amerikaans.

verisign.com staat ondertussen in m'n blocked list, dus als ik ooit een domeinnaam verkeerd intoets kom ik niet bij hun terecht! :)
Hoe kan dit nou niet worden tegengehouden?!
Moeilijk. Verisign beveiligt een groot deel van de transacties en communicaties op internet, en zorgt voor de database van .com en .net domeinen.
Het bedrijf runt de "A" server voor het globale DNS verkeer: n van de 13 servers op aarde.
Echt weer ongelofelijk en zeer Amerikaans!
Inderdaad, daarom zal dit bedrijf binnenkort massaal aangeklaagd worden: ook zeer Amerikaans :P

Edit:

"lekt redirect informatie"... is een foute vertaling.
"Redirect" betekent in het Engels: doorgeven, lekken.
Het woord redirect is dus overbodig en betekent in het Nederlands niets.
Het bedrijf runt de "A" server voor het globale DNS verkeer: n van de 13 servers op aarde.
En maken daarmee ongelofelijk misbruik van hun positie.... :(
Hoe kan dit nou niet worden tegengehouden?!
Maar gelukkig zijn er wel providers die hier een stokje voor steken, dus het is wel tegen te houden op zich. Bijv. een quote van de cistron site (m'n provider):
...nameservers voor de .net en .com zones alleen
nog "NS delegation" antwoorden te ontvangen....

Als gevolg hiervan werken de wildcards die Verisign in deze zone geplaatst heeft momenteel niet meer, en zijn niet-bestaande domeinen/adressen binnen .net en .com ook weer daadwerkelijk niet-bestaand.
Redirect information is informatie van/over de site waar je vandaan kwam voor dat je bij een ander site belandt... is dus wel degelijk een *type* informatie op zich, en kan dus gelekt worden aan derden.
Hoe kan dit nou niet worden tegengehouden?! Echt weer ongelofelijk en zeer Amerikaans.
En daar bedoel je mee ???

Ik bedoel dat spammen zo typisch nederlands is kan ik toch ook niks aan doen.
http://www.tweakers.net/nieuws/27783/?highlight=spam

En wat kunnen de amerikanen eraan doen weet niet misschien een lawsuit of 2~3 ???
Jullie nederlanders met het gedoog houding geven straffen uit om voor te lachen.

Dus wees blij dat Verisign niet nederlands is, anders zitten we over 5 jaar nog met hetzelfde probleem.
Hm.. Dit kon je natuurlijk verwachten want een bedrijf gaat natuurlijk niet zomaar zoiets opzetten zonder dat er iets aan te verdienen valt.
Ze wisten vast wel dat zij er met dit soort acties problemen gaan krijgen want in theorie (praktijk juist?) hebben ze dan een heleboel domeintjes onder hun naam :)
En ik weet wel via Astavista en Google dat er moet met zulke dingetjes wel geld valt te vangen want bijv: je hoeft alleen maar door te sluizen welke domein het meeste misgetypt word en dan die reggen.. En vol proppen met banners.. Zo komt het geldstroom wel op gang.

Tenzijn verisign heel dom is, moesten ze wel weten dat zoiets niet kan.... Extra geld kan nog wel maar je bent een organisatie nog wel en dan ga je niet zulke fratsen uithalen.... :(

En wat dacht je van 'gevoelige' gegevens? O.a creditcard gegevens die je via een POST doet ofzo of FTP gegevens die in URL gaan. Ik weet het niet precies maar je kan er vast wel wat krijgen :r

edit:
Teveel getypt dus te lang :P
Binnenkort 'vinden' ze in de VS een nieuw idee 'uit': het NUTSBEDRIJF! Een bedrijf zonder winstoogmerk, betaald door de overheid en met als doel tot algemeen nut voor de maatschappij te zijn!

Snel! Gauw dit idee patenteren in de VS! Nu kan het daar nog!

:+
leuk... proggie schrijven wat allemaal leuke domeinnaampjes verzint en resolved, zodat hun database lekker vervuild raakt. als je dat met een paar tweakers doet is die hele database binnen no-time waardeloos :+
random? gewoon alles af gaan..
a.com -> z.com
ba.com -> bz.com
zza.com -> zzz.com ;)

of idd een distributed project, een client krijgt een paketje met domains die hij af moet gaan.. De succesvol bezochte websites geeft ie terug aan de server en de server geeft m dan weer een nieuw paketje :)

