Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Koen Beijer

Product Owner

Notificaties bij aanpassen accountgegevens & meer - Development-iteratie #172

07-01-2020 • 13:50

66 Linkedin Google+

In deze iteratie en tijdens de feestweken hebben de developers veel losse eindjes aan elkaar geknoopt. Zo sturen we nu notificaties als je het wachtwoord of e-mailadres van je account verandert, verwijderen we inactieve prijsalerts en hebben we diverse bugfixes doorgevoerd.

Notificaties bij aanpassen accountgegevens

Bij het wijzigen van je wachtwoord en e-mailadres sturen we nu een e-mail waarin staat dat er een wijziging is aangebracht. Bij het wijzigen van je wachtwoord wordt de notificatie verstuurd naar het huidige e-mailadres. Als je je e-mailadres wijzigt, komt de notificatie binnen bij het oude e-mailadres.

Helaas zijn er Tweakers-accounts waarvan de inloggegevens ook elders worden gebruikt en inmiddels via hacks zijn uitgelekt. Daar wordt soms door kwaadwillenden gebruik van gemaakt. Met deze wijziging hopen we dergelijke accounts sneller op te merken, zodat oneigenlijke toegang kan worden bestreden.

De aanleiding van deze wijziging is een reeks meldingen over gebruikers die zijn opgelicht via Vraag & Aanbod. Oplichting komt op V&A vaker voor, maar deze incidenten hadden gemeen dat de oplichter gebruik had gemaakt van een gekaapt Tweakers-account. In dit artikel kun je meer lezen over deze hacks en hoe je ze kunt voorkomen.

Inactieve prijsalerts verwijderen

Sinds de introductie van de prijsalerts voor bezoekers zonder account zijn er veel prijsalerts aangemaakt. Sommige prijsalerts worden niet geactiveerd. Deze inactieve prijsalerts worden nu na één maand automatisch verwijderd uit de database.

Als je een prijsalert aanmaakt via je e-mailadres, krijg je een zogeheten light account. Dit type account bevestig je door de prijsalert te activeren. Als het light account na 7 dagen nog niet is geactiveerd, wordt hij, inclusief prijsalert, verwijderd uit de database.

Bugfixes en meer

  • Nieuwsbrief aanmelden zichtbaar op mobiel.
  • Prijsalert e-mails wordt na 10 bounces niet meer verstuurd. Na 5 bounces krijgt de ontvanger een DM in de inbox.
  • Custom scrollbars zijn verwijderd van de website.
  • De tekst op de activatiepagina van de prijsalert is verbeterd.
  • Op het formulier om foutieve prijzen te melden, zat geen CSRF-token.
  • Diverse kleine fixes in de back-end.

Reacties (66)

Wijzig sortering
Probeert Tweakers nu op deze manier 2FA te vermijden? Zou i.m.o. toch een stuk veiliger zijn.
Probeert Tweakers nu op deze manier 2FA te vermijden? Zou i.m.o. toch een stuk veiliger zijn.
Een gebruiker kan ook een uniek willekeurig wachtwoord gebruiken en dat opslaan in een wachtwoordbeheerder, verschillend en uniek voor zowel het e-mailadres als voor T.net. Dan wordt die ook niet 'gehackt' (lees: hetzelfde wachtwoord ergens anders gelekt), zoals het in de topics van @Robkazoe wordt genoemd.

[Reactie gewijzigd door The Zep Man op 7 januari 2020 14:07]

Dat is echt de meest schadelijke opmerking die je kan geven. Het hebben van een goed wachtwoord is altijd belangrijk. Maar 2FA voegt een extra laag toe. Die extra laag is essentieel voor een goede beveiliging, omdat wachtwoorden makkelijk uitlekken.

En ja, ook Tweakers Accounts zijn het waard om fatsoenlijk te beveiligen. Dus er is alsnog geen excuus dat Tweakers anno 2020 nog steeds geen 2FA heeft geïmplementeerd.
omdat wachtwoorden makkelijk uitlekken.
Hoe dan (met een uniek en sterk wachtwoord per site)?

[Reactie gewijzigd door Olaf van der Spek op 7 januari 2020 14:32]

Omdat mensen fouten maken? Zowel Tweakers developers, als de gebruikers zelf.

Kijk alleen maar eens hoeveel accounts er 'gehackt' worden:
https://gathering.tweaker...d?keyword=account+gehackt
Andere websites mogen dan wel 2FA hebben, maar als ik naar Twitter of Facebook kijk dan is 2FA alleen maar optioneel (en daar zijn goede redenen voor). Die extra laag is er dus alleen als de gebruiker 2FA expliciet aanzet.
Het gaat er ook om, dat er meer dan 1 verificatie laag/methode is om in te loggen op Tweakers. Een uniek password is 1, als die lekt of gekraakt wordt, ben je alsnog de gebeten hond. Met een extra laag erop zul je meer moeten doen voordat je ingelogt bent en iemand zich kan voordoen als jou als persoon op Tweakers. ;)
als die lekt of gekraakt wordt, ben je alsnog de gebeten hond.
Natuurlijk, maar wat als je sessie cookie gekraakt wordt? ;) 2FA voor elk HTTP request?
Mag hopen dat Tweakers intussen als secure only en httpOnly verstuurd. ;)

EDIT:
Secure wel, httpOnly helaas niet, zou dat wel het geval zijn, is session hijacking ook niet zomaar te doen.

[Reactie gewijzigd door CH4OS op 7 januari 2020 14:30]

httpsOnly?
Anders ongaat het me.
Dat is het secure attribuut. httponly zegt dat Javascript niet aan de cookietrommel mag komen.
Secure wel, httpOnly helaas niet, zou dat wel het geval zijn, is session hijacking ook niet zomaar te doen
Nou ja, "niet zomaar" vind ik wat kort door de bocht. De httpOnly optie beschermt alleen tegen geïnjecteerde javascript. Maar als een hacker toegang verkrijgt tot de cookie store van je browser ben je alsnog de sjaak.

Het verbaast me overigens wel dat de sessie cookie niet httpOnly is, aangezien elke moderator gewoon html (en dus javascript) kan plaatsen in posts of in een topicwaarschuwing, met een relatief lage pakkans. Ik ga dit eens aankaarten :)

[Reactie gewijzigd door .oisyn op 7 januari 2020 15:32]

