Ik merk er nog helemaal niets van. Op veel sites staat het NoScript menu vol met third party sites die alles van je willen weten (en die plugin blokkeert slechts Javascript van third party sites, jouw browser kan dan nog steeds flink lekken). Alsof je een winkel of een overheidspand inloopt en een groep malloten met camera's als strontvliegen om je heen blijft zwermen en elke beweging vastlegt die je maakt, om die vervolgens aan de hoogste bieder te verkopen.

Alleen zie je daar op het web, als leek, helemaal niets van - behalve dat surfen soms tergend traag is, je de content moet zoeken tussen de bagger en jouw virusscanner af en toe alarm slaat (of dat had moeten doen, maar nalaat).

Bijvoorbeeld als je belastingdienst.nl in de URL balk van jouw browser invoert en op Enter drukt:

1) (Off-topic maar wel een risico) ook als je die site het afgelopen jaar op dezelfde wijze hebt bezocht, heeft jouw browser er geen HSTS informatie van opgeslagen, en vindt de request gewoon via http plaats (een MITM, die bijv. jouw modem gehacked heeft, kan dan eenvoudig een SSLstrip aanval uitvoeren; zie https://www.security.nl/posting/566101/NL%3A+veel+brakke+https+sites);

2) Als mijn browser, zonder MITM, (direct vanuit http://belastingdienst.nl/) is doorgestuurd is naar https://www.belastingdienst.nl, zie ik het volgende gebeuren m.b.t. third-party sites:
GET: https://cdn.optimizely.com/js/7957610188.js
GET: https://f1-eu.readspeaker.com/script/4329/ReadSpeaker.js?pids=embhl&skin=ReadSpeakerClassic
GET: https://survey.insocial.nl/loader/belastingdienst/survey.min.js?case=npg
GET: https://a7957610188.cdn.optimizely.com/client_storage/a7957610188.html
GET: https://f1-eu.readspeaker.com/script/4329/ReadSpeaker.Styles.css?v=2.5.12.5343
GET: https://f1-eu.readspeaker.com/script/4329/skins/ReadSpeakerClassic/ReadSpeakerClassic.css?v=2.5.12.5343
GET: https://f1-eu.readspeaker.com/script/4329/skins/ReadSpeakerClassic/ReadSpeakerClassic.js?v=2.5.12.5343
GET: https://f1-eu.readspeaker.com/script/4329/ReadSpeaker.Core.js?v=2.5.12.5343
GET: https://f1-eu.readspeaker.com/script/4329/ReadSpeaker.pub.Config.js?v=2.5.12.5343
POST: https://logx.optimizely.com/v1/events
GET: https://f1-eu.readspeaker.com/script/4329/ReadSpeaker.lib.Facade.adapter.jquery.js?v=2.5.12.5343
GET: https://bdtm.containers.piwik.pro/7e06d939-563e-4c29-b5d0-177ed38d416e.js
GET: https://f1-eu.readspeaker.com/script/4329/ReadSpeaker.Base.js?v=2.5.12.5343
POST: https://logx.optimizely.com/v1/events

Alle eigenaren van sites weten nu dat ik, zojuist, vanaf een gegeven IP-adres, met allerlei uniek identificerende gegevens vrijgegeven door mijn webbrowser (los van cookies ook zaken als schermresolutie, OS, taalinstellingen, welke plug-ins etc), de homepage van www.belastingdienst.nl heb bezocht, en sites als optimizely.com ook wat ik daar precies gedaan heb. Zoals waarop ik geklikt heb, of ik gescrolled heb, hoe lang ik een (of dat deel van de) pagina bekeken heb etc.

En dit is een site die bijna iedere Nederlander verplicht moet bezoeken...

ReadSpeaker is toch een tool om teksten op te lezen, zodat mensen met een visuele beperking toch de informatie te weten kunnen komen. Ongetwijfeld een eis waar de overheid aan moet voldoen. Of het ook je data oogst? Geen idee.

Optimizely, ik moest het even opzoeken, lijkt me een A/B-testing tool. Lijkt me niet dat daar persoonlijke gegevens mee opgevraagd worden, maar dat zou uit het privacy statement te halen moeten zijn.

Is Piwik Pro juist niet bedoeld om on-premise te draaien? Of dat gebeurt weet ik niet, maar waarom zou je anders de Pro-versie gebruiken als je ook de "gratis"-versie kan gebruiken?