Wie begint met schrijven van de software?
heb het al in mekaar gejast. enige probleem is dat de meeste nederlandse providers hun dns servers al hebben gepatched.
to dusverre heb ik alleen chello en tiscali gevonden. de rest resolved keurig niet als het verisign gaat.
op zich overigens geen probleem, de query komt alsnog bij verisign aan en vervuilt hun database :)

mocht over de legale status van zulks een programma geen topic openen op got :/
( slotje: http://gathering.tweakers.net/forum/list_messages/816063 )

niet dat ik iemand ertoe aan wil zetten om zoiets te doen (ook erg onverstandig want je isp kicked je hoogstwaarschijnlijk van de lijn af als je hun dns server flink zou belasten), maar als proof of pudding is het schrijven ervan toch wel erg eenvoudig gebleken.
Dit is een beetje onzin..
Je hoeft de naam niet daadwerkelijk te resolven, je kan ook gewoon een hoop HTTP requests doen naar 64.94.110.11 (sitefinder.verisign.com). Als je dan een willekeurige Host: header meestuurt(www.asdddff.com) lijkt het voor verisign net alsof je daadwerkelijk naar dat adres gegaan bent.
Zo spaar je de DNS servers want die kunnen er ook niets aan helpen...
Zelf een DNS recursor zonder die patch draaien wil ook wel helpen. Draai hier zelf al sinds ik linux heb met een eigen DNS server, mede omdat die dingen van chello geen klap waard zijn.
Leuk idee voor een nieuw distributed project? Random domeinnamen resolven :) En dan met 500.000 clients }>
Als normale site-bouwer ga je toch geen informatie die gesubmit wordt sturen naar een niet-bestaand domein?! Die info wil je zelf hebben, om je webwinkeltje of je forumpje te laten draaien of weet ik veel.

Dus de enige die ik zo snel kan bedenken die zo'n site zou bouwen is verisign zelf. En als die gegevens van forms gesubmit krijgen kunnen ze daar toch al zelf mee doen wat ze willen.

Dus leuk dat ze het ontdekt hebben, maar volgens mij niet echt een "gevaarlijk" lek. Of zie ik iets over het hoofd? :?
veel webservices draaien op een hosted locatie, dat wil zeggen dat je de klant door middel van een klein formpje doorstuurt naar de webserver van de webservice, die dan ook geleik de nodige data heeft.

Als je nu echter een foutje in je form krijgt, Of je webservice klapt uit de lucht omdat deze mischien failliet is gegaan dan wordt dit formpje dus na het verlopen van betreffend domein door gestuurd naar verisign, De klant krijgt dan de sitefinder te zien en besluit dat de website stuk is, maarja de gegevens zijn al onderweg, tis dus vooral een gemene bug voor webservices die niet zo erg onderhouden worden, of vergeten worden.
Daar had ik nog niet naar gekeken, maar net heb ik na het bericht de encrypted javascript code eens unencrypted, en het is inderdaad geen zuivere koffie...

Verisign is volgens mij bezig d'r eigen ruiten in te gooien
Tss absurd dit :(
Misschien ben ik wel veel te braaf en naief, maar dat ze "wat" met de mis-gespelde url's leek me van begin af aan al niet meer dan logisch, maar dat ze gepostte data doorspelen... je moet dus tegenwoordig niet alleen uitkijken voor misbruik door "onduidelijke en obscure" bedrijven, maar gewoon simpelweg voor _ieder_ bedrijf... Als je zelfs een bedrijf als Verisign, wat je eigenlijk blindelings zou moeten kunnen vertrouwen, niet meer kunt vertrouwen.... Gelukkig is het een Amerikaans bedrijf, daar zullen wel wat schadeclaims uit gaan komen ;)

Gelukkig dat een hoop ISP's ondertussen de patch hebben geinstalleerd op hun DNS-servers zodat de 'schade' nog relatief beperkt blijft (mjah 1 adres van iemand die daar niet om heeft gevraagt doorspelen naar een marketingburo is er al 1 teveel...).
kun je lekker stats maken van de meeste misspelde sites.
bv. je merkt dat veel mensen per ongeluk microsaft.com intypen. Je koopt dan dat domein. Je zet er wat reclame of porn erop en hup poen scheppen ;)
Inderdaad en daar wordt door allerlei (prono) sites gretig gebruik van gemaakt, SCHANDE!!!
Oh wat zijn de nieuws tweakers weer bij de tijd:
was 17 september al bekend. Zonde hoor.
http://www.circleid.com/article/260_0_1_0_C/

Maar dat maar weer even terzijde.
Ik ben erg benieuwd of de IAB en de ICANN nu nog hun mening instand houden. Dit soort gedrag lijkt me absoluut niet de bedoeling bij de verantwoordelijke taak die verisign toegewezen heeft gekregen. Ik betwijfel alleen of ze na een uitspraak echt stappen zullen ondernemen. Als ze het al niet doen als Verisign bewezen andere systemen met de 'service' in de war schopt en feitelijk standaarden ondermijnt, lijkt het me sterk dat ze zich gaan inspannen tegen dit laakbare gedrag dat niets met de techniek te maken heeft. Ze zullen het waarschijnlijk afkeuren en de verantwoordelijke stappen afschuiven naar derden met expertise op het gebied van privacy en marketing.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True