Privacy
- Wat niemand over je mag weten
NRC 2.0 : van HTTPS naar HTTP ?
28-08-2016, 17:09 door Anoniem, 7 reacties
"NRC spreekt zich uit tegen end-to-end-encryptie" ('deel #2') *
NRC lijkt ook praktisch gevolg te geven aan haar visie tegen gebruik van encryptie.
Was de website gisteren (zaterdag) nog onder https.
Vandaag is zij te vinden onder een http verbinding.
Kijk en vergelijk, zonder handkes en zonder redirects via https Everywhere
Gebroederlijk onzichtbaar 'naast' elkaar
http://www.nrc.nl/nieuws/2016/08/25/ook-encryptie-heeft-grenzen-4002012-a1517915
&
https://www.nrc.nl/nieuws/2016/08/25/ook-encryptie-heeft-grenzen-4002012-a1517915
Https alleen (nu) nog actief als je dat ook zelf intoetst.
Intoetsen van nrc.nl leidt naar de http versie.
Opdat surveillerend iedereen die daar behoefte aan heeft onderweg van de lijn kan snoepen om op ip niveau te kijken welke artikelen er door wie gelezen worden?
Je zal maar de NRC willen lezen in een land waar het wat minder vrij is.
Hou daar dus maar mee op.
Andere opmerkelijkheid, wellicht een tegengesteld foutje.
Tot voor kort werd Torbrowser verkeer niet helemaal maar half geblokkeerd, static content (plaatjes) zaten achter een vol geblokkeerde Cloudflare muur.
Waar dat nou goed voor was een raadsel.
Een nieuw raadsel is waarom dit is opgeheven en bezoekend Torbrowser verkeer helemaal wordt toegestaan.
Zou het NRC met haar nieuwe visie op gewenste publieke surveillance niet beter dat 'anarchistische Torbrowser tuig' moeten blokkeren?
In ieder geval, hoe het ook zij.
Waar de wereld zich begeeft naar meer gebruik van HTTPS stapt NRC er een beetje vanaf.
Wie is er hier nou werkelijk anarchistisch en tegendraads?
Wat mij betreft de NRC.
Nuttig?
Nee, waarschijnlijk niet.
Raadselachtig wat NRC hier nou mee wil bereiken.
Denkt het werkelijk dat terroristen dagelijks de digitale max van 5 pagina's aan content erop naslaan?
Ik denk wat dat betreft dat de hoofdredactie iets teveel op een zogenaamde 'intellectual pink cloud' aan het rond zweven is, 'Der Feind' wellicht wat te hoog ingeschat.
We weten in ieder geval dat de andere Feind (van die privacy anarchisten dan) in de gelegenheid is gesteld immer mit zu hören.
Ondertussen tegen plaatjes bij de redactionele klets geen bezwaar.
(al laadt de browser nu wel iets trager).
Prost!
O, p.s..
NRC staat barstensvol met trackers, ook met de meest nare lijkt het, HTML5 tracking.
Niet om terroristen mee te vangen maar voor de reclame inkomsten natuurlijk.
Al kunnen de unieke bezoekers devicedata voortaan natuurlijk wel best meteen vrijwillig met de autoriteiten worden gedeeld.
Dat je het weet, als anarchist, terrorist, of gewoon nieuwsgierige burger.
En als je van Duits (of engels) houdt, derspiegel.de is eigenlijk veel beter dan het NRC.
* https://www.security.nl/posting/483042/NRC+spreekt+zich+uit+tegen+end-to-end-encryptie
NRC lijkt ook praktisch gevolg te geven aan haar visie tegen gebruik van encryptie.
Was de website gisteren (zaterdag) nog onder https.
Vandaag is zij te vinden onder een http verbinding.
Kijk en vergelijk, zonder handkes en zonder redirects via https Everywhere
Gebroederlijk onzichtbaar 'naast' elkaar
http://www.nrc.nl/nieuws/2016/08/25/ook-encryptie-heeft-grenzen-4002012-a1517915
&
https://www.nrc.nl/nieuws/2016/08/25/ook-encryptie-heeft-grenzen-4002012-a1517915
Https alleen (nu) nog actief als je dat ook zelf intoetst.
Intoetsen van nrc.nl leidt naar de http versie.
Opdat surveillerend iedereen die daar behoefte aan heeft onderweg van de lijn kan snoepen om op ip niveau te kijken welke artikelen er door wie gelezen worden?
Je zal maar de NRC willen lezen in een land waar het wat minder vrij is.
Hou daar dus maar mee op.
Andere opmerkelijkheid, wellicht een tegengesteld foutje.
Tot voor kort werd Torbrowser verkeer niet helemaal maar half geblokkeerd, static content (plaatjes) zaten achter een vol geblokkeerde Cloudflare muur.
Waar dat nou goed voor was een raadsel.
Een nieuw raadsel is waarom dit is opgeheven en bezoekend Torbrowser verkeer helemaal wordt toegestaan.
Zou het NRC met haar nieuwe visie op gewenste publieke surveillance niet beter dat 'anarchistische Torbrowser tuig' moeten blokkeren?
In ieder geval, hoe het ook zij.
Waar de wereld zich begeeft naar meer gebruik van HTTPS stapt NRC er een beetje vanaf.
Wie is er hier nou werkelijk anarchistisch en tegendraads?
Wat mij betreft de NRC.
Nuttig?
Nee, waarschijnlijk niet.
Raadselachtig wat NRC hier nou mee wil bereiken.
Denkt het werkelijk dat terroristen dagelijks de digitale max van 5 pagina's aan content erop naslaan?
Ik denk wat dat betreft dat de hoofdredactie iets teveel op een zogenaamde 'intellectual pink cloud' aan het rond zweven is, 'Der Feind' wellicht wat te hoog ingeschat.
We weten in ieder geval dat de andere Feind (van die privacy anarchisten dan) in de gelegenheid is gesteld immer mit zu hören.
Ondertussen tegen plaatjes bij de redactionele klets geen bezwaar.
(al laadt de browser nu wel iets trager).
Prost!
O, p.s..
NRC staat barstensvol met trackers, ook met de meest nare lijkt het, HTML5 tracking.
Niet om terroristen mee te vangen maar voor de reclame inkomsten natuurlijk.
Al kunnen de unieke bezoekers devicedata voortaan natuurlijk wel best meteen vrijwillig met de autoriteiten worden gedeeld.
Dat je het weet, als anarchist, terrorist, of gewoon nieuwsgierige burger.
En als je van Duits (of engels) houdt, derspiegel.de is eigenlijk veel beter dan het NRC.
* https://www.security.nl/posting/483042/NRC+spreekt+zich+uit+tegen+end-to-end-encryptie
Reacties (7)
28-08-2016, 18:56 door
[Account Verwijderd]
[Verwijderd]
Door MAC-user: Je kunt je net zo goed afvragen waarom een dagblad zichzelf zo in de prak lijkt te trappen. Iedereen weet toch in de journalistiek dat je bronnen moet beschermen vooral in landen waar de mensenrechten in de vuilnisbak zijn verdwenen? Hoe moet je als krant met een mensenrechtenactivist in contact treden zonder TOR en zonder versleuteling?
Ik denk dat de krant heeft geconstateerd en overwogen dat TOR meer misbruikt wordt voor criminaliteit dan dat het
"goed" gebruikt wordt door mensenrechtenactivisten.
Als het TOR netwerk zichzelf niet kan of wil schoonhouden, dan doek het gerust op voor een beter netwerk.
Houdt derhalve uw adblocker vizier gesloten: uBlock? heeft het laden van de volgende pagina voorkomen:
-http://track.adform.net/
Vanwege het volgende filter
||track.adform.net^
Gevonden in: Peter Lowe’s Ad server list
en
https://acdn.adnxs.com/
Vanwege het volgende filter
||adnxs.com^
Gevonden in: Peter Lowe’s Ad server list
Code die kan worden afgevoerd: -http://www.nrc.nl/
Detected libraries:
jquery - 2.2.4 : (active1) -http://www.nrc.nl/static/front/js/build/vendor.ef44183ad2fa0e8d6913.js
Info: Severity: medium
https://github.com/jquery/jquery/issues/2432
http://blog.jquery.com/2016/01/08/jquery-2-2-and-1-12-released/
(active) - the library was also found to be active by running code
1 vulnerable library detected
Zie verder: http://www.domxssscanner.com/scan?url=http%3A%2F%2Fwww.nrc.nl%2Fstatic%2Ffront%2Fjs%2Fbuild%2Fvendor.ef44183ad2fa0e8d6913.js
Meer onveiligheid hier: https://observatory.mozilla.org/analyze.html?host=www.nrc.nl
en: http://toolbar.netcraft.com/site_report?url=http://www.nrc.nl
En via CloudFlut komt de meta-data direct op diverse bureaus in de oh zo Privacy-vriendelijke U.S.A.
Dit gevonden na een paar kleine skimmende scans.
Waar heen we heen,mensen, als eindgebruiker?
-http://track.adform.net/
Vanwege het volgende filter
||track.adform.net^
Gevonden in: Peter Lowe’s Ad server list
en
https://acdn.adnxs.com/
Vanwege het volgende filter
||adnxs.com^
Gevonden in: Peter Lowe’s Ad server list
Code die kan worden afgevoerd: -http://www.nrc.nl/
Detected libraries:
jquery - 2.2.4 : (active1) -http://www.nrc.nl/static/front/js/build/vendor.ef44183ad2fa0e8d6913.js
Info: Severity: medium
https://github.com/jquery/jquery/issues/2432
http://blog.jquery.com/2016/01/08/jquery-2-2-and-1-12-released/
(active) - the library was also found to be active by running code
1 vulnerable library detected
Zie verder: http://www.domxssscanner.com/scan?url=http%3A%2F%2Fwww.nrc.nl%2Fstatic%2Ffront%2Fjs%2Fbuild%2Fvendor.ef44183ad2fa0e8d6913.js
Meer onveiligheid hier: https://observatory.mozilla.org/analyze.html?host=www.nrc.nl
en: http://toolbar.netcraft.com/site_report?url=http://www.nrc.nl
En via CloudFlut komt de meta-data direct op diverse bureaus in de oh zo Privacy-vriendelijke U.S.A.
Dit gevonden na een paar kleine skimmende scans.
Waar heen we heen,mensen, als eindgebruiker?
Even kijken op de http website van NRC via de Tracker SSL extensie in de browser.
Er is nu sprake op deze website van onveilige id tracking en wel voor de volle 100%.
Goede actie [Niet dus]
Er is nu sprake op deze website van onveilige id tracking en wel voor de volle 100%.
Unique IDs about your web browsing habits have been insecurely sent to third parties.
100% of the trackers on this site could be protecting you from NSA snooping. Tell nrc.nl to fix it.
d00d5187475e33cXXXXXXXXXX3a72bb271472043698 www.nrc.nl __cfduid
Tracking IDs could be sent safely if this site was secure.
Tracking IDs do not support secure transmission.
Onveilige cookie security headers:
1. nmt_pageviews .www.nrc.nl
2. __cfduid .nrc.nl
3. nrc30-lb-cookie -%3Fnrc-adom%3F nrc-frontend30- group-int .nrc.nl
100% of the trackers on this site could be protecting you from NSA snooping. Tell nrc.nl to fix it.
d00d5187475e33cXXXXXXXXXX3a72bb271472043698 www.nrc.nl __cfduid
Tracking IDs could be sent safely if this site was secure.
Tracking IDs do not support secure transmission.
Onveilige cookie security headers:
1. nmt_pageviews .www.nrc.nl
2. __cfduid .nrc.nl
3. nrc30-lb-cookie -%3Fnrc-adom%3F nrc-frontend30- group-int .nrc.nl
Goede actie [Niet dus]
Aanvulling bij constatering
Het opheffen van de static content blokkade via cloudflare was van korte duur.
Inmiddels wordt static content op nrc voor Torbrowser bezoekers weer geblokkeerd.
Wellicht had cloudflare sommige exitnodes nog niet op de blocklist staan.
De vraag waar dat blokkeren van plaatjescontent vanuit security perspectief nou goed voor kan zijn blijft raadselachtig.
Net zoals de werkelijke motivatie van nrc om een loopgravenoorlogje tegen encryptie, privacy en de voorstanders daarvan te beginnen.
De loginpagina ook maar weer overzetten op http dan nrc?
Wel zo consequent.
Door Anoniem:
Andere opmerkelijkheid, wellicht een tegengesteld foutje.
Tot voor kort werd Torbrowser verkeer niet helemaal maar half geblokkeerd, static content (plaatjes) zaten achter een vol geblokkeerde Cloudflare muur.
Waar dat nou goed voor was een raadsel.
Een nieuw raadsel is waarom dit is opgeheven en bezoekend Torbrowser verkeer helemaal wordt toegestaan.
Zou het NRC met haar nieuwe visie op gewenste publieke surveillance niet beter dat 'anarchistische Torbrowser tuig' moeten blokkeren?
Andere opmerkelijkheid, wellicht een tegengesteld foutje.
Tot voor kort werd Torbrowser verkeer niet helemaal maar half geblokkeerd, static content (plaatjes) zaten achter een vol geblokkeerde Cloudflare muur.
