Ik ben daar al weg gegaan toen ze die gekke tan codes verplicht gingen stellen.

Het lekke flash verplicht stellen zijn daar nu helemaal van de pot gepletterd.

Als ING klant heb ik dat nog niet opgemerkt, maar ik meen dat bink ook flash gebruikt als animatie om de koersen en performance van je portefeuille weer te geven.

Als ik op de stoel van webontwerper ga zitten, dan heb IK ook liever flash voor de weergave van grafiekjes etc, ipv dat ik png-tjes eerst op de server moet genereren en daar een cache-time constructie aan moet hangen. Je wilt als bank niet het risico lopen dat de klant (om wat voor reden ook) verouderde data te zien krijgt. Het is toch allemaal realtime gericht, die beursdata. En software ontwikkelaars denken meestal toch vooral vanuit functionaliteit. Noties van beveiligingszaken en periferiesoftware als flash zijn meestal ver te zoeken, als ze al deel uitmaken van de overwegingen.

Als ik op de stoel van de bank ga zitten, dan besteed ik het gewoon uit en laat ik me overtuigen met een flitsende demonstratie. Ik heb er verder geen verstand van, en dat is als decisionmaker ook een goed uitgangspunt. Dat niemand negatieve feedback heeft gegeven of die niet voldoende zwaar is gewogen, is teleurstellend.

Je kan als klant aan de bel trekken, en eigenlijk is dat terrecht. Flash geeft maintenance overhead op het werkstation dat de site bezoekt. Maar ik denk niet dat men op individuele klachten ingaat. Je kan beter een menigte mobiliseren.

Je opmerking over paranoide zijn kan ik niet beantwoorden. Maar als ik tussen de regels lees, dan is je probleem waarschijnlijk niet de bank die op de flash-tour gaat, maar flash an sich. Flash heeft een discutable reputatie en de fabrikant, meneer Adobe, heeft evenmin een onbevlekte reputatie. En dan laat ik de uiteindelijke gebruikers implementaties maar achterwege. Het percentage werkstations dat ik zie dat bijgewerkt is met de laatste versie (ivm beveiligingslekken) is nihil. Dat moet toch echt beter kunnen denk ik dan maar weer. Natuurlijk maak ik een schifting tussen eindgebruikers als ome Joop van de hoek, en een correct beheerde omgeving waar de beheerder(s) weten wat ze doen.

Jammer dat flash nog steeds niet volwassen is, want op zich is dit een waardevolle aanvulling op het zg. www-pallet die de ontwikkelaar ten dienste staat.

Je schrijft "Ben ik nu overdreven paranoïde om te denken dat mijn geld nu niet meer veilig is bij ING?".
Mijn antwoord is: Als je niets en niemand meer vertrouwt en als je overal bang voor bent is mijn conclusie: zet de pc aan de kant!!! Ga ook niet het internet op en pas op als je de gewone reele weg op gaat, pak ook niet de fiets, ga niet op een stoel zitten want de poten kunnen plots doorbreken! Loop niet in het bos: want takken kunnen plots naar beneden vallen. Snap je wat ik bedoel? De grootste angst is de angst zelf; je kunt overal bang om zijn, maar zo heb je toch geen leven.

Wat de bank bezielt weet ik niet, maar IMO heb je groot gelijk als je geen flash wilt installeren om te kunnen internetbankieren.

Als dat nu je enige bezwaar is :)

De ING (voormalige Postbank) is een ramp wat betreft veiligheid, je logt in met een gebruikersnaam en wachtwoord (en hebt de optie om TAN-codes op papier te ontvangen!)
En als je het wachtwoord kwijt bent? Oh geen probleem... Die krijg je gewoon per SMS toegestuurd!

En maar zeuren dat zoveel mensen de dupe zijn van phissing bij de ING.
ZE ZIJN TE BEGODVERD OM MAAR IETS TE DOEN AAN EEN GOED, VEILIG EN BETROUWBAAR AUTHENTICATIE SYSTEEM! Binnenkort ga ik als zakelijke klant ook over op dat klote systeem. En oh wat ben ik daar blij mee...

Je kunt het ook omdraaien: wat bezielt jou om nog zaken te doen met ING?
Het is niet voor het eerst dat ik met een toko geen zaken meer doe omdat ze proberen me te dwingen iets te installeren. 1x mededelen... Daarna opzeggen. 30% komt dan toch af met een oplossing... En de rest... ach, dat is het mooie van concurrentie...

je bent overdreven paranoïde

Kijk de ING moet ook keuzes maken, en dan maak je voor sommigen altijd de verkeerde. Installeer nou gewoon Flash en hou die boel up-to-date. klaaaar!