InSocial.nl (moest ik ook opzoeken) heeft ook te maken met customer experience.

Dus geen idee wat verzameld wordt. Dat deze diensten/software gebruikt wordt, wil niet zeggen dat er niet voldaan wordt aan de AVG. Los daarvan: als het verzameld wordt dan is aan dit overizcht niet te zien hoe lang het bewaard wordt en wat er mee gedaan wordt.
Nogmaals: zou duidelijk moeten worden uit privacy statement.

Privacy Statement of niet Bitwiper heeft wel gelijk met zijn tracking overzicht en wie kunnen er nog meer bij de (=jouw) data?

Maar dit zou je toch maar liever blokkeren: https://n01d05.cumulus-cloud.com/trackers/tag.php?t=img&cid=3313637265&chid=81236&rdid=%5Brdid%5D&ts=%5Btimestamp%5D en ook deze ad-tracker:
https://a7957610188.cdn.optimizely.com/client_storage/a7957610188.html
& https://cdn.optimizely.com/js/7957610188.js

uMatrix blokkeert dit tenminste voor mij via de Blockzilla lijst.
. Zie: https://webcookies.org/cookies/www.belastingdienst.nl/19103294

Alles mag dan wel kloppen qua AVG en de GPDR, toch is het webverkeer daar ook niet vrij van het algemene tracking en monitoring gebeuren via cookies, widgets, cloaking, canvas tracking en wat dies meer zij aan Big Data Commerce tracking methoden, die er allemaal ontwikkeld zijn. Zeg niet dat de site van de belastingdienst dit allemaal zou doen, maar Big Data Commerce is nu eenmaal het core business model op het Internet en dat wringt ten principale met onze privacy en anonimiteit.

luntrus

De volgende scan levert ook interessante resultaten op.
https://privacyscore.org/site/113610/

Kijk eens naar zeven 3rd party embeds, vijf bekende 3rd party trackers, 1 cookie gezet door cumulus-cloud.com,
geen HSTS pre-loading aangetroffen, TLS_fallback_SCSV wordt niet gebruikt. Geen CSP-header ingesteld, geen privacy-vriendelijke referer policy aanwezig. De server staat verder open voor de zogenaamde Secure-Client-Renegotatie-Aanval.

Kijk ook eens naar de issues hier: permalink: https://webhint.io/scanner/a77cc6e1-d5fb-4a96-9f0b-e46bc8c6271e
met 39 beveiligingsfouten qua: no-protocol-relative-urls: 2 errors ; sri: 19 errors; strict-transport-security: 4 errors; x-content-type-options: 13 errors; en tenslotte via Snyk gevonden: no-vulnerable-javascript-libraries: 1 error.

Vergelijk voor het laatste dit jQuery library overzicht, wat het Snyk resultaat weer tegenspreekt: https://retire.insecurity.today/#!/scan/70916335c368e7180e3e7d57a0bbe1eb5b2706905685cad81a2cd27285cc037c'Bootstrap@3.3.5' has 1 known vulnerability (1 medium). See 'https://snyk.io/vuln/npm:bootstrap' for more information. Ook hier niet aangegeven https://retire.insecurity.today/#!/scan/831b45fa8227dca7fad08507f13b37c40c15857cee59855c03398ec1b6743198Kijk naar de javascript foutmelding hier survey.insocial.nl/loader/belastingdienst/survey.min.js?case=npg info: [decodingLevel=0] found JavaScript error: undefined variable acj.parentNode error: line:1: SyntaxError: missing ; before statement: error: line:1: var acj.parentNode = 1; error: line:1: ....^ error: line:5: SyntaxError: missing = in XML attribute: error: line:5: <!DOCTYPE html> error: line:5: ..............^ file: 8fd9194ff357d518467d885eba6c737d3cee8982: 23890 bytes via een javascript unpacker. (script) f1-eu.readspeaker.com/script/4329/ReadSpeaker.js?pids=embhl&amp;skin=ReadSpeakerClassic Dit script overschreed ook nog eens de maximum runtime, wat duidt op onveiligheid Waarvan akte, Dit alles is verkregen via openbare 3rd party cold reconnaissance scanning,zonder ooit daadwerkelijk de site in kwestie te bezoeken. Maar het zegt m.i. al voldoende over eventuele kwesties rond privacy waarborgenen ondersteunt volledig Bitwiper's bevindingen.luntrus