Privacy
- Wat niemand over je mag weten
GDPR scan?
30-05-2018, 11:56 door Anoniem, 5 reacties
Ik zoek software om sites te kunnen checken op GDPR kwaliteiten.
Het gaat daarom niet enkel om cookies (die kan ik in mijn browsers prima zien), maar vooral ook om broncode.
Om maar een voorbeeldje te noemen:
Veel sites gebruiken Bootstrap van Twitter. Mooi javascriptje, maar vrijwel altijd wordt de laatste versie "vers" opgehaald van de server van twitter. Zodat je de laatste versie gebruikt. Tegelijk kan twitter natuurlijk een mooi gebuikersprofiel van je opstellen (met je IP en andere kenmerken) en naar aanleiding van de diverse sites die je bezoekt, redelijk wat prive informatie inschatten. Leeftijdsgroep, geslacht, interesses, noem maar op. En natuurlijk ook een leuk beeld krijgen van sites die je dagelijks bezoekt of incidenteel.
Het is maar één voorbeeld. Ik kan zulke links wel vinden in de broncode, maar het zou handig zijn, om bijvoorbeeld een browser add-on te hebben, waar ik kan zien, dat als ik een site bezoek, bij welke andere sites ik dan automatisch ook "aan de bel trek". Via .js of .css files, bijvoorbeeld, of ook natuurlijk gewoon via iframes.
Externe links op pagina's dus.
Is daar een handig tooltje voor? (Met een in 1 klik doorverklikken naar Aleid Wolfsen natuurlijk nòg beter!!!)
Het gaat daarom niet enkel om cookies (die kan ik in mijn browsers prima zien), maar vooral ook om broncode.
Om maar een voorbeeldje te noemen:
Veel sites gebruiken Bootstrap van Twitter. Mooi javascriptje, maar vrijwel altijd wordt de laatste versie "vers" opgehaald van de server van twitter. Zodat je de laatste versie gebruikt. Tegelijk kan twitter natuurlijk een mooi gebuikersprofiel van je opstellen (met je IP en andere kenmerken) en naar aanleiding van de diverse sites die je bezoekt, redelijk wat prive informatie inschatten. Leeftijdsgroep, geslacht, interesses, noem maar op. En natuurlijk ook een leuk beeld krijgen van sites die je dagelijks bezoekt of incidenteel.
Het is maar één voorbeeld. Ik kan zulke links wel vinden in de broncode, maar het zou handig zijn, om bijvoorbeeld een browser add-on te hebben, waar ik kan zien, dat als ik een site bezoek, bij welke andere sites ik dan automatisch ook "aan de bel trek". Via .js of .css files, bijvoorbeeld, of ook natuurlijk gewoon via iframes.
Externe links op pagina's dus.
Is daar een handig tooltje voor? (Met een in 1 klik doorverklikken naar Aleid Wolfsen natuurlijk nòg beter!!!)
Reacties (5)
Tegelijk kan twitter natuurlijk een mooi gebuikersprofiel van je opstellen (met je IP en andere kenmerken) en naar aanleiding van de diverse sites die je bezoekt
Sommige sites geven in hun referer ook erg interessante informatie mee aan derden. Bijvoorbeeld als jouw postcode in de adresbalk staat en op die pagina een javascript wordt opgehaald bij zo een derde partij. Dan gaat die postcode normaliter mee, mits de website niets heeft aangepast om dit te voorkomen.
Tijdens een goede pen-test valt dit overigens zeker wel op. En jouw als gebruiker nu dus ook.
"Is daar een handig tooltje voor?"
werk je toevallig bij de AP en ben je te lui om zelf te zoeken?
"(Met een in 1 klik doorverklikken naar Aleid Wolfsen natuurlijk nòg beter!!!)"
al klinkt mij dit meer in de oren als NSB praktijken
werk je toevallig bij de AP en ben je te lui om zelf te zoeken?
"(Met een in 1 klik doorverklikken naar Aleid Wolfsen natuurlijk nòg beter!!!)"
al klinkt mij dit meer in de oren als NSB praktijken
Het ophalen van bestanden van andere servers dan degene waar je eerst verbinding mee maakte is niet het verwerken
van persoonsgegevens. Dat kan het pas worden als die gegevens ergens worden vastgelegd, opgeslagen en gerelateerd
(zoals je vermoedt) maar dat kun je niet afleiden uit de broncode. Daar kun je hooguit een vermoeden uit halen.