Waar dat nou goed voor was een raadsel.
Een nieuw raadsel is waarom dit is opgeheven en bezoekend Torbrowser verkeer helemaal wordt toegestaan.
Zou het NRC met haar nieuwe visie op gewenste publieke surveillance niet beter dat 'anarchistische Torbrowser tuig' moeten blokkeren?
Het opheffen van de static content blokkade via cloudflare was van korte duur.
Inmiddels wordt static content op nrc voor Torbrowser bezoekers weer geblokkeerd.
Wellicht had cloudflare sommige exitnodes nog niet op de blocklist staan.
De vraag waar dat blokkeren van plaatjescontent vanuit security perspectief nou goed voor kan zijn blijft raadselachtig.
Net zoals de werkelijke motivatie van nrc om een loopgravenoorlogje tegen encryptie, privacy en de voorstanders daarvan te beginnen.
De loginpagina ook maar weer overzetten op http dan nrc?
Wel zo consequent.
Door Anoniem:
Het opheffen van de static content blokkade via cloudflare was van korte duur.
Inmiddels wordt static content op nrc voor Torbrowser bezoekers weer geblokkeerd.
Wellicht had cloudflare sommige exitnodes nog niet op de blocklist staan.
De vraag waar dat blokkeren van plaatjescontent vanuit security perspectief nou goed voor kan zijn blijft raadselachtig.
Het opheffen van de static content blokkade via cloudflare was van korte duur.
Inmiddels wordt static content op nrc voor Torbrowser bezoekers weer geblokkeerd.
Wellicht had cloudflare sommige exitnodes nog niet op de blocklist staan.
De vraag waar dat blokkeren van plaatjescontent vanuit security perspectief nou goed voor kan zijn blijft raadselachtig.
Je moet niet overal zoveel achter zoeken, dat is slecht voor je gemoedsrust.
Cloudflare kiest er voor om TOR gebruikers te blokkeren. Hun keus, hun spullen, hun recht.
NRC kiest er voor om Cloudflare te gebruiken als hun CDN. Lekker goedkoop, hun keus, hun recht.
NRC doet dit echt niet omdat TOR gebruikers dan geblokkeerd worden. Dat weten ze waarschijnlijk niet eens.
Wat voor commentaar weer. De commerciële internetsites mogen alles, de eindgebruiker heeft zowat niets meer in de melk te brokken, alleen voor product spelen. Dat ze met hum beveiligingsinstellingen bezoekers in gevaar kunnen brengen kan niemand kennelijk iets schelen.
Er schijnt geen instantie naar om te kijken. Een "hall of shame" helpt ook niet meer. Enkel hard janken als het belastingparadijs Nederland wat strikter wordt en dreigen dat ze Nederland verlaten, Silicon Valley verdient immers beter en meer en ze zorgen toch voor heel wat baantjes.
Wat mij bevreemdt, is dat niemand meer vraagt waar de tegenkrachten zijn.
Het enige moment dat Bill Gates wat krokodillentranen huilde, was toen de president van de U.S.A. hem van de dagelijkse FBI verhoren verloste. De verhoudingen zijn helemaal zoek. Big Corp rules the Earth, we are the Borg.
Dat dat zo is, is kwalijk genoeg. Maar ga het alstublieft niet goed zitten praten. Onbenul is niet erg, het maakt het graaien van sommigen gemakkelijker en profijtelijker. Kritieke geluiden alleen maar lastig, het zou de mens eens aan het denken zetten. Wakker worden alstublieft!
Er schijnt geen instantie naar om te kijken. Een "hall of shame" helpt ook niet meer. Enkel hard janken als het belastingparadijs Nederland wat strikter wordt en dreigen dat ze Nederland verlaten, Silicon Valley verdient immers beter en meer en ze zorgen toch voor heel wat baantjes.
Wat mij bevreemdt, is dat niemand meer vraagt waar de tegenkrachten zijn.
Het enige moment dat Bill Gates wat krokodillentranen huilde, was toen de president van de U.S.A. hem van de dagelijkse FBI verhoren verloste. De verhoudingen zijn helemaal zoek. Big Corp rules the Earth, we are the Borg.
Dat dat zo is, is kwalijk genoeg. Maar ga het alstublieft niet goed zitten praten. Onbenul is niet erg, het maakt het graaien van sommigen gemakkelijker en profijtelijker. Kritieke geluiden alleen maar lastig, het zou de mens eens aan het denken zetten. Wakker worden alstublieft!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
