Computerbeveiliging - Hoe je bad guys buiten de deur houdt

ABN-Amro werkt niet zonder Omniture

02-03-2014, 14:20 door jaapd, 55 reacties
Ik verbaas mij toch heel erg over ABN-Amro. Op de betaalsite, waar ik dus moet inloggen, kan ik Omniture niet weigeren met een plugin als Ghostery.
Dat houdt dus in dat Omniture zonder al te veel moeite mijn gegevens te pakken krijgt. Ze kunnen zelfs mijn saldo zien als ze voldoende javascript inzetten.
ABN-Amro kan hier geen enkele garantie over geven die veel verder gaat dan: We hebben met ze afgesproken dat...

En dan gaan ze van mij eisen dat ik m'n boeltje op orde heb.

Zeer bijzonder.

Jaap
Reacties (55)
02-03-2014, 15:21 door Anoniem
Bij Robeco ben je volgens de voorwaarden VERPLICHT om een spionerend bedrijf als Google op je systeem toe te laten!
Nou, mooi niet dus.
Dus dag Robeco en Google
02-03-2014, 15:25 door EKTB
Zelf zit ik bij de ASN Bank en volgens NoScript wordt er alleen verbinding met asnbank.nl gemaakt.

dus wellicht overstappen? nog goedkoper ook.

enig nadeel: je kan niet langer contant storten.
02-03-2014, 15:58 door [Account Verwijderd]
[Verwijderd]
02-03-2014, 15:58 door Zipper
ABN-Amro had in januari van dit jaar toch beloofd / gezegd dat ze eind januari van dit jaar die cookies van Omniture niet meer zouden gebruiken.
Je krijgt nu twee cookies , eentje van Omniture en eentje van Adobe Test en Target, die laatste kun je wel weigeren.

Wat Omniture met de zo opgehaalde gegevens doet, joost mag het weten.
02-03-2014, 16:23 door Briolet - Bijgewerkt: 02-03-2014, 16:24
Omniture is verplicht geworden sinds ze een paar week geleden met hun nieuwe web layout begonnen zijn. Vóór die tijd kon ik het wel altijd probleemloos blokkeren.

Bij Firefox zie ik nu niet de 'inlog botton'. Safari laat wel de inlog button zien, maar daar gaat het mis op het moment dat ik tussen de twee E-dentifiers moet kiezen. (Scherm blijft leeg) Makkelijkste optie bij Ghostery is de rechter button te gebruiken (wordt dan groen) zodat je Omniture alleen bij deze site toestaat.

Ik dacht eind vorig jaar ook gelezen te hebben dat ABN-Amro van de Omniture verplichting af wil. Het doel van Omniture is het bijhouden hoe mensen door de site navigeren. En bij een nieuwe site layout is dat natuurlijk wel handige info voor de site ontwikkelaars. Anderzijds zal het maar een paar procent zijn die Omniture blokkeert, dus kun je die rustig missen in je statistiek.
02-03-2014, 16:25 door [Account Verwijderd]
[Verwijderd]
02-03-2014, 16:31 door Erwtensoep - Bijgewerkt: 02-03-2014, 16:31
Bij ASN bank moet je gewoon inloggen met username+ww, niet zo veilig, en zo ondersteunen ook geen TLS 1.2:
https://www.ssllabs.com/ssltest/analyze.html?d=asnbank.nl
Triodos bank heeft ook geen omniture of andere tracker, werkt met een identifier en ondersteund wel TLS 1.2


ik heb de boel toch redelijk dicht getimmert
heb google chrome met adblock, en heb mijn hostsfile aangepast: http://winhelp2002.mvps.org/hosts.htm
kon eergister gewoon inloggen

als ik google op omniture, kom ik sites van adobe

ben je niet te paranoide?
Omniture staat gewoon op het domein van ABN zelf:
https://www.abnamro.nl/nl/widgetdelivery/unauthenticated/static/js/lib/util/analytics/adapters/omniture.js
https://www.abnamro.nl/nl/widgetdelivery/unauthenticated/static/js/omniture_tl.js

https://www.ghostery.com/apps/omniture_%28adobe_analytics%29
02-03-2014, 18:07 door Anoniem
Mogelijkheden in willekeurige volgorde:

Neem een andere bank
Pas je hostsfile aan
Dien een klacht in (linkje is aanwezig op de inlog pagina)
Bel, bij voorkeur midden in de nacht, de helpdesk dat je niet in kunt loggen. (Pot zwarte koffie is noodzakelijk)

..... etc.