(bijvoorbeeld als bij het ophalen van een javascriptje of css file meteen maar even een unieke code aan de URL wordt
toegevoegd, of als de site waar je die vanaf haalt met cookies werkt)
Maar zelfs dan nog weet je niet of deze gegevens ook echt worden verwerkt.
Dat zul je echt moeten navragen.
van persoonsgegevens. Dat kan het pas worden als die gegevens ergens worden vastgelegd, opgeslagen en gerelateerd
(zoals je vermoedt) maar dat kun je niet afleiden uit de broncode. Daar kun je hooguit een vermoeden uit halen.
(bijvoorbeeld als bij het ophalen van een javascriptje of css file meteen maar even een unieke code aan de URL wordt
toegevoegd, of als de site waar je die vanaf haalt met cookies werkt)
Maar zelfs dan nog weet je niet of deze gegevens ook echt worden verwerkt.
Dat zul je echt moeten navragen.
Vreemd, dat wat je dan krijgt, een soort van veredelde cookie scanner is. Security blijft toch vaak een "last resort issue".
Een beta scanner als https://privacyscore.org/ geeft ook een aardig beeld, van wat er in die zin mis kan zijn op een site, maar natuurlijk niet met juist dat, waar GDPR op let (niet de onderhuidse monitoring en targeted surveillance).
Belangrijk voor de EU standaard is of de papierwinkel wel in orde is (formulieren netjes ingevuld, dan kun je je nog wel iets veroorloven als commerciële dataverwerker/website). EU is per definitie toch een groot en log bureaucratisch monster, dat zich voedt met de ideeën vnml. voortkomend uit de denkwereld van de huidige globale intelligentsia.
Scan hier https://siteimprove.com/product/gdpr Opsomming: ]https://www.wakefly.com/blog/website-gdpr-compliant/
Jodocus Oyevaer
Een beta scanner als https://privacyscore.org/ geeft ook een aardig beeld, van wat er in die zin mis kan zijn op een site, maar natuurlijk niet met juist dat, waar GDPR op let (niet de onderhuidse monitoring en targeted surveillance).
Belangrijk voor de EU standaard is of de papierwinkel wel in orde is (formulieren netjes ingevuld, dan kun je je nog wel iets veroorloven als commerciële dataverwerker/website). EU is per definitie toch een groot en log bureaucratisch monster, dat zich voedt met de ideeën vnml. voortkomend uit de denkwereld van de huidige globale intelligentsia.
Scan hier https://siteimprove.com/product/gdpr Opsomming: ]https://www.wakefly.com/blog/website-gdpr-compliant/
Jodocus Oyevaer
Dank Jodocus!
Ik heb op mijn eigen site wat dingen ontdekt waarvan ik denk, wat doet dat nou in mijn keuken.....
On it!
Ik wil gewoon met de gebruikers van mijn websites omgaan zoals ik zelf ook graag behandeld word. Niet dat men dat gelijk massaal gaat waarderen, en vlaggen uit, maar op de lange duur wel. Geld verdienen op internet is lang niet altijd gemakkelijk. Vertrouwen verdienen is nog moeilijker. Maar eenmaal verdiend, duurt dat langer. Ik ga liever voor het moeilijkste. Hou je vrienden aan over. En dan heb je af en toe niet eens geld nodig. Het is waar Tim Berners-Lee nog op hintte (bedenker van het world wide web) in een recent interview.
Ik heb op mijn eigen site wat dingen ontdekt waarvan ik denk, wat doet dat nou in mijn keuken.....
On it!
Ik wil gewoon met de gebruikers van mijn websites omgaan zoals ik zelf ook graag behandeld word. Niet dat men dat gelijk massaal gaat waarderen, en vlaggen uit, maar op de lange duur wel. Geld verdienen op internet is lang niet altijd gemakkelijk. Vertrouwen verdienen is nog moeilijker. Maar eenmaal verdiend, duurt dat langer. Ik ga liever voor het moeilijkste. Hou je vrienden aan over. En dan heb je af en toe niet eens geld nodig. Het is waar Tim Berners-Lee nog op hintte (bedenker van het world wide web) in een recent interview.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
