Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Klanten kampen ondanks fix Vodafone nog steeds met traag ladende pagina's

Door , 104 reacties

Gebruikers blijven klagen over traag ladende webpagina's bij Vodafone, ondanks dat de provider claimt dat het probleem is opgelost. Inmiddels zijn er vraagtekens over of Vodafone de wet overtreedt door verkeer van klanten via een proxy te laten lopen.

Sommige gebruikers melden dat de situatie sinds dinsdag wel is verbeterd, maar dat ze nog altijd geregeld traag ladende pagina's hebben en zelfs pagina's te zien krijgen die minuten achterlopen op de actuele site, blijkt uit het topic op GoT.

Vodafone-woordvoerder Richard Mes claimt dat de problemen die tot aan dinsdagavond speelden zijn opgelost. "Wij raden mensen aan om de cache te legen, want wij zien voor zover ik weet aan onze kant geen problemen meer." De proxy is wel nog steeds actief, al zien gebruikers het '1.1.1.1'-adres niet meer in beeld.

Inmiddels stelt ict-jurist Arnoud Engelfriet vraagtekens bij de werkwijze van Vodafone om ongevraagd verkeer van klanten via een proxy te laten lopen. Engelfriet vermoedt dat Vodafone daarmee een artikel uit de Telecomwet overtreedt. "Nou ja, heel misschien als je zegt 'ons netwerk is zó krap dat we echt alle plaatjes moeten reduceren in formaat anders werkt internet gewoon niet'. Dat zou het legaal maken, maar marketingtechnisch lijkt me dat geen handig standpunt om in te nemen."

Dat probleem speelt bij Vodafone niet; de capaciteit van het netwerk zou momenteel voldoende zijn. Vodafone heeft nog niet gereageerd op de claim van Engelfriet en op de vraag of het intern onderzoek heeft gedaan naar de legale basis voor de proxy. Klanten ondervinden al langer problemen door de proxy. Dinsdagavond claimde Vodafone dat het opgelost zou zijn.

Update 12:50: Vodafone laat weten dat er inderdaad weer problemen zijn opgetreden. "Onze netwerkmensen zitten hier bovenop", aldus Mes.

Bij lang drukken op een afbeelding liet Chrome voor Android een menu met de url zien, in dit geval dus met de 1.1.1.1-proxy. Screenshot:@Sven__M

Door Arnoud Wokke

Redacteur mobile

16-04-2014 • 12:03

104 Linkedin Google+

Reacties (104)

Wijzig sortering
Uiteraard, maar dan heb je in ieder geval geen last van de vertraging
Maar als het zo is dat zonder proxy, ssl en andere 3e partijen ertussen het snelste is, lijkt me dat toch wel de superieure oplossing. Thuis op breedband gebruik je ook geen proxy (dat is iets uit de analoge, piep piep, modem tijd). Een 4G data netwerk lijkt meer op een breedband verbinding thuis dan een analoge telefoonlijn. Dus weg met die proxies! En weg met de datalimieten!
Zonder SSL lijkt me niet echt verstandig, ook al is het iets sneller. Veiligheid mag voor mij wel iets ten koste van de snelheid gaan.

Met de 4G netwerken is het inderdaad niet meer nodig om data te comprimeren om het sneller te laten gaan. Wanneer de datalimieten verdwenen zijn (dat kan nog wel even duren) is ook om deze reden geen data compressie meer nodig.
Ik bedoel ssl als in een vertragende factor om de proxy te kunnen omzeilen. Bij telebankieren moet het blijven maar bij nu.nl lijkt het me zinloze verspilling van resources.
Super tip, werkt overigens ook voor WP8.1 gebruikers. Kies Data Sense Savings -> Standard en het effect is verbazingwekkend
Vind ik ook, als ik nou op de web-apn wil, laat mij dat dan lekker. Zolang ik maar niet elke week wil wisselen o.i.d.

Edit: het begint mij trouwens ook te dagen dat ik af en toe wat rare artifacts ontvang op T.net na het posten van een bericht! Dit zou goed met de injectie te maken kunnen hebben...

[Reactie gewijzigd door BDHowner op 16 april 2014 13:45]

Het al jaren zo, maar wel afhankelijk van je absoluut. Met smartphone meestal mis, maar met die MiFi abonnementen ging het goed.

En ze luisteren niet want echt lang geleden al gemeld: http://wiert.me/2010/11/0...yves-on-line-mail-system/
Gaat niet goed met alle mifi-abonnementen. Bij zakelijke abonnementen ging het een tijdje terug nog fout.
Vergeet niet de hoge bevolkingsdichtheid hier. Ik snap wat je bedoelt. Hetzelfde verhaal geldt hier voor de treinen, maar we vergeten wel vaak dat alles hier erg krap op elkaar staat en dat dat al hele andere uitdagingen met zich mee brengt.