Wel doen, ik heb 2 en 3 allang toegepast.
02-03-2014, 18:38 door Anoniem
De opmerking over Robeco is volgens mij niet juist. Uit hun privacy voorwaarden:

"Indien u helemaal geen cookies wenst te ontvangen, kunt u de instellingen van uw internetbrowser aanpassen om het plaatsen van cookies volledig te blokkeren. U kunt dan mogelijk niet optimaal gebruik maken van alle onderdelen van de Robeco Websites."

Er wordt dus helemaal niet gesteld dat het toelaten van dergelijke cookies verplicht is! Juist het omgekeerde is waar.

Bij ASN is het wel jammer dat 2-factor niet zit op het aanloggen, wel mag je die gebruikersnaam (en uiteraard wachtwoord) zelf kiezen. En uiteraard moet je voor het doen van overboekingen alsnog gebruik maken een Vasco token voor een challenge response code. Wederom met eigen gekozen PIN, die ook weer zelf aan te passen is. (Met 5 ipv 4 cijfers zoals bij Triodos)

De kans dat een onbekende dus zonder hulp van het slachtoffer iets kan doen met je rekening acht ik dan ook nihil. Het vervelendste wat nog zou kunnen gebeuren is dat wanneer iemand je wachtwoord zou hebben (keylogger ofzo), hij het wachtwoord zou aanpassen zodat je zelf niet meer kan inloggen. Maar (1) heb je dat dan meteen door dat er iets mis is en reden om alarm te slaan, en (2) kan je alsnog vrij weinig schade doen behalve dan door iemands rekeningen pluizen. Je kan overigens op de site van ASN wel zien wanneer iemand voor het laatst is ingelogd. Als jij dat dus niet zelf bent geweest is dat tevens reden om alarm te slaan.

Sowieso valt een kleine bank als ASN (maar natuurlijk Triodos ook), behoorlijk buiten de scope van de gemiddelde dief, gewoon vanwege het kleinere marktaandeel (dus kleinere slagingspercentage bij bijvoorbeeld een phishing actie). Dat zijn namelijk de aanvallen waardoor mensen nu keihard beroofd worden van hun geld, in plaats van een hoop theoretische en amper uitvoerbare SSL implementatiefouten te misbruiken. Een score van B op ssllabs is toch vrij netjes denk ik zo. Overigens ondersteund geen enkele Nederlandse bank nog Forward Secrecy, dus als je over SSL veiligheid begint dan kun je eigenlijk nergens naartoe met je geld.
02-03-2014, 19:07 door Anoniem
Makkelijk zat. Ik gebruik IE11 alleen voor me bankzaken. Voor de andere dingen Chrome.
02-03-2014, 23:36 door Anoniem
Ik verbaas mij nergens meer over, vooral niet over de sufheid van de doorsnee burger, die vooral uit is op gemak, "betaalgemak". Wie heeft dat krankzinnige woord ooit uitgevonden? Zelf goede doelen doen er aan; je niets meer in hun collectebus doen want die hebben ze niet meer bij zich. Je kunt alleen nog tekenen voor een automatsche maandelijkse incasso. Lekker makkeluk. We worden steeds meer gezien willoze consumenten die je volautomatisch kunt aftappen. Nou, doei!
02-03-2014, 23:49 door [Account Verwijderd] - Bijgewerkt: 02-03-2014, 23:52
[Verwijderd]
03-03-2014, 08:24 door Anoniem
Ik heb dat met ABN AMRO al besproken, volgens hen werkt dit zoals ontworpen. Dus heb ik mijn rekening opgezegd met dit als verklaring. Vote with your wallet.
03-03-2014, 08:42 door EKTB - Bijgewerkt: 03-03-2014, 10:24
Door Solaris:
Door EKTB: Zelf zit ik bij de ASN Bank en volgens NoScript wordt er alleen verbinding met asnbank.nl gemaakt.

dus wellicht overstappen? nog goedkoper ook.

enig nadeel: je kan niet langer contant storten.

jawel, je kan kosteloos contant storten bij de GWK (bij het station)
Dat is toch alleen voor de SNS bank? http://www.gwktravelex.nl/NL/For-Individuals/Contant-rekening-betalen/Kosten/

ASN is onderdeel van SNS REAAL, maar bij een SNS kantoor kan je ook niet storten.
03-03-2014, 09:21 door Anoniem
Door Anoniem: Ik verbaas mij nergens meer over, vooral niet over de sufheid van de doorsnee burger, die vooral uit is op gemak, "betaalgemak". Wie heeft dat krankzinnige woord ooit uitgevonden? Zelf goede doelen doen er aan; je niets meer in hun collectebus doen want die hebben ze niet meer bij zich. Je kunt alleen nog tekenen voor een automatsche maandelijkse incasso. Lekker makkeluk. We worden steeds meer gezien willoze consumenten die je volautomatisch kunt aftappen. Nou, doei!
Hoi! Met jou kan ik praten ;)
03-03-2014, 09:39 door Anoniem
Door Peter V.: Kijk eens of het blokkeren van het verkeer van en naar 2o7.net ( www.omniture.com) in de firewall helpt (of u dan nog kunt inloggen)?

RequestPolicy addon in mijn FireFox blokkeert dit adres en ik kan gelukkig bankieren zonder problemen.
03-03-2014, 10:12 door Anoniem
"Ik verbaas mij toch heel erg over ABN-Amro. Op de betaalsite, waar ik dus moet inloggen, kan ik Omniture niet weigeren met een plugin als Ghostery. Dat houdt dus in dat Omniture zonder al te veel moeite mijn gegevens te pakken krijgt. Ze kunnen zelfs mijn saldo zien als ze voldoende javascript inzetten. "

Da's een lekker voorbarige conclusie. Omniture mag dan leverancier zijn, dat wil niet zeggen dat de bank de gegevens die ze verzamelen met Omniture analytics software ook deelt met de leverancier.
03-03-2014, 10:14 door Anoniem
Wie van degenen die bezwaar hebben tegen Omniture hebben via Opt-Out aangegeven dat zij niet in de gaten willen worden gehouden middels deze software ? Die optie heb je namelijk gewoon als gebruiker.

--
Tell our customers not to measure your use of their websites or tailor their online ads for you.

Adobe provides analytics and on-site personalization services as well as advertising services to help companies measure the use of their websites or tailor their online ads based on the likely interests of their users. You can opt out of the use of Adobe cookies for these purposes.

Note about cookie-based preferences: Except the preferences for email, telephone, and postal mail marketing, the privacy preferences described above work by placing a cookie on your browser. Therefore, your browser must be configured to accept cookies for your preference to take effect. If you delete or clear your cookies, or if you change which web browser you are using, you will need to set your preferences again.

http://www.adobe.com/privacy/opt-out.html#4
--

Geeft het gebruik maken van de Opt-Out regeling problemen, indien je vervolgens gebruik wilt maken van internet bankieren van de ABN Amro ?
03-03-2014, 10:15 door Anoniem
"Ik heb dat met ABN AMRO al besproken, volgens hen werkt dit zoals ontworpen. Dus heb ik mijn rekening opgezegd met dit als verklaring. Vote with your wallet."

Heb je al een bank gevonden die -geen- gebruik maakt van analytics diensten op de website ?
03-03-2014, 10:36 door Anoniem
Bij het blokkeren van alle vreemde domeinen met NoScript moet de nieuwe webgui van de ABN toch gewoon werken. Wel moet je bij het inlogscherm 5 seconden wachten omdat de pagina opnieuw geladen worden (waarschijnlijk omdat geen verbinding gemaakt kan worden met de trackers en er daardoor een andere versie wordt geladen).

ABN is altijd een prima bank geweest als het gaat om kwaliteit en internetbankieren, maar ik moet zeggen dat dit echt een lijn is die op een afgrond lijkt. De nieuwe bankieren 'website' is echt een gedrocht van een natuurramp. Gewoon NIET werkbaar. meer dan 75 % van de beeldvulling is lege ruimte of reclame, informatie is bijna niet meer te vinden en waar je vroeger een duidelijk overzicht had, heb je nu maar 3 regels en ben je jezelf misselijk aan het scrollen om iets te vinden.

Alleen omdat er van die hype-hippies zijn die met hun dikke worstvingers niet uit de voeten kunnen met de website op een device met een touchscreen verprutsen ze de gehele werkbaarheid van het product. Bij ABN zijn ze helemaal de weg kwijt wat de doelgroep van internetbankieren moet doen; bankieren en niet 10x tijdens goede tijden slechte tijden op de "bank" zitten en het saldo opvragen omdat het kan.

Het enige dat de consument kan is zoveel mogelijk zeuren, klagen en jammeren bij ABN. De websurey elke dag even invullen en de berichtenbox overspoelen met klachten.

Als ze er dan niets mee doen, dan verliezen ze maar klanten.

Is gewoon van de zotte om elke maand een berg servicekosten te betalen voor een product waar niet mee te werken is.
03-03-2014, 10:42 door Briolet
Door Peter V.: Kijk eens of het blokkeren van het verkeer van en naar 2o7.net in de firewall helpt

Dat helpt ook. Ik gebruik DNSCrypt als dns resolver. Daar kun je ook Ip adressen of domeinnamen blokkeren. Ook kun je alle dns aanvragen loggen. Standaard zie ik daar steeds "abnamro.122.2o7.net" in staan. Als ik dat domein blokkeer, zie ik dat hij het ook nog op "abnamro.122.2o7.net.local" probeert om een IP op te halen. Lukt ook niet, maar ik kan wel gewoon inloggen.

Ik ben wel benieuwd of zij een melding terug krijgen in een log, dat er iets mis is.
03-03-2014, 11:43 door Anoniem
Heb je al een bank gevonden die -geen- gebruik maakt van analytics diensten op de website ?

De Rabobank maakt zo te zien geen gebruik van externe diensten. Omniture meldt geen enkele tracker.
03-03-2014, 12:59 door Anoniem
Je hebt heel geen tracker nodig. Je kan de aangeroepen services in een sessie loggen, waarmee debank ook weet welke functionaliteiten de klant heeft gebruikt.
03-03-2014, 13:10 door Anoniem
Door Anoniem: Wie van degenen die bezwaar hebben tegen Omniture hebben via Opt-Out aangegeven dat zij niet in de gaten willen worden gehouden middels deze software ? Die optie heb je namelijk gewoon als gebruiker.

Die Opt-Out werk niet bij mij, die wil gebruik maken van java script en tja, dat vertrouw ik niet.
03-03-2014, 13:36 door Anoniem
"De Rabobank maakt zo te zien geen gebruik van externe diensten. Omniture meldt geen enkele tracker."

Rabobank: Analytics cookies (Omniture SiteCatalyst)

Deze cookies worden gebruikt voor onderzoek om de website te optimaliseren en gebruiksvriendelijker te maken. Zo kunnen wij bijvoorbeeld de vindbaarheid van informatie verbeteren als blijkt dat een bepaalde pagina slecht wordt gevonden. Dit doen wij met het meetprogramma Omniture SiteCatalyst.

http://www.rabomobiel.nl/rabomobiel/footer/privacy/cookies
03-03-2014, 13:38 door Anoniem
"Die Opt-Out werk niet bij mij, die wil gebruik maken van java script en tja, dat vertrouw ik niet."

Of jij het vertrouwt zegt niets over de vraag of het werkt. Wat dat betreft een vreemde reactie.
03-03-2014, 14:41 door Anoniem
Deze cookies worden gebruikt voor onderzoek om de website te optimaliseren en gebruiksvriendelijker te maken. Zo kunnen wij bijvoorbeeld de vindbaarheid van informatie verbeteren als blijkt dat een bepaalde pagina slecht wordt gevonden. Dit doen wij met het meetprogramma Omniture SiteCatalyst.

http://www.rabomobiel.nl/rabomobiel/footer/privacy/cookies

Dit geldt voor rabomobiel.nl (daar vindt Ghostery ook Omniture), op rabobank.nl is echter niks te vinden.
03-03-2014, 15:36 door Anoniem
Die Opt-Out werk niet bij mij, die wil gebruik maken van java script en tja, dat vertrouw ik niet.

Ik vraag me af hoe jij hier een message post. Als ik Java Script uitzet, werkt die 'reageren' button niet. Dus wat voor onzin over Java Script niet vertrouwen als je het hier gewoon aan hebt staan om te kunnen posten.
03-03-2014, 20:53 door Anoniem
Je kan met RequestPolicy op Firefox iig heel gemakkelijk per domein aangeven welke externe domeinen wel of niet geladen mogen worden. Als je begint met gebruik en alles van externe domeinen by default blokkeert kan je meteen eens zien hoe het Internet er in 1994 uitzag, hehe.
03-03-2014, 21:07 door [Account Verwijderd]
[Verwijderd]
03-03-2014, 21:07 door [Account Verwijderd] - Bijgewerkt: 03-03-2014, 21:09
[Verwijderd]
03-03-2014, 23:32 door Anoniem
Door Anoniem: Je kan met RequestPolicy op Firefox iig heel gemakkelijk per domein aangeven welke externe domeinen wel of niet geladen mogen worden. Als je begint met gebruik en alles van externe domeinen by default blokkeert kan je meteen eens zien hoe het Internet er in 1994 uitzag, hehe.
Door Peter V.: Kijk eens of het blokkeren van het verkeer van en naar 2o7.net ( www.omniture.com) in de firewall helpt (of u dan nog kunt inloggen)?
RequestPolicy addon in mijn FireFox blokkeert dit adres en ik kan gelukkig bankieren zonder problemen.