Goed om te weten. Ik zal direct contact opnemen met de klantenservice van ING en hun verzoeken het gebruik van flash te beperken zoals ik dat ook bij andere sites doe.

Daarbij natuurlijk wel gelijk verscheidene bronnen bijvoegen zodat de ING de problemen met flash kan onderkennen.

Wow. o.o

Nou ik heb gelijk deze email verstuurd naar de ING;

"Ik ben al jaren bij de Postbank / ING en gebruik ook al geruime tijd de online betalingsmogelijkheden van de ING.
Wat schertst mijn verbazing nu? De ING website verzoekt mij ineens om een onveilige plugin te installeren "voor een volledige gebruikerservaring", en verscheidene bronnen hebben mij gemeld dat deze verplicht geinstalleerd dient te worden om beleggingen via de site te kunnen doen??
(Bron: http://www.ing.nl/Images/noflash_small_img_tcm7-43386.gif )
Dit, nadat de bank in verscheidene correspondenties aangegeven heeft de veiligheid van de bank te willen verbeteren!

Het is mij onduidelijk waarom er dan een plugin word gebruikt welke zodanig veel fouten en veiligheidsrisicos bevat dat eenieder hier zijn/haar bankgegevens verplicht afstaat aan derden?

Bronnen:
13 September 2010: "Critical Vulnerability in Adobe Flash Player, Adobe Reader & Adobe Acrobat"
Bron: http://www.adobe.com/support/security/advisories/apsa10-03.html
27 September 2010: "Mac OS X users vulnerable to Adobe Flash Player vulnerabilities"
Bron: http://www.prevx.com/blog/157/Snow-Leopard-and-the-forgotten-Flash-plugin.html
In de laatst genoemde bron ook een link naar de Secunia vulnerability check waarbij 63 kritieke fouten in Flash Player zijn geconstateerd:
http://secunia.com/advisories/product/20166/
5 Oktober 2010: "Exploit-kit opent jacht op Adobe gebruikers"
Bron: http://www.security.nl/artikel/34645/1/Exploit-kit_opent_jacht_op_Adobe-gebruikers.html
8 Oktober 2010: "Adobe bevordert spionage Flash-gebruikers"
Bron: http://www.security.nl/artikel/34673/1/%22Adobe_bevordert_spionage_Flash-gebruikers%22.html

Ik verzoek U hierbij om goed onderzoek te doen naar de onveiligheid van deze gewraakte plugin en per direct alternatieven te zoeken en deze aan te bieden om de veiligheid van Uw klanten te waarborgen.

Mocht U verder gaan met het verplichten van het gebruik van deze plugin, dan voel ik mij genoodzaakt om mij te distancieren van de ING om mijn bankgegevens zelf te beschermen waar de ING dit blijkbaar niet nodig vindt."

Laten we hopen dat ze wat slimmer worden dan deze flash rotzooi te gaan verplichten.

Persoonlijk heb ik een hekel aan websites die functionaliteit, welke ook prima op andere manieren kan worden gerealiseerd, uitsluitend via Flash aanbieden (bijv. menus). De reden hiervoor is dat Flash een ernstig lek product is en ik het gebruik ervan tot een minimum probeer te beperken (dat doe ik middels Firefox + NoScript + FlashBlock).

Vanuit ING geredeneerd heeft bijna 100% van de gebruikers Flash ondersteuning in de gebruikte webbrowser (nou ja, op wat iPhone gebruikers na dan, hebben die trouwens een andere ingang?), dus waarom dan niet gebruiken? Neemt niet weg dat hiermee een slecht voorbeeld wordt gegeven.

Kennelijk verkeren banken nog steeds in de veronderstelling dat de minimale maatregelen onder punt 1 op http://www.3xkloppen.nl/link/Check-of-het-klopt een PC opleveren die voldoende veilig is voor internetbankieren. Sterker, in vraag "Hoe kan het dat ik de videofragmenten in de test niet kan afspelen?" http://www.3xkloppen.nl/veelgestelde-vragen/#faqitem_20 wordt beantwoord met: "Om de videofragmenten in de test af te kunnen spelen, heeft u een Flash Player nodig"...

Een beetje wel. Je bent duidelijk "security-aware", de kans op malware op jouw PC is daarmee al vaak emorm veel kleiner dan mensen die er maar op los klikken.

Flash content op die ING site vormt (naar ik aanneem) nauwelijks een risico voor jouw PC. Door Flash uit te schakelen als je andere websites bezoekt is het risico dat je loopt nauwelijks groter dan geheel geen Flash op jouw PC.