Ik ben het wel met je eens dat de telecombranche hier in Nederland belachelijk hoge prijzen rekent welke uitsluitend bedoelt zijn om de winstmarges te spekken.
Jullie vergeten dat de overheid hier de frequenties veilt in plaats van ze als een goed huisvader te verdelen. Er zijn veels te weinig providers (slechts 3!!), er is geen concurrentie, de 3 providers die er zijn gaan als een stel waanzinngen tegen elkaar op lopen te bieden (god mag weten waarom) en daardoor houden ze geen geld over om te investeren in het netwerk, de backbone of backoffice. Et voila, hoge prijzen en bagger service....
Niet helemaal waarheid.. Ze maakten eerder met z'n drien prijsafspraken maken zodat ze de consument een extra poot uit konden draaien.

Slechts 3 concurrenten is voordeliger voor hen dan nog meer dus je argument is niet helemaal solid.
Die man in the middle met SSL verkeer kan dus wel. Het enige wat ze hoeven te doen is een geldig root certificaat op de toestelen van klanten te zetten. Dan verschijnt er geen rood schildje en lijkt alles op het eerste oog prima in orde...


SSL website <-SSL-> Proxy in | unencrypted data | Proxy out <-SSL-> Klant browser

De proxy genereert een certificaat voor de betreffende website ondertekend met het vertrouwde root certificaat en je ziet op je clint device helemaal niets!

Het root certificaat meebakken in de custom roms die vele providers op toestellen meeleveren is natuurlijk een koud kunstje... dus onmogelijk is het zeer zeker niet!

[Reactie gewijzigd door Plopeye op 16 april 2014 23:44]

Dan weet jij niet hoe een man-in-the middle attack werkt. SSL beschermt expliciet tegen deze aanval. Dat is namelijk een van de expliciete doelen waarom SSL opgezet is. Immers het IP addres van de proxy matched niet met het IP address op het certificaat. En dus krijg jij wel degelijke en rood schildje.

Enige 'oplossing' in deze is of:
1) Vodafone's speciale spy-proxy certificaat handmatig als trusted op jouw telefoon/tablet/PC installeren. Iets wat jij uiteraard niet doet, maar bijvoorbeeld gebruikt wordt voor legale situaties waar SSL verkeer onderschept mag worden. Denk aan bedrijfsmatige virusscanners die ook aanvallen via SSL-email moeten kunnen detecteren, zoals bij mensen die in de defensie-industrie of zo werken.

Het gaat dan om speciaal geprepareerde bedrijfs-PC's, waar de speciale spy-proxy certificaten voorgeinstalelerd zijn. Maar jouw eigen gewone PC/telefoon/etc zal het Vodafone certifciaat - ook al is het geldig - herkennen als niet kloppend met het IP addres.

2) Een CA zo ver krijgen een vals certificaat uit te geven, waarbij een verkeerd IP address gekoppeld wordt aan het certificaat. Vodafone kan dan en de DNS aanpassen, en dit valse certificaat gebruiken. Zoiets gebeurt een handjevol keren per jaar en meestal per ongeluk. Maar dus niet iets Vodafone zal doen.


En dan nog werkt het niet altijd omdat er drie aanvullende optionele SSL verdedigingen mogelijk zin:
A) Certificaat pinning. Google Chrome of Microsoft EMET bijvoorbeeld accepteren voor bepaald servers enkel hele specifieke certificaten. Zelfs volledig geldige certificaten worden dan geweigert indien ze niet van een door hen specifiek goedgekeurde CA zijn.
B) Certifciaat verificatie. Moderne browsers kunnen optioneel een extra check doen. Dit is het verschil tussen een gewone HTTPS-verbinding en een HTTPS-verbinding met het befaamde groene balkje. Dit vereist wel een oplettende gebruiker en geeft geen rood schildje inderdaad.
C) Voor echte Tweakers: de hash van het certificaat zal nog steeds niet gelijk zijn aan het juiste certificaat, en dus kan de aanval ondekt worden.
Toch werkt hetgeen wat ik omschrijf wel...

De proxy is de endpoint voor de ssl tunnel, binnen de proxy gaat de data unencrypted en voor de communicatie van de proxy naar de endpoint wordt een door de proxy gegenereerd certificaat gebruikt. Voorwaarde hiervoor is dat het rootcertificaat van de proxy waaronder alle certificaten gegenereerd worden wordt vertrouwt door de endpoint. Dan krijg je dus geen rood schildje...

Zo werken een aantal scanning gateways namelijk ook! (DPI)

Zie ook: https://www.untangle.com/store/https-inspector.html

Wat natuurlijk ook kan dat je een Sub-CA certificaat, met als root een certificaat wat standaard door devices als vertrouwd wordt gezien, als root voor de proxy gebruikt. Dan vergt het een zeer oplettende gebruiker om dit te ontdekken...