De Omniture tracker staat gewoon op het domein van ABN Amro zelf
04-03-2014, 09:21 door Anoniem
"De Omniture tracker staat gewoon op het domein van ABN Amro zelf"

Jups, maar die uitleg zullen velen hier negeren omdat ze dat niet kunnen of willen accepteren. Zij denken dat leveranciers toegang hebben tot alle bedrijfsgegevens. En vervolgens vragen ze waarom de media geen aandacht besteed aan zaken die ze zelf simpelweg niet snappen. Ook zie ze over het hoofd dat iedere bank gebruik maakt van dit soort software.

"omniture MOET aan staan"

Leg eens uit waarom jij verwacht dat alles nog werkt wanneer je functionaliteit van de website gaat blokkeren.....
04-03-2014, 09:23 door Briolet
Door Anoniem: De Omniture tracker staat gewoon op het domein van ABN Amro zelf

De tracker wel, maar de verzamelde data wordt rechtstreeks naar 2o7.net gestuurd. Dit adres is van www.omniture.com (Adobe). Zij verzamelen die data, bewerken het en sturen dan periodiek een berichtje naar de web ontwikkelaars.

Als die tracker zijn data niet bij '2o7.net' kan afleveren komt het er effectief op neer dat je niet getracked wordt.
04-03-2014, 09:35 door Anoniem
"Dit geldt voor rabomobiel.nl (daar vindt Ghostery ook Omniture), op rabobank.nl is echter niks te vinden."

Zucht. Rabomobiel en Rabobank is toch hetzelfde bedrijf. Het enige verschil is dat op de pagina van Rabobank.nl geen informatie wordt prijsgegeven over de leveranciers waarmee wordt samengewerkt. Op de Belgische en Duitse websites is men daarover wel wat meer transparant.

http://www.rabobank.be/nl/overige-info/help/faq/internetbankieren/cookies/third-party.aspx
http://www.rabobank.de/en/privacy-policy/
04-03-2014, 09:46 door Anoniem
Kan iemand de volgende vragen beantwoorden :

1) Welke informatie wordt er doorgestuurd naar Adobe via Omniture SiteAnalystics
2) Welke schade ondervinden wij hiervan
04-03-2014, 12:19 door Anoniem
Grappig dat dit na 3 jaar geleden aangekaart te zijn op Security.NL, weer eens komt bovendrijven!

Dit is wat Adobe zelf zegt over de privacy:
Privacy Policy:
n/a

Data Collected:
Anonymous (Analytics, Browser Information, Demographic Data, Hardware/Software Type,
Interaction Data , Page Views )
Pseudonymous (IP Address (EU PII), Search History)
PII (PII Collected via 3rd Parties)
Client

Data Sharing:
Aggregate data is shared with 3rd parties.

Data Retention:
Undisclosed"

Lekker als ze dit alles delen met 3rd parties!
Omniture zit verborgen achter het login scherm van de eDentifiers!
Hoe weet ik dat mijn bankgegevens niet worden doorgegeven!

en OPT OUT is geen optie! want ABNAMRO verteld zijn klanten niet dat er trackers achter de site zitten!

TROUWENS ABNAMRO gebruikt Omniture al 3 jaar, het is niet iets van de laatste update!
04-03-2014, 17:08 door Anoniem
Je kunt ook gewoon al je betalingen via acceptgiro's doen.

Nee. Internet bankieren op je telefoon via het open wifi van de Mac Donalds is veel makkelijker.

Hebben jullie FaceBook?
05-03-2014, 20:26 door Anoniem
Ik had met Ghostery ook problemen met de nieuwe ABN Amro UI. De helpdesk kwam kundig over, maar uiteindelijk kwam ik er na wat cross-browser gevolg achter dat het gewoon echt niet werkt zonder Omniture.
Vreemd dat je je hele internetbankieren tool afhankelijk maakt van wat gewoon echt een externe, commerciele webtracking tool van Adobe is. Ik ga hier nog zeker even over mopperen bij ze, want hoewel ik snap dat ze nette gebruiksstatistieken willen hebben, kan ik er met de pet niet bij dat dit verplicht gesteld wordt.

