Computerbeveiliging - Hoe je bad guys buiten de deur houdt

cross site scripting agv Noscript

12-06-2018, 13:07 door gemini-alpha, 7 reacties
Huidige Noscript binnen FFox geeft bij mij effe te vaak cross site scripting waarschuwing.
o.a. bij centraal beheer Achmea
Kan iemand dat toelichten cq wat moet ik daarmee?
Reacties (7)
12-06-2018, 16:51 door Anoniem
Door gemini-alpha: Huidige Noscript binnen FFox geeft bij mij effe te vaak cross site scripting waarschuwing.
o.a. bij centraal beheer Achmea
Kan iemand dat toelichten cq wat moet ik daarmee?

- Probleem analyseren
Is het met de nieuwe FF en de nieuwe Webextensie, doet ze het ook met een ESR en oscript oude stijl?

- Website zoveel mogelijk negeren

- Andere verzekeraar uitzoeken
https://www.security.nl/posting/559554/Test+Verzekeraar+Websites+op+Security+%26+Privacy+%28%232%29
12-06-2018, 19:26 door Anoniem
Blokkeren
https://nl.wikipedia.org/wiki/Cross-site_scripting
13-06-2018, 06:24 door Bitwiper
Welke andere site veroorzaakt die XSS volgens NoScript?

Voor meer "context" info kun je het volgende doen. Voordat je de site opent: start Firefox. Gooi zoveel mogelijk weg van je history (in elk geval browser cache). Druk F12 en kies netwerk. Desgewenst kun je het F12 deel loskoppelen (er een separaat venster van maken).

Ga nu naar de Achmea site en probeer de XSS waarschuwing door NoScript te krijgen. Dan kun je, in het F12 venster, zien welke transacties er met welke sites waren en welke content precies geladen werd.

Die XSS waarschuwing krijg je als Javascript vanuit 1 site de output/input van/voor een andere site probeert te beïnvloeden, waarschijnlijk doordat de Achmea webdevelopers smerige trucs toepassen - waarvan NoScript niet "weet" of het om kwade opzet gaat. In het geval van Achmea gaat het vermoedelijk om een false positive als gevolg van gepruts van de ontwikkelaars, maar wordt daarbij hoogstwaarschijnlijk wel privacygevoelige informatie van jou gelekt naar minstens 1 derde partij.

XSS attacks hebben we "te danken aan" iemand die ooit bedacht heeft dat het een goed idee is om een webpagina op te bouwen uit content afkomstig van verschillende websites (aanvankelijk plaatjes en tekst). Maar al snel gebeurde dat ook met actieve content zoals Javascript. Vanuit security- en privacy-oogpunt oogpunt is het bezopen als je een site zoals van Achmea opbouwt met content deels van andere sites - meestal van eigenaren waar geen fatsoenlijke overeenkomst mee is afgesloten - en die een heel andere bron van inkomsten hebben dan de initiërende partij (Achmea in dit geval). Waarmee dit soort praktijken hoogstwaarschijnlijk in strijd zijn met de AVG - temeer daar bezoekers van de https Achmea site vermoedelijk onvoldoende (nl. verstopt) of geheel niet worden geïnformeerd over welke andere sites de webdevelopers allemaal laten meekijken als jij naar https://achmea.nl/ surft - ook als betalende klant van Achmea.nl.

Sites als JQuery en Google stellen hun "handige" functionaliteit heus niet "gratis" beschikbaar omdat ze zo aardig zijn: zij willen, linksom of rechtsom, ook geld verdienen. Niet sites als Achmea betalen dit, maar bezoekers van de Achmea site - met hun gegevens, ten koste van hun privacy dus.

Fix 1: blokkeer die externe sites in NoScript. Helaas is de kans dan groot dat de site niet goed meer werkt;
Fix 2: vertel Achmea dat jij er niet van gediend bent dat derde partijen meekijken als jij de Achmea website bezoekt, en dat zij hiermee mogelijk de AVG overtreden. En droom dat dit morgen gerepareerd is;
Fix 3: bouw een soort proxy die de benodigde info van de third party sites ophaalt zonder daarbij onnodig privacygevoelige info te lekken;
Fix 4: stop met het gebruik van NoScript zodat je, net als de rest van de wereld, met oogkleppen surft zonder hinderlijke waarschuwingen dat derde partijen actief meekijken;
Fix 5: (zoals hierboven door anderen ook al aangegeven): zoek een andere verzekeraar. Mocht je verzekeraars vinden die dit niet doen, wil je de lezers van security.nl dan laten weten welke dat is/zijn? Thanks!
16-06-2018, 08:20 door gemini-alpha - Bijgewerkt: 16-06-2018, 08:33
Door Bitwiper: Welke andere site veroorzaakt die XSS volgens NoScript?

Voor meer "context" info kun je het volgende doen. Voordat je de site opent: start Firefox. Gooi zoveel mogelijk weg van je history (in elk geval browser cache). Druk F12 en kies netwerk. Desgewenst kun je het F12 deel loskoppelen (er een separaat venster van maken).

Ga nu naar de Achmea site en probeer de XSS waarschuwing door NoScript te krijgen. Dan kun je, in het F12 venster, zien welke transacties er met welke sites waren en welke content precies geladen werd.

Die XSS waarschuwing krijg je als Javascript vanuit 1 site de output/input van/voor een andere site probeert te beïnvloeden, waarschijnlijk doordat de Achmea webdevelopers smerige trucs toepassen - waarvan NoScript niet "weet" of het om kwade opzet gaat. In het geval van Achmea gaat het vermoedelijk om een false positive als gevolg van gepruts van de ontwikkelaars, maar wordt daarbij hoogstwaarschijnlijk wel privacygevoelige informatie van jou gelekt naar minstens 1 derde partij.