Nou ja, "niet zomaar" vind ik wat kort door de bocht. De httpOnly optie beschermt alleen tegen geïnjecteerde javascript. Maar als een hacker toegang verkrijgt tot de cookie store van je browser ben je alsnog de sjaak.
Als een hacker überhaupt al toegang weet te krijgen tot de letterlijke koektrommel heb je denk ik ook wel wat grotere problemen dan session hijacking alleen. ;)
Het verbaast me overigens wel dat de sessie cookie niet httpOnly is, aangezien elke moderator gewoon html (en dus javascript) kan plaatsen in posts of in een topicwaarschuwing, met een relatief lage pakkans. Ik ga dit eens aankaarten
Ik zie althans met de cookie viewer van Chris' Web Developer Toolbar de httpOnly flag niet gezet zijn inderdaad.
Als een hacker überhaupt al toegang weet te krijgen tot de letterlijke koektrommel heb je denk ik ook wel wat grotere problemen dan session hijacking alleen. ;)
Hetzelfde kun je zeggen van het weten te injecteren van custom javascript. Je moet dan al snel denken aan een malafide extensie (of idd gewoon complete toegang tot de PC van de gebruiker idd, maar dat hoeft nog niet per se).
Je hebt wel de mogelijkheid de sessie te koppelen aan het IP-adres, voor portable apparaten wellicht wat vervelend, maar het voorkomt wel sessie hijacking. Overigens heb je tegenwoordig ook de Content-Security-Policy-header, wat voorkomt dat ongewenste scripts worden uitgevoerd, helaas niet geïmplementeerd door Tweakers, maar zou een nuttige toevoeging zijn.
Het kan en moet beter. volledig mee akkoord. Maar als morgen 2FA verplicht gaat worden, zal ik niet gelukkig zijn. 2FA is pas echt interessant als je het gaat verplichten met daarnaast nog wat flankerende maatregelen zoals beperkte levensduur van sessies zodat je mensen regelmatig ook verplicht van zich opnieuw te authenticeren (en niet zoals nu de sessie een jaar levend te houden). En dat gaat voor vele mensen die hier enkel komen voor nieuws en forum een brug te ver zijn. Dus ja, ik begrijp dat men er niet snel zomaar even 2FA ingooit.
Je zou nog een soort 'sudo mode' kunnen introduceren: daarmee ben je wel ingelogd (ook voor langere tijd) maar is het voor sommige acties nodig om opnieuw een password en/of 2FA-token op te geven. Dan kun je denken aan dat je wel altijd kunt reageren op de FP en op het forum, maar dat voor het plaatsen van V&A-advertenties opnieuw inloggen verplicht is.
Voor iemand die dan toch al abusievelijk binnen is op het account van een ander is dat natuurlijk geen drempel meer. Wat dat betreft zul je het dan toch echt van een verificatie via een ander apparaat moeten hebben en kom je wederom uit op 2FA authenticatie.
Bij G-Suite en G-Mail zie je dat ook, maar dan is password verificatie voldoende, ook als je gewoon 2FA ingesteld hebt.
Voor wat meer achtergrond over waarom sommige Tweakers 2FA willen hebben:
Account Gehackt...
Account gehackt
We zijn meerdere dagen bezig geweest met het checken van die wachtwoorden en accounts, implementeren een paar quick wins, er zitten toevallig 4 man in een meeting naast mij om te zien wat we nog meer kunnen doen en hoe, er is al aandacht aan besteed in 2 .plans, reageren op die forumtopics tijdens onze vakanties en in de avonduren, maar blijkbaar is het niet ons probleem.
Zou sterkere wachtwoorden of sign-in via email niet ook voldoende zijn?
Inderdaad, schandalig dat een tech-site als tweakers geen 2FA heeft en tegelijkertijd problemen heeft met "gehackte" accounts op V&A die de boel oplichten.

2FA invoeren en direct verplichten om gebruik te maken van V&A. Anders ga je maar naar marktplaats.

[Reactie gewijzigd door India Sierra op 7 januari 2020 14:09]

Hoewel ze lang om de hete brij heendraaien en er allerlei argumentatie voorbijkomt waarom 2FA niet de heilige graal is ben ik wel blij dat Tweakers inziet dat er toch iets gedaan moet worden aan het platform om de security te verhogen.
Mijn inschatting is dat deze aanpassing relatief eenvoudig te maken was en dat hebben ze dan ook gedaan.

Neemt niet weg dat het altijd beter kan (en ook al beter had moeten zijn).
Lijkt me meer een van een hele set van maatregelen die je kan nemen. Je krijgt wel van meer sites meldingen als er geklooid word met je accountinstellingen of van inlogacties op je account.
Vermijden niet. We kijken ook naar andere oplossingen, de e-mailnotificatie is een relatief eenvoudige oplossing.

As we speak is er een overleg om te kijken wat we nog meer kunnen doen om te voorkomen dat account gehackt kunnen worden. 2FA zal hier ook wel ter sprake komen.
Het zou mooi zijn als de conclusie van dat overleg is om 2FA te implementeren. Het is 2020, zo gek is het niet.
Misschien is het redelijk eenvoudig om te implementeren dat na wijziging van het wachtwoord en/of e-mailadres het plaatsen van een advertentie tijdelijk niet mogelijk is.

Zo heeft de legitieme accounteigenaar wat langer de tijd om een melding te doen.
Misschien is het een idee om ook een email bevestiging (notificatie) te sturen als je een advertentie op V&A hebt gezet?
Een hacker gaat nu namelijk je account niet wijzigen (want dan krijgt het slachtoffer een notificatie :P) maar plaatst meteen een advertentie op V&A.

Verder zouden jullie ook op gelekte wachtwoorden kunnen controleren (haveibeenpwned) en die getroffen gebruikers een nieuw wachtwoord toesturen.
Genoeg mogelijkheden om dit tegen relatief lage kosten te implementeren. H/TOTP met een willekeurige OTP app of YubiKey support. Zolang het maar geen SMS is ;).
Zelfs SMS is beter dan niks. Ik vermoed dat hackers niet de moeite gaan nemen om een telefoonnummer over te nemen, puur voor de SMS van Tweakers.
Maak niet dezelfde fout die jullie maakten met invoering van https, waarbij jullie eigenlijk ook nét te laat waren.
Net te laat? T.net was zich hiervan al in 2013 bewust, en het duurde meer dan een jaar om op te lossen. In die tijd werd het wachtwoord van een gebruiker plain text over het Internet gestuurd bij het wijzigen van het profiel.

Voor een site die technologie op de proef stelt loopt T.net vaak achter.

[Reactie gewijzigd door The Zep Man op 7 januari 2020 15:45]

De algemene login voor de site was toen al lang via https, alleen die legacy wijzigingspagina voor je forumprofiel nog niet. En voordat we https gebruikten hadden we ook al een vorm van versleuteling bij inloggen met behulp van javascript.
Het zou misschien handig zijn als er in die mail over het gewijzigde e-mailadres een link zit om de wijziging direct terug te draaien?

Nu moet je alsnog wachten op de crew terwijl dat wellicht niet nodig is?
Waarom niet op het oude mailadres de wijziging eerst bevestigen voordat de sleutel naar het nieuwe adres gaat?
Dat is door de devs al beantwoord: omdat je dan je mailadres niet kan wijzigen als je om wat voor reden dan ook daar geen toegang meer toe hebt.
Maar nu is het schijnveiligheid. Je kan nog steeds het e-mailadres wijzigen van een gehackt Tweakers account. De enige voorwaarde is is dat je toegang hebt tot het nieuwe e-mailadres en dat lijkt mij niet zo'n probleem.

Het e-mailadres waar ik Tweakers op geregistreerd heb kijk ik zelden op (spam account). Dus ik zou het nog steeds pas laat door hebben (maar ik heb overal een uniek wachtwoord) terwijl de ander gewoon mijn account overgenomen heeft.
Nee, het is geen schijnveiligheid maar juist een extra methode waarmee je in ieder geval kunt opmerken als er iets raars gebeurd met je account waar je voorheen helemaal geen notificatie van kreeg. Uiteraard geeft dat op zichzelf geen 100% beveiliging, maar het draagt er wel toe bij. Naast deze 2 'quick-wins' moeten en zullen we uiteraard ook andere maatregelen gaan treffen, maar dit is iets wat in onze ogen wel kan bijdragen aan meer veiligheid (waarbij 100% beveiliging voor iedereen een utopie is) en wat in de kerstperiode toch nog snel gerealiseerd kon worden...
Bij wat software waar ik ooit aan meehielp ging er een e-mailtje naar het oude en het nieuwe email adres. Bij beide email adressen moest je op een link klikken. Het klikken op de link was verplicht voor het nieuwe email adres, optioneel voor de oude. Als je niet bij het oude email adres op een link klikte dan werd de verandering pas na een aantal dagen uitgevoerd. Ik geloof dat je de verandering zelfs kon blokkeren op het oude email adres.

Dit is allemaal redelijk omslachtig voor een gebruiker, wel behoorlijk veilig.
Maar wat als net je email gehacked is en je die hacker voor wenst te zijn voor hij bij je Tweakers account komt? Er zijn pros en cons voor beide manieren van aanpak.
Ik snap je punt, maar voor m'n gevoel is dat wat vergezocht. Je kan onmogelijk overal al je accounts van mailadres gaan zitten wijzigen. En sowieso lijkt Tweakers me dan niet het eerste de beste account waar een hacker in gaat loggen.

Het lijkt mij dat je motivatie dan eerder ligt bij toegang herstellen tot je mailadres danwel de hacker buiten de deur zien te krijgen.
Goed bezig! Waarom wordt er eigenlijk pas na 10 bounces een prijsalert niet meer verstuurd? Na 1 bounce weet je toch al dat het e-mailadres niet werkt?
Omdat een bounce ook door bijvoorbeeld een volle mailbox kan komen (soft bounce ipv hard bounce).
Een goede bulk mail-oplossing kan hiertussen onderscheid maken, zodat je ervoor kunt kiezen alleen de adressen met een hard bounce niet meer te gebruiken; dit doe ik hier ook bij de registratie van proefpersonen voor onderzoek.
Ik zou inderdaad 10 wat veel vinden. Eén bounce en geblocked worden is ook niet handig, oa volle inbox. Ik zou 3-5x kiezen.
Ik hoop alleen wel dat de tekst nog wat aangepast wordt. Hoewel 'Je e-mailadres' an sich goed is, is 'Jouw e-mailadres' toch echt wat netter Nederlands. Beetje hetzelfde als het me/mijn verhaal. In deze context gaat het immers om specifiek een e-mailadres van de user (waar best wat nadruk op mag komen te liggen); ook taaladvies onderschrijft dat, of kan ik hiervoor beter een topic maken?

[Reactie gewijzigd door CH4OS op 7 januari 2020 14:05]

'Me verhaal' is toch popi-jopi-praat? :+

'Je email-adres' lijkt mij prima, waarom toch al dat formeel gedoe ...
Goed Nederlands is geen formeel gedoe.
Het is raar dat mensen zoiets simpels als bezittelijk voornaamwoorden niet meer kennen. Me en mijn zijn twee hele verschillende dingen, je en jouw zijn op precies dezelfde manier verschillend. Dat mensen af en toe jou en jouw vind ik minder raar (voor zover het geen typevautjes betreft natuurlijk).

Nederlands was mijn goeiste vak... :+
Ik zie het nog niet eens als formeel taalgebruik, formeel taalgebruik heeft bijvoorbeeld een akte, een (hypotheek)overeenkomst (al dan niet bij een notaris), niet het taalgebruik zoals in deze e-mail en die paar letters extra maken het echt niet opeens 'heel formeel'.

[Reactie gewijzigd door CH4OS op 7 januari 2020 14:11]

Als het over beveiliging gaat, heb ik liever écht formeel taalgebruik dan popi-jopi-praat. Beveiliging is geen lolletje.
Beveiliging is echter ook niet dusdanig formeel dat het een tekst behoeft zoals je ziet in een notariele akte of voorwaarden van bijvoorbeeld een hypotheek. Dat is formeel taalgebruik die zeker voor een mail met de strekking dat bij iemand het e-mailadres veranderd is niet nodig is. ;) Maar mag inderdaad wel van een goed niveau zijn. 'Je e-mailadres' is dat (imo) niet, Jouw e-mailadres is dat imo wel en goed genoeg.
Ja dat bedoelde ik ook precies zo eigenlijk.
Waarom zou je dat nadrukkelijke “jouw” moeten gebruiken? Het is niet alsof je ook notificaties krijgt als andermans adres is aangepast.

De vergelijking met “me” gaat ook scheef. Dat woord is domweg incorrect wanneer gebruikt als bezittelijk voornaamwoord.
Waarom zou je dat nadrukkelijke “jouw” moeten gebruiken? Het is niet alsof je ook notificaties krijgt als andermans adres is aangepast.
Dat bedoel ik; het is nadrukkelijk specifiek, dan is het dus juist raadzaam om jouw te gebruiken (het gaat immers specifiek om jouw e-mailadres dat gewijzigd is en niet die van een ander), zie ook de link van Taaladvies.