Ik ben zelf ontwikkelaar en heb door schade en schande ondervonden dat blinde aannames altijd colateral damage met zich meebrengen. In de praktijk betekent dat het controleren of bepaalde functionaliteit in een browser beschikbaar is voordat je ervan gebruik maakt. Dan kun je tenminste een behulpzame foutmelding geven in plaats van dat de boel er zonder enige uitleg gewoon uitklapt.
05-03-2014, 23:42 door Anoniem
Door Anoniem: Je kunt ook gewoon al je betalingen via acceptgiro's doen.

Nee. Internet bankieren op je telefoon via het open wifi van de Mac Donalds is veel makkelijker.

Hebben jullie FaceBook?

Facebook is voor mensen die dom, naïef of beide zijn en alleen maar geïnteresseerd in 'gratis' zijn. Bij uitstek Nederlanders dus.

Facebook is echter nog altijd een keuze en internetbankieren is dat steeds minder; geld overmaken is noodzakelijk en wordt via klassieke wegen alleen maar bemoeilijkt en zeer duur gemaakt. Zonder vingerafdruk het land niet meer uit kunnen, zonder instemmen met een EPD de behandeling geweigerd worden. Het hoort er allemaal bij.

Daarom kan het geen kwaad om in oplossingen te denken en deze met iedereen te delen.

Is er bijvoorbeeld geen sprake van contractbreuk door de ABN omdat ze gegevens van klanten delen met derden welke dit ook weer delen... Goede vraag voor een ICT jurist.
06-03-2014, 13:28 door Anoniem
Overweeg deze abnamro verbindingen te blokkeren

- Nog niet genoemd, Omniture 2
abnamro.tt.omtrdc.net

- Rightnowtech?
zoeken.abnamro.nl
(reverse dns naam igvip-zoeken-abnamro-ssl.rightnowtech.com)

- Reeds bekende Omniture 1
abnamro.122.2o7.net
(reverse dns naam, 2o7 = twee-kleine-letter-o-zeven, *.122.2o7.net)
06-03-2014, 13:38 door Anoniem
Ik snap niet dat dit zomaar mag allemaal.

Omniture draait ook nog op het coldfusion platform wat om de haverklap gehackt wordt en net zo lek is als die acrobat reader crap.

Ik doe gewoon een kleine ddos attack elke keer als ik ga internetbankieren door de omniture url's een paar duizend keer aan te roepen. Ze willen me toch zo graag tracken, dan krijg je ook VEEL informatie van me.
06-03-2014, 13:42 door Anoniem
Door Anoniem: Je kunt ook gewoon al je betalingen via acceptgiro's doen.

Nee. Internet bankieren op je telefoon via het open wifi van de Mac Donalds is veel makkelijker.

Hebben jullie FaceBook?

Ben je wel goed bij je hoofd ofzo, natuurlijk geen facebook en alle facebook domeinen in de firewall geredirect naar localhost.

Als ik facebook zou hebben, heb ik ook geen bezwaar tegen Omniture natuurlijk.
12-05-2014, 08:39 door potshot
Door jaapd: Ik verbaas mij toch heel erg over ABN-Amro. Op de betaalsite, waar ik dus moet inloggen, kan ik Omniture niet weigeren met een plugin als Ghostery.
Dat houdt dus in dat Omniture zonder al te veel moeite mijn gegevens te pakken krijgt. Ze kunnen zelfs mijn saldo zien als ze voldoende javascript inzetten.
ABN-Amro kan hier geen enkele garantie over geven die veel verder gaat dan: We hebben met ze afgesproken dat...

En dan gaan ze van mij eisen dat ik m'n boeltje op orde heb.

Zeer bijzonder.

Jaap

ik gebruik noscript en heb de usb kabel aan de edentifier en kan met cancel de eerste pin code invoer opheffen en laadt dan nog een keer de inlogpagina.
dan is er plotseling geen abnamro.tt.omtrdc.net meer aanwezig in noscript.
12-05-2014, 08:57 door Anoniem
Waarom hebben de banken niet gewoon een eigen afgeschermde browser ontwikkeld, die maar één mogelijkheid bied, namelijk de bank.
12-05-2014, 10:12 door Anoniem
Door Anoniem: Waarom hebben de banken niet gewoon een eigen afgeschermde browser ontwikkeld, die maar één mogelijkheid bied, namelijk de bank.
Omdat ze dan volledig verantwoordelijk zijn en het zeer moeilijk wordt om bij problemen de
schuld bij iemand anders te leggen.
12-05-2014, 13:05 door Anoniem
Nou, dat is een mooie vraag voor Arnout....