XSS attacks hebben we "te danken aan" iemand die ooit bedacht heeft dat het een goed idee is om een webpagina op te bouwen uit content afkomstig van verschillende websites (aanvankelijk plaatjes en tekst). Maar al snel gebeurde dat ook met actieve content zoals Javascript. Vanuit security- en privacy-oogpunt oogpunt is het bezopen als je een site zoals van Achmea opbouwt met content deels van andere sites - meestal van eigenaren waar geen fatsoenlijke overeenkomst mee is afgesloten - en die een heel andere bron van inkomsten hebben dan de initiërende partij (Achmea in dit geval). Waarmee dit soort praktijken hoogstwaarschijnlijk in strijd zijn met de AVG - temeer daar bezoekers van de https Achmea site vermoedelijk onvoldoende (nl. verstopt) of geheel niet worden geïnformeerd over welke andere sites de webdevelopers allemaal laten meekijken als jij naar https://achmea.nl/ surft - ook als betalende klant van Achmea.nl.

Sites als JQuery en Google stellen hun "handige" functionaliteit heus niet "gratis" beschikbaar omdat ze zo aardig zijn: zij willen, linksom of rechtsom, ook geld verdienen. Niet sites als Achmea betalen dit, maar bezoekers van de Achmea site - met hun gegevens, ten koste van hun privacy dus.

Fix 1: blokkeer die externe sites in NoScript. Helaas is de kans dan groot dat de site niet goed meer werkt;
Fix 2: vertel Achmea dat jij er niet van gediend bent dat derde partijen meekijken als jij de Achmea website bezoekt, en dat zij hiermee mogelijk de AVG overtreden. En droom dat dit morgen gerepareerd is;
Fix 3: bouw een soort proxy die de benodigde info van de third party sites ophaalt zonder daarbij onnodig privacygevoelige info te lekken;
Fix 4: stop met het gebruik van NoScript zodat je, net als de rest van de wereld, met oogkleppen surft zonder hinderlijke waarschuwingen dat derde partijen actief meekijken;
Fix 5: (zoals hierboven door anderen ook al aangegeven): zoek een andere verzekeraar. Mocht je verzekeraars vinden die dit niet doen, wil je de lezers van security.nl dan laten weten welke dat is/zijn? Thanks!

@Bitwiper
dank voor de uitgebreide reactie, dat waardeer ik zeer en het breidt mijn kennis weer wat uit.
Het lijkt mij iig duidelijk dat CB/Achmea de AVG zaken niet op orde heeft. Heeft hierover ook niet met mij gecommuniceerd en mij op de hoogte gebracht dat zij aan de EU eis voldoen!
Op dit moment is voor mij blokkeren, dmv Noscript, geen optie. Dan blijk ik niet meer met hen te kunnen communiceren.
Dus heb ik mijn kop maar ff inhet zand gestoken en met hen via Chrome gecommuniceerd.
Ben van plan hen met DIT draadje op security.nl te confronteren! Vind je dat vwb jouw embedded bijdrage ok?
Noscript is voor mij een doelbewuste keuze, die laat ik actief in FFmeedraaien!
Ik hoor graag je reactie!
ff toegevoegd: Ik heb slechts een klein beetje IT kennis en kan met Noscript en de mogelijkheden (nog) niet zo goed overweg. Dus je eerdere vraag: "Welke andere site veroorzaakt die XSS volgens NoScript?" daar kan ik (nog) niet zo veel mee, maar zou dat wel willen ;)
16-06-2018, 09:52 door Anoniem
Op de site wordt je twee maal door Achmea en een keer door Google getrackt.
De site wordt gehost in Hemel Hempstead door Atos Nederland B.V.
In de header vinden we x-content-type-options: nosniff
cache-control: no-cache
x-xss-protection: 1; mode=block
strict-transport-security: max-age=31536000
pragma: no-cache
Certificaat uitgever voor Achmea Interne Diensten C=BM, O=QuoVadis Limited, CN=QuoVadis Global SSL ICA G2
ergo: http://trust.quovadisglobal.com/qvsslg2.crt
Zie: http://www.domxssscanner.com/scan?url=https%3A%2F%2Fwww.achmea.nl%2FPaginas%2Fdefault.aspx
en Results from scanning URL: https://www.achmea.nl/Style%20Library/achmea/js/lib/mediaelement-and-player.min.js
Number of sources found: 31
Number of sinks found: 43

luntrus
16-06-2018, 12:22 door Anoniem
De cross site scripting kan je hier naar toe voeren: -hxtps://topbestbrand.com/%E0%B8%AD%E0%B8%B1%E0%B8%99%E0%B8%94%E0%B8%B1%E0%B8%9A%E0%B8%A8%E0%B8%B9%E0%B8%99%E0%B8%A2%E0%B9%8C%E0%B8%A3%E0%B8%B1%E0%B8%81%E0%B8%A9%E0%B8%B2%E0%B8%AA%E0%B8%B4%E0%B8%A7/

Een scamsite beschermd door het Panamese WhoisGuard voor een scammer uit Thailand -namecheap nieuwe registrant.

Begrijpelijk waarom NoScripts ons daarvoor tracht te behoeden.

luntrus
16-06-2018, 13:48 door gemini-alpha
DANK!
Dit had ik never-nooit zelf uit kunnnen vinden; mijn IT kennis is beperkt. Beschouw mij maar als een meer dan geïnteresseerde eindgebruiker.
Mooi dat iemand effe te hulp schiet!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.