[Reactie gewijzigd door CH4OS op 7 januari 2020 14:12]

Dat advies geldt als je expliciet die nadruk wilt leggen. Wat ik zeg is dat gezien de context van deze mails, het helemaal niet nodig is om die expliciete nadruk te leggen.
Ik denk dat het voor de leesbaarheid en hoe het moet opgevat worden (waar ook niet al te licht over gedacht moet worden, imo) wel degelijk beter is om 'Jouw e-mailadres' te gebruiken ipv het nonchalantere 'Je e-mailadres'.

Het doel van de e-mail is immers om de betreffende persoon te informeren dat het is gebeurd en de betreffende gebruiker wilt waarschuwen als het abusievelijk is gebeurd.

En laten we wel wezen; het is geen al te grote aanpassing om het goed te gaan doen, die ook geen honderden uren development tijd kost. ;)

[Reactie gewijzigd door CH4OS op 7 januari 2020 15:10]

Het leest alleen in mijn ogen echt heel vreemd om die zin te beginnen met “Jouw” en ik zie dus werkelijk niet op wat voor manier het beter is.
Ik denk echt dat dat een interpretatie dingetje is van jouw kant; ik zie niet waarom correct taalgebruik niet zou kunnen. ;)
Dat zou ik juist verwarrend vinden. Taaladvies zegt ook dat je 'jouw' moet gebruiken om er de nadruk op te leggen bij bijvoorbeeld een tegenstelling:
Als het bezittelijk voornaamwoord benadrukt moet worden, bijvoorbeeld bij een tegenstelling, kan alleen de volle vorm gebruikt worden.
  • Is dit jouw handdoek of die van mij?
  • Ik vind het niet logisch, maar het is jouw keuze.
En daar is hier geen sprake van. De formulering "jouw emailadres" lees ik dan ook als "Ja, JOUW emailadres en dus niet het emailadres van je zus of je buurman".
En daar is hier geen sprake van. De formulering "jouw emailadres" lees ik dan ook als "Ja, JOUW emailadres en dus niet het emailadres van je zus of je buurman".
En dat is ook precies de strekking die het bericht over zou moeten brengen, dat doet het imo te weinig door het als 'je e-mailadres' af te doen. Het valt mij best op dat beveiliging wat dat betreft alhier op Tweakers nog best een aardig onder geschoven kindje is. Mensen zijn niet echt bewust hoe ver dat kan gaan.

Een stukje duidelijke, daadkrachtige communicatie hoort daar ook bij; wat kunnen de mogelijke gevolgen zijn als je dingen niet doet, of juist wel, etcetera, die dingen horen er ook bij, maar zie je amper terugkomen. En ja, ik vind dat in een communicatie dan best met een soort vingertje gewezen mag worden, om te zorgen dat de persoon in kwestie goed wakker geschud wordt.

[Reactie gewijzigd door CH4OS op 7 januari 2020 15:39]

Is melden van inloggen ook nog een mogelijkheid om toe te voegen? Een hacker hoeft toch niet per se je wachtwoord te wijzigen als die het al geraden heeft.
Enkel ene inlogmeldingvanaf een onbekende locatie. Aan de hand van een IP (en locatie), en een fingerprint kan je al herkennen of een aanmelding een nieuwe aanmelding is. Zo kan je een notificatie inbouwen. Ook kan je op die manier voor bekende locaties weer voor het gemak 2FA uitschakelen.
en een fingerprint
En dan krijgen we weer klachten dat we over fingerprinting doen ;)
Bij een hoop online diensten krijg ik een mailtje als er een onbekende inlogpoging plaatsvindt via een onbekend IP-adres of andere browser.

Wellicht kan Tweakers dat ook implementeren zodat je ook een melding krijgt als iemand niet je mailadres of wachtwoord wijzigt, maar wel inlogt.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True