Als bij MSIE zweert (of de ING site deze vereist) dan kun je evt. gebruik maken van "Toggle Flash" (zie http://flash.melameth.com/, heeft wel .NET framework v2.0 nodig). De versie op die site was zojuist nog ongewijzigd t.o.v. van wat ik eind 2009 heb gedownload (togflash.msi: md5=600732e2e250e1962646c6c2d149b913, sha1=fb2399e1d4927243baf79ef79e270e3fcf53d3cb).

Dit kleine programmaatje wijzigt door een klik op het icoontje (dat rechtbovenin MSIE verschijnt) de status van de Add-On "Flash" binnen MSIE tussen enabled en disabled. Helaas een wat gebruiksonvriendelijk ding omdat deze de actuele status (Flash enabled of disabled) niet laat zien in dat icoontje.

De volgende tip is dan wellicht handig:
- Download en installeer Toggle Flash
- Download http://www.adobe.com/swf/software/flash/about/flashAbout_info_small.swf en save deze bijv. als C:\hulpjes\flashAbout_info_small.swf (die map mag je zelf kiezen natuurlijk, je kunt deze swf natuurlijk ook opslaan onder C:\Program Files\Toggle Flash\).
- Start MSIE en tik in als URL: C:\hulpjes\flashAbout_info_small.swf
- Maak dat je MSIE homepage (in "Internet Opties" ziet dat eruit als: file:///C:/hulpjes/flashAbout_info_small.swf, spaties in mapnamen worden dan vervangen door %20).

Als je nu MSIE opstart en "Toggle Flash" staat aan, dan zal deze het versienummer van de geinstalleerde Flash plugin laten zien. Als Toggle Flash uit staat, krijg je een klein rood kruis en onderin MSIE een melding dat een plugin disabled is.

N.B. je "home page" wordt natuurlijk alleen getoond als je MSIE "kaal" opstart, niet als je deze opent door op een link in een mail te klikken of zo. Kwestie van discipline om Flash altijd meteen weer uit te schakelen nadat je het gebruikt hebt.

veiliger kunnen we het niet maken, wel uw pc van eigenaar laten verwisselen.

Je kunt er natuurlijk ook voor kiezen om Flash wel te installeren, maar tegelijkertijd ook een flash blocker (in elk geval is die er voor FF en Opera). Die werkt bij mij prima. Daarmee kom ik ook zonder problemen op de ING site.

Voorzichtigheid is altijd goed, het wordt pas paranoia als je er dwangmatig in doordraaft waar het niet nodig is. Maar dat punt is voor iedereen anders.

Flash dient - voor mij - geen enkel doel m.b.t. duidelijke, secure en heldere informatie overdracht wat ook gedaan kan worden via kale HTLM pagina's. Zeker op een belegging-website is dit kolder. In mijn ogen is Flash alleen maar leuk voor g**l designers en grafische toeters en bellen leveranciers van advertizers. Functioneel voegt het niets toe, want ook al met andere en meer veiligere tools bereikt kan worden.

Antwoord op je vraag:
- Volgens mij ben je niet paranoia, maar heel erg "security bewust" vraagsteller. Blijft jezelf altijd vragen stellen over alles, daar word je bewuster en zelf wijzer van :-). Tuurlijk kom je dan in aanraking met hordes mensen die al niet meer voor zichzelf willen, kunnen denken, en of alles slikken voor zoete ontbijtkoek maar he... das de fun van dit proces :-)

Iemand al met het idee gekomen dat banken dit risico incalculeren? Ik heb ook een enorme hekel aan flash en andere inferieure producten, maar ik ben bang dat de banken dit, voor hun, kleine risico voor lief nemen om zo het grote publiek van dienst te zijn met soepele flitsende sites. Is dat niet wat men wil tegenwoordig?

Nou, nee dus.

Ik zie liever een functionele en veilige website waarop alleen tekst te zien is dan een onveilige website die aan alle kanten met ducttape aan elkaar geplakt is omdat die van vermoeidheid uit elkaar zakt..
Met flash is dat laatste toch meer aan de orde dan niet.

Herhaaldelijk zag ik mijn browser verwoede pogingen doen om flash content te laden, vast lopen en dan het nog maar eens proberen tot de content daadwerkelijk mijn kamer in toeterde met al de flash-reclame onzin die het internet onveilig maken.
Goed, dat is nog te omzeilen door bepaalde reclamebedrijven te blacklisten. Maar als dan normale content nog steeds niet wil laden tot de flash content ingeladen is, dan is er toch echt iets mis met de prioriteiten van de website eigenaar.

Ik heb ongeveer een half jaar terug eindelijk de beslissing genomen om dan maar de stekker uit dat hele flash gebeuren te trekken. Komt er bij mij niet meer op. Het internet laadt nu tenminste weer normaal.

(En voordat de vraag gesteld word; ik heb een mid-to-high-end PC. Dus daar ligt het niet aan.)