En laten we eerlijk zijn, ja het is te zien maar 99% van de gebruikers snap hier geen moer van en trapt er dus gewoon in.

[Reactie gewijzigd door Plopeye op 29 april 2014 09:32]

Een valide chain alleen is niet genoeg!

Een proxy werkt, maar vereist actieve aanpassing van de client. Het client-certifciaat moet geinstalleerd worden. Gewoon een trusted certifciaat werkt niet, zoals ik zal uitleggen.

Overigens is dit alles bij geen enkele Vodafone telefoon het geval, dus jouw verhaal is puur theoretisch. Maar stel nu dat men het zou doen bij de eigen 'branded' telefoons uitrollen, zou het hopenloos fout gaan bij unlocked/open markt toestelen. Ook zou het fout gaan met de internetten via hotspots of de special tablet-SIM die je bijvoorbeeld bij de hogere Red abbonementen krijgt. Vodafone zou dan op zijn minst routering moeten laten verschilen bij de eigen en open market telefoons etc.

Wat jij namelijk structureel mist is dat bij SSL ook het IP nummer/de host gecontroleerd wordt. Dus enkel een root-certificaat vertouwd krijgen is niet genoeg. Immers de Vodafone certficaat-chain is dan wel een correcte en geldige chain, maar niet kloppend bij het IP adres van de server waar jij heen wilt gaan. En het resultaat is een zeer dik rood schildje.

Ook die endpoint scanning waar jij het over hebt, faalt namelijk keihard. Die scanning gateways of gewoon bepaalde anti-virus producten zoals de bedrijfsversie Microsoft Endpoint Protection, vereisen altijd een client-certificaat installatie. In bedrijfsomgevingen is dat uiteraard geen probleem, want wordt het gewoon omlaag geduwt via de login-servers of vorogeinstalleerd op de bedrijfslaptop/telefoon. Maar jouw gewone telefoon heeft dat certificaat niet, en zal meteen zien dat de gateway een IP-hostname mismatch heeft.
Zoals ik herhaaldelijk al zei, SSL is expliciet ontworpen om o.a. dit soort aanvallen te weerstaan.

De tweede optie is het geheel transparant doen. Er is dan geen aanpassing in de client nodig. Echter dan moet je ook de DNS aanpassen, zodat alle verkeer gereroute wordt. Dat is het geen proxy, maar een echte klassieke man-in-the-middel.
Het grote probleem is echter dat bij deze routering het daarna onmogelijk is om het verkeer door te routeren. Dit soort aanvallen werken enkel bij end-point aanvallen. (Die scanning gateways werken dus niet zo mocht je dat denken.)

En das nog werkt het niet fool-proof. Immers veel browsers doen aan extended verificatie, en die faalt dan, al beaam ik dat de gebruikt het ontbreken van een groen balkje niet zal opmerken. Maar ook certficate pinning zoals Microsoft EMET of Google Chrome doet kan niet omzeilt worden met deze aanval, en die resulteert weer wl een een vette rode balk met schildje.

Een sub-CA certificaat zoals jij tenslotte opmerkt is wel gevaarlijk, en daar zal 99% van de gebruikers inderdaad intrappen. Maar dat heeft niets te maken met een gateway of proxy, maar is uberhaupt gevaarlijk omdat je daarmee een semi-willekeurige host kunt spoofen. Echter dat wat ik hoger aangaf, vereist samenwerking (of een grote blunder) van de CA. Gelukkig komt dat maar een handjevol keren per jaar voor. Bij ontdekking is er meteen de 'walk of shame' voor de CA in kwestie, omdat er vrijwel altijd een geur van spionage omheen hangt.

(Zou Vodafone dat proberen, is dus een enkel telefoontje naar de CA genoeg om het sub-CA revoked te krijgen en is het binnen een paar uur afgelopen met de pret. De CA zal op zijn minst stellen dat hete en vergissing was :) )

En dan nog steeds is het niet fool-proof. De eerder genoemde cerrtificaat pinning stopt zo'n aanval, en diverse browsers zijn bovendien bezig met maatregelen tegen dit soort aanvallen. Mozilla bijvoorbeeld is bezig met het uitrollen van een fix die sub-CA die halverwege in de chain zitten gewoon keihard en onverbiddelijk 100% van de tijd gaat weigeren.
tch het dataverkeer voor de afbeelding rekenen

Jij krijgt je plaatje immers nog steeds. Merk echter op dat het ook gecomprimeerd is, dus betaal jij als klant ook nog eens minder.

Win-win dus voor de meerderheid van de gevallen.

