Door Bitwiper: Welke andere site veroorzaakt die XSS volgens NoScript?
Voor meer "context" info kun je het volgende doen. Voordat je de site opent: start Firefox. Gooi zoveel mogelijk weg van je history (in elk geval browser cache). Druk F12 en kies netwerk. Desgewenst kun je het F12 deel loskoppelen (er een separaat venster van maken).
Ga nu naar de Achmea site en probeer de XSS waarschuwing door NoScript te krijgen. Dan kun je, in het F12 venster, zien welke transacties er met welke sites waren en welke content precies geladen werd.
Die XSS waarschuwing krijg je als Javascript vanuit 1 site de output/input van/voor een andere site probeert te beïnvloeden, waarschijnlijk doordat de Achmea webdevelopers smerige trucs toepassen - waarvan NoScript niet "weet" of het om kwade opzet gaat. In het geval van Achmea gaat het vermoedelijk om een false positive als gevolg van gepruts van de ontwikkelaars, maar wordt daarbij hoogstwaarschijnlijk wel privacygevoelige informatie van jou gelekt naar minstens 1 derde partij.
XSS attacks hebben we "te danken aan" iemand die ooit bedacht heeft dat het een goed idee is om een webpagina op te bouwen uit content afkomstig van verschillende websites (aanvankelijk plaatjes en tekst). Maar al snel gebeurde dat ook met actieve content zoals Javascript. Vanuit security- en privacy-oogpunt oogpunt is het bezopen als je een site zoals van Achmea opbouwt met content deels van andere sites - meestal van eigenaren waar geen fatsoenlijke overeenkomst mee is afgesloten - en die een heel andere bron van inkomsten hebben dan de initiërende partij (Achmea in dit geval). Waarmee dit soort praktijken hoogstwaarschijnlijk in strijd zijn met de AVG - temeer daar bezoekers van de https Achmea site vermoedelijk onvoldoende (nl. verstopt) of geheel niet worden geïnformeerd over welke andere sites de webdevelopers allemaal laten meekijken als jij naar https://achmea.nl/ surft - ook als betalende klant van Achmea.nl.
Sites als JQuery en Google stellen hun "handige" functionaliteit heus niet "gratis" beschikbaar omdat ze zo aardig zijn: zij willen, linksom of rechtsom, ook geld verdienen. Niet sites als Achmea betalen dit, maar bezoekers van de Achmea site - met hun gegevens, ten koste van hun privacy dus.
Fix 1: blokkeer die externe sites in NoScript. Helaas is de kans dan groot dat de site niet goed meer werkt;
Fix 2: vertel Achmea dat jij er niet van gediend bent dat derde partijen meekijken als jij de Achmea website bezoekt, en dat zij hiermee mogelijk de AVG overtreden. En droom dat dit morgen gerepareerd is;
Fix 3: bouw een soort proxy die de benodigde info van de third party sites ophaalt zonder daarbij onnodig privacygevoelige info te lekken;
Fix 4: stop met het gebruik van NoScript zodat je, net als de rest van de wereld, met oogkleppen surft zonder hinderlijke waarschuwingen dat derde partijen actief meekijken;
Fix 5: (zoals hierboven door anderen ook al aangegeven): zoek een andere verzekeraar. Mocht je verzekeraars vinden die dit niet doen, wil je de lezers van security.nl dan laten weten welke dat is/zijn? Thanks!
@Bitwiper
dank voor de uitgebreide reactie, dat waardeer ik zeer en het breidt mijn kennis weer wat uit.
Het lijkt mij iig duidelijk dat CB/Achmea de AVG zaken niet op orde heeft. Heeft hierover ook niet met mij gecommuniceerd en mij op de hoogte gebracht dat zij aan de EU eis voldoen!
Op dit moment is voor mij blokkeren, dmv Noscript, geen optie. Dan blijk ik niet meer met hen te kunnen communiceren.
Dus heb ik mijn kop maar ff inhet zand gestoken en met hen via Chrome gecommuniceerd.
Ben van plan hen met DIT draadje op security.nl te confronteren! Vind je dat vwb jouw embedded bijdrage ok?
Noscript is voor mij een doelbewuste keuze, die laat ik actief in FFmeedraaien!
Ik hoor graag je reactie!
ff toegevoegd: Ik heb slechts een klein beetje IT kennis en kan met Noscript en de mogelijkheden (nog) niet zo goed overweg. Dus je eerdere vraag: "Welke andere site veroorzaakt die XSS volgens NoScript?" daar kan ik (nog) niet zo veel mee, maar zou dat wel willen ;)