Het is zeker voor banken namelijk erg eenvoudig om serverside te bepalen hoe het verkeer op hun website er uit ziet.
Als men niet wil dat er derden zichtbaar zijn in het verkeer ZIJN ze ook niet zichtbaar maar dragen ze WEL alle verantwoordelijkheid voor de data. Ik denk dat als er een wettelijke verplichting is om DUIDELIJK te vermelden dat er derde partijen betrokken zijn in het verkeer en met VERSCHILLENDE aansprakelijkheden de wet nog wel wat aangescherpt zal worden of dat DNB optreedt.

De infrastructuur van alle banken staat toe om AL hun verkeer onder de naam van de bank zelf naar buiten toe te presenteren, onder meer - maar niet uitsluitend - via header-rewrites op de loadbalancers en/of de firewalls.
En dat is al "best practice" bij vrijwel alle banken.

Als ze ECHT alleen libraries van dataverzamelaars gebruiken en die lokaal binnen hun eigen omgeving draaien zonder overig verkeer hoeven ze verder alleen wat URI's te veranderen ivm met de standaard library namen die daar niet horen.
12-05-2014, 13:09 door Anoniem
Daaraan nog toegevoegd dat cookies in welke vorm dan ook binnen het beveiligde gedeelte van de bank helemaal niet hoeven. State wordt sowieso serverside bijgehouden ivm met de fraude controle.

Dus banken: schrijf je software nou eens goed en vertel geen leugens....
12-05-2014, 13:16 door Anoniem
http://nl.wikipedia.org/wiki/Verzamelingenleer

Als de politiek een opfriscursus statistiek en verzamelingenleer zou krijgen zou de bank wel stoppen met die onzin.

Dat geldt trouwens voor vrijwel alle "anoniem" verzamelde data...

Zucht, ben ik nou zo oud?
12-05-2014, 13:42 door Anoniem
Ter illustratie:

Ik verzoek de redactie ff snel te bepalen hoe anoniem ik ben en mijn voornaam hier maar even te publiceren ;-)
Met mijn toestemming!

(tussen 13:05 en 13:16)

Is een eitje....

Sturen we het naar de kamerfracties en naar de banken via DNB en CBP.
13-05-2014, 17:02 door Anoniem
Door potshot:
Door jaapd: Ik verbaas mij toch heel erg over ABN-Amro. Op de betaalsite, waar ik dus moet inloggen, kan ik Omniture niet weigeren met een plugin als Ghostery.
Dat houdt dus in dat Omniture zonder al te veel moeite mijn gegevens te pakken krijgt. Ze kunnen zelfs mijn saldo zien als ze voldoende javascript inzetten.
ABN-Amro kan hier geen enkele garantie over geven die veel verder gaat dan: We hebben met ze afgesproken dat...

En dan gaan ze van mij eisen dat ik m'n boeltje op orde heb.

Zeer bijzonder.

Jaap

ik gebruik noscript en heb de usb kabel aan de edentifier en kan met cancel de eerste pin code invoer opheffen en laadt dan nog een keer de inlogpagina.
dan is er plotseling geen abnamro.tt.omtrdc.net meer aanwezig in noscript.

Bedoel je NoScript of Ghostery?
Heb je deze proef meerdere malen herhaald?
Het zou wat kunnen zeggen over de inzet of het niet inzetten van de edentifier bij tracking.
27-04-2015, 21:37 door Anoniem
Oh, is het u al opgevallen waar Adobe (Omniture) is gevestigd? Jawel: Een paar mijl vanaf het nieuwe molog van de NSA dat ze aan het bouwen zijn in Amerika. Je-weet-wel, op die berg in Utah. Ik wil geen alu-hoedje zijn, maar dit vind ik toch wel VERDACHT toevallig… Zie deze link:

https://docs.google.com/viewer?url=http%3A%2F%2Fdropbox.curry.com%2FShowNotesArchive%2F2013%2F06%2FNA-521-2013-06-13%2FAssets%2FAdobe%2Fgovt-insight.pdf

En trek uw conclusies zelf. Waarom wordt hier niks aan gedaan? NCSC??? Waarom slapen de instellingen die de (achterlijke) burger op zijn minst een beetje moet beschermen??
28-04-2015, 15:17 door Anoniem
Overweeg deze Abnamro verbindingen te blokkeren

- Nog niet genoemd, Omniture 2
abnamro.tt.omtrdc.net

- Rightnowtech?
zoeken.abnamro.nl
(reverse dns naam igvip-zoeken-abnamro-ssl.rightnowtech.com)

- Reeds bekende Omniture 1
abnamro.122.2o7.net
(reverse dns naam, 2o7 = twee-kleine-letter-o-zeven, *.122.2o7.net)

Ik mag nog wel eens mensen helpen met vragen.
De vraag over een niet werkend internetbankieren omdat in Ghostery Omniture (Adobe Analytics) nog niet is toegestaan blijft een terugkerende vraag, "Kan het zijn dat je Ghostery hebt geïnstalleerd?" … "Ja" …

Een keer opgezocht of dit terugkerende probleem bij de hulpvragen stond genoemd op die banksite, dat was niet het geval.

Er is echter nog meer niet genoemd.
Destijds bij een hulpverzoekje daar notitie van gemaakt, maar nu de discussie hier weer opleeft, de aantekeningen opgezocht en gemeld.

Sommige gebruikers hebben nog een andere addon geïnstalleerd tegen tracking, namelijk Request Policy.
Deze addon blokkeert (tracking) images van andere domeinen dan het domein (de website) waarop je zit.
Het blokkeren van images zou op zich geen probleem moeten zijn want je kan op een banksite vermoedelijk zelfs nog internetbankieren als je alle png en jpg afbeeldingen blokkeert, een enkel keuzemenu gebaseerd op een afbeelding daargelaten wat niet geeft omdat je jouw banksite wel kent.
Zoals iemand hier stelde, krijg je dan werkelijk een idee hoe internetten er lang geleden uit zag.
Waarom ook niet bij internetbankieren, geen afleiding en volle concentratie op het bankieren.

Destijds geconstateerd dat naast de problemen die Ghostery opleverde ook de addon Request Policy een probleem opleverde, een probleem dat hier niet aan de orde gekomen is :

Net zoals bij Ghostery zullen bepaalde verbindingen moeten worden toegestaan omdat anders die bankwebsite niet goed laadt na het doen van een transactie.
De verbinding naar dit externe webdomein moet ook worden toegestaan (!) :

beconloopback.nl

Dat klinkt niet bepaald als een domein dat je associeert met bankzaken.
Heeft het met beacon techniek te maken? Ghostery geeft geen melding en analyseert ook beacons.
Wat voor soort imagetracker zou dit betreffen?

Voor de zekerheid toen in de logs op zoek gegaan naar gemaakte verbindingen en geconstateerd dat er buiten connectie met die bank op poort 443 (en Omniture, poort 80 of 443 ?) geprobeerd wordt verbinding te zoeken via de localhost en niet rechtstreeks naar het domein van beconloopback.nl .

127.0.0.1 poort 9041
127.0.0.1 poort 9042
127.0.0.1 poort 9043

Heeft iemand een idee hoe dit in elkaar steekt of moet daar Wireshark bij aan te pas komen om te zien wat de functie is van dit nieuwe (tracking) fenomeen tijdens het internetbanklieren?

Tot die tijd zou die bank er misschien goed aan doen op zijn minst aan dit soort vragen aandacht te besteden op de eigen website.
Al was het maar het eenduidig melden van het moeten toestaan van bepaalde verbindingen opdat gebruikers van die bank daar dan een antwoord op hebben en geen beroep te hoeven doen op externe aanvullende computersupport.
28-04-2015, 16:04 door Eric-Jan H te D
Door Anoniem: Ik verbaas mij nergens meer over, vooral niet over de sufheid van de doorsnee burger,

Dit heeft voor het overgrote deel van de bevolking niets met "sufheid" te maken. Het is weliswaar geen raketwetenschap, maar het installeren van plugins, het overzien van de gevolgen daarvan en het vervolgens een overwogen beslissing nemen is niet iedereen gegeven.

De genoemde problematiek moet gewoon wettelijk geregeld worden. En de boetes/schadevergoedingen moeten torenhoog zijn. Waarbij groepsrechtszaken mogelijk moeten worden gesteld. Maar ja we hebben een regering die zelfregulering en "eigen verantwoordelijkheid" hoog in het vaandel heeft staan. Dus verwacht de aankomende 2 jaar niet te veel op dit gebied.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.