Ik snap de ophef niet zo. Proxies zijn een normaal onderdeel van het internet. Apple en Microsoft doen al enige tijd caching in hun (mobiele) browsers, en mensen zien dat als voordeel. Welnu dit is vrijwel indentiek.

Maar ook fe grote ICT bedirjven doen al proxies. Als jij op patch-Tuesday Windows Update download komen die echt niet van Microsoft, maar via proxies die ingehuurd zijn door Microsoft (zodat ook dit specifieke SSL verkeer gecached kan worden). En ook jouw Facebook content komt vaak niet van Facebook maar een proxy ingehuurd door Facebook.

Wie me niet geloofd moet maar eens netstat gebruiken en kijken. Je zult verstelt zijn hoe vaak data van een proxy komt. In de USA is de schatting 40% van het totale reguliere (dus zonder streaming media zoals Netflix) internet verkeer las ik zelfs ooit.

Het enige probleem hier is dat de proxy van Vodafone gewoon nog erg slecht ingeregeld is.

Proxies zijn een normaal onderdeel van het internet. Zonder proxies zou ons internet hopeloos vastlopen.
Misschien zijn ze een normaal onderdeel van het internet. Maar toen ik bij T-Mobile nog internet had kreeg ik daar netjes de keus: wilt u de proxy gebruiken of niet?

Bij Vodafone krijg ik het - nota bene onaangekondigd - door mijn strot geduwd en valt er niets te kiezen. En daar baal ik van!
Is er een ander voordeel voor Vodafone, naast de snelheidswinst die ze zeggen te willen behalen voor haar klanten?

Het is toch in hun eigen voordeel als klanten meer verbruiken?


In het beeld dat kapitalistische bedrijven allemaal rovers zijn die hun klanten willen uitpersen als een citroen, inderdaad. :)

Gelukkig zijn de meeste bedrijven niet zo. Het is hier echt een win-win verhaal, mits goed uitgevoerd. Het is minder data voor Vodafine, n minder data voor de klant.

Voor Vodafone is het zowel de data die niet over hun netwerk hoeft die bespaard wordt, maar ook de data die niet langer opgevraagd hoeft te woprden bij hun eigen provider.

Grote probleem in deze is dat hun proxies gewoon nog niet ingeregeld zijn. Voor Nederland is dit proxy-verschijnsel nieuw, maar in de USA is dit al enkele jaren normale praktijk en werkt uitstekend. Meeste mensen merken er geheel niets meer van. Over een paar weken is dit geheel opgelost. Daarna een paar kleine herlevingen wanneer ze wat upgrades doen, maar daarna zal je er niets meer van merken.

Zo ging het immers in het buitenland, dus waarom hier niet?
Hoezo nutteloze reacties? Het is van het grootste belang dat zodra de landelijke media het oppikt, er wordt uitgestraald dat er 'snel en adequaat' is gereageerd. Da's ook de enige reden voor Vodafone om de klachten nu eindelijk eens op te pakken. Je weet zelf beter dan mij dat er al weken, zelfs maanden klachten zijn en alle klanten werden tot de berichtgeving van gisteren gewoon met een kluitje het riet ingestuurd: SIM swaps, tickets inschieten, enz: Pappen en nathouden.

Ik verwacht hetzelfde met de problemen in de netwerkprofielen?, waardoor de snelheden op 4G te laag zijn na een bezoekje aan het 3G netwerk (wat in het forum de 15mbit bug genoemd wordt).
Droevig genoeg is waarschijnlijk de snelste manier om dit op te lossen Arnoud eens lief aan te kijken zodat dit ook op de FP onder de aandacht wordt gebracht.

Het mag duidelijk zijn: Bij Vodafone sta je als klant vooraan, op plek 1,2 n 3: VODafone.
Het lijkt erop dat ze klanten als noodzakelijk kwaad zien en op die manier wordt er ook met klanten omgegaan.

[Reactie gewijzigd door Maestro op 16 april 2014 15:47]

Het is van het grootste belang dat zodra de landelijke media het oppikt, er wordt uitgestraald dat er 'snel en adequaat' is gereageerd.
Snel en adequaat. Wat is er snel en adequaat een uitspraak die een uur later incorrect blijkt te zijn?

Als je per se snel wil zijn, zeg dan: we zoeken het uit en komen er vandaag nog op terug. Dat is beter dan: "huh wat? er is niks aan de hoor hier werkt alles gewoon S:S:S:S". Vodafone reageerde op die laatste manier.
Misschien moet je aan Tweakers eens uitleggen hoe je die vodafone proxy uitzet, je bent namelijk de enige die dat blijkbaar kan.
Voor mij net zo. Alhoewel Simyo mij ook een interessante optie lijkt. Goedkoper dan hi/KPN en toch hetzelfde netwerk.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*