image

Google verplicht JavaScript voor inloggen op account

donderdag 1 november 2018, 10:01 door Redactie, 16 reacties

Internetgebruikers die op hun Google-account willen inloggen moeten voortaan JavaScript hebben ingeschakeld, zo laat Google weten. De maatregel zou nodig zijn voor het uitvoeren van een risicoanalyse. Als gebruikers op de Google-inlogpagina hun gebruikersnaam en wachtwoord invoeren voert de internetgigant naar eigen zeggen een "risk assesment" uit. Alleen als er niets verdacht aan de inlogpoging is wordt die goedgekeurd.

Deze risicoanalyse is nu verbeterd, maar dit vereist wel dat de gebruiker in zijn browser JavaScript heeft ingeschakeld. Zonder JavaScript kan de risicoanalyse niet worden uitgevoerd. JavaScript staat standaard ingeschakeld en de meeste mensen laten dit zo, maar bij 0,1 procent van de Google-gebruikers staat JavaScript uitgeschakeld. Dit kan bijvoorbeeld voor privacy- of veiligheidsredenen worden gedaan. Veel exploits en trackers op internet maken namelijk gebruik van JavaScript. Gebruikers waar JavaScript staat uitgeschakeld krijgen nu een melding te zien. Op deze website legt Google uit hoe gebruikers JavaScript kunnen inschakelen.

Image

Reacties (16)
01-11-2018, 10:18 door Anoniem
Ik ben benieuwd welke data ze nu weer nodig hebben van die Google gebruikers.
01-11-2018, 10:27 door Anoniem
Op deze website legt Google uit hoe gebruikers JavaScript kunnen inschakelen.
Een webpagina die geen tekst bevat tot je JavaScript hebt ingeschakeld ;-)
01-11-2018, 10:37 door Anoniem
Met scriptjes kunnen ze je natuurlijk NOG beter in beeld houden...
01-11-2018, 10:45 door Anoniem
Heh. "In order to secure you we had to insecure you." Ze zijn zeker niet de enige die zulke dingen doen. Cloudflare, bijvoorbeeld, vereist javascript om "je browser te checken". Maakt het nog geen goed idee, maar google is dan ook niet je goedaardige weldoener. Net als cloudflare zijn ze gewoon een groot commercieel bedrijf met institutionele aandeelhouders en zullen alles aangrijpen om een paar centjes meer uit hun markt te persen.
01-11-2018, 11:18 door Anoniem
Veel exploits en trackers op internet maken namelijk gebruik van JavaScript.
De maatregel zou nodig zijn voor het uitvoeren van een risicoanalyse.

Of je biedt een opt-in/opt-out of iemand van deze "dienst" (risk-assessment) gebruik wil maken.
Niet alles voor de gebruikers willen beslissen is ook een business-model.
Maar nog niet bekend bij Google blijkbaar.
01-11-2018, 11:46 door [Account Verwijderd]
Ik heb Gmail ingesteld staan op eenvoudige HTML omdat ik vanaf het begin geen trek had ik in de karakterestieke Google poppenkast standaard weergave en moet zeggen dat ik tot nu geen inlogblokkade met 'sommering' om javascript toe te staan heb gezien.
Maar wat vandaag niet is, kan morgen gebeuren...

Terzijde, een manier om ook de Google zoekpagina schoon te houden van de Google poppenkast zoals zoeksuggsties terwijl je aan het typen bent in een verspringend zoekveld is het gebruik van de url: https://www.google.nl/webhp?complete=0 Heerlijk rustig zonder al die ADHD (Attention Deficit Hyperactivity Disorder) functies.
01-11-2018, 12:24 door Anoniem
Hoe noemen we zulk gedrag? In het amerikaans Engels gesteld: "devious". Iedere security bewuste ziel zal zoveel mogelijk JavaScript op platte tekst pagina's willen uitschakelen. Ik doe dat dan ook met regelmaat via NoScript, uMatrix e.d.

Een platte tekst pagina, die niet werkt, omdat JavaScript niet aanstaat voor 1rst party code, juist van Google Big Data Slurper number 1, moet je niet willen gebruiken. Wat komt hierna verplicht Captcha's invullen? Google wordt een beetje een dwingeland in de digitale ruimte bij het tracken & fingerprinten van alles wat je online doet.

Dit is "evil", zoals zoveel wat Google achter ons aller rug al heeft bekokstoofd ten behoeve van winst optimalisatie en het tevreden houden van hun aandeelhouders ten aanzien van het profijt van hun core-business. Men schiet hier flink door en men zet er stiekem steeds een tandje bij om het in een hogere versnelling te kunnen doen.

"Google you are really getting evil lately, together with facebook, and you should be dealt with accordingly".

luntrus
01-11-2018, 12:56 door Anoniem
Door Anoniem:
Op deze website legt Google uit hoe gebruikers JavaScript kunnen inschakelen.
Een webpagina die geen tekst bevat tot je JavaScript hebt ingeschakeld ;-)

Ik zie je probleem niet. Als jij hier anoniem post, heb je al JS ingeschakeld. Verder is die Google pagina gewoon goed leesbaar zonder JS. Je zit dus 2x fout.
01-11-2018, 13:22 door [Account Verwijderd]
Door Anoniem: Hoe noemen we zulk gedrag? In het amerikaans Engels gesteld: "devious". Iedere security bewuste ziel zal zoveel mogelijk JavaScript op platte tekst pagina's willen uitschakelen. Ik doe dat dan ook met regelmaat via NoScript, uMatrix e.d.

Een platte tekst pagina, die niet werkt, omdat JavaScript niet aanstaat voor 1rst party code, juist van Google Big Data Slurper number 1, moet je niet willen gebruiken.

Dat vergat ik nog te melden: Ik behoor tot die 0.1% die scripts overal standaard blokt, idem in Gmail en wel om voornoemde reden (malware exploits) (in Chromium met ScriptSafe)
Ik installeer best wel wat Linux schijfjes die ik dan afwerk met toevoegingen in de standaard browser Firefox, en het viel mij op dat default Google wordt toegestaan (whitelist) in NoScript Ik kan me niet herinneren dat dat zo was een poos terug. Het lijkt mij dus aan te raden die hele Whitelist te deleten. Wat je nodig hebt merk je zelf wel en voeg je toe.

Wat komt hierna verplicht Captcha's invullen? Google wordt een beetje een dwingeland in de digitale ruimte bij het tracken & fingerprinten van alles wat je online doet.

Zeker als het tweede dat je aangeeft verplicht wordt, maar voor mij ligt de grens totaal al bij moeten toestaan van scripts als ik mijn 'platte email weergave' niet meer kan gebruiken zonder scripts. Ik heb al een account bij Proton-mail dat ik incidenteel gebruik. Ik zie op tegen een volledige migratie, maar Google heeft bij mij dan de uiterste grens overschreden als het zover komt.

Dit is "evil", zoals zoveel wat Google achter ons aller rug al heeft bekokstoofd ten behoeve van winst optimalisatie en het tevreden houden van hun aandeelhouders ten aanzien van het profijt van hun core-business. Men schiet hier flink door en men zet er stiekem steeds een tandje bij om het in een hogere versnelling te kunnen doen.

"Google you are really getting evil lately, together with facebook, and you should be dealt with accordingly".

luntrus

Exact. Als je, (Google) de veiligheid van je 'auditorium' te grabbel gooit door scripts te verplichten zak je door het ijs; is je houding dat Internet-security je aan het hart gaat een totaal hypocriete van leugen doorspekte farce majeur geworden.
01-11-2018, 13:30 door Anoniem
Zonder javascript is veiliger, vooral als de verbinding http is of nog buggy/zwakke https
(i.v.m. de mogelijkheid van vijandige javascript-injectie door derden)

Maar javascript kan de web-interface ook gemakkelijker en overzichtelijker maken.
Verder kan met javascript natuurlijk gemakkelijker en meer "leuke" informatie door de host worden verzameld van de client.
Noem het een security check, maar ondertussen weet je het maar nooit.

(men zou eigenlijk de scripts kunnen bestuderen voor meer duidelijkheid,
maar vaak wordt het beeld bewust vertroebeld van wat er allemaal precies gebeurt (obfuscatie))
01-11-2018, 13:56 door Anoniem
Door Anoniem: Ik zie je probleem niet. Als jij hier anoniem post, heb je al JS ingeschakeld. Verder is die Google pagina gewoon goed leesbaar zonder JS. Je zit dus 2x fout.
Ik gebruik NoScript en daar kan je per domein instellen of scripts wel of niet worden toegelaten, plus de mogelijkheid om alles in een tab tijdelijk toe te staan. Ik heb op deze site inderdaad JS ingeschakeld maar daaruit kan je niet afleiden dat dat voor andere sites ook geldt.

Als ik de link in het artikel naar de uitleg volg zie ik op de bovenste regel (met de kop "Google-account help") na een lege pagina. Op het moment dat ik die reactie schreef kreeg ik de tekst te zien nadat ik JavaScript in de betreffende tab toestond.

Naar aanleiding van jouw reactie heb ik het volgende gedaan. Ik heb een maagdelijke versie van Firefox gestart door met een strenge firejail-instelling alle toegang tot mijn home-directory en dus tot mijn normale Firefox-instellingen en addons te blokkeren, het start dan op alsof het de eerste keer is. Daar heb ik NoScript geïnstalleerd en gezorgd dat die Google niet toestaat. Vervolgens de support-pagina geopend en je hebt gelijk: de tekst wordt gewoon getoond.

Ondertussen zie ik dat in Firefox zoals ik die normaal opstart de tekst inmiddels ook niet meer wordt getoond met JavaScript aan. Ik heb vandaag een nieuwe FF-versie opgehaald, dus het kan zijn dat dit het verschil tussen die twee versies is, maar dat weet ik niet zeker.

Met view source is de tekst wel te zien, en als ik alles selecteer en het in een tekstdocument plak komt de tekst wel tevoorschijn, al is ook de selectie niet zichtbaar. De tekst staat er dus wel maar is onzichtbaar. Via de webontwikkelaar-tools is er niets vreemds in de style sheets te zien, die suggereren dat de tekst gewoon zwart op wit getoond moet worden.

Ik ontdek dus hiermee dat ik in Firefox een weergaveprobleem heb dat kennelijk afhankelijk is van iets in mijn profiel. Ik zat dus inderdaad fout (1x, niet 2x), en dat neem ik mezelf niet zo kwalijk als jij het me lijkt te nemen omdat ik werkelijk een lege pagina zag waar werkelijk pas tekst in verscheen toen ik JavaScript inschakelde. De conclusie die ik trok was de meest voor de hand liggende daarbij, ook al blijkt nu dat hij niet klopt.

In ieder geval heeft jouw reactie me duidelijk gemaakt dat er iets in mijn Firefox-configuratie niet goed gaat, en dat is goed om te weten. Dank dus voor je reactie.
01-11-2018, 14:25 door Anoniem
Door Anoniem: Ik zie je probleem niet. Als jij hier anoniem post, heb je al JS ingeschakeld. Verder is die Google pagina gewoon goed leesbaar zonder JS. Je zit dus 2x fout.
Als aanvulling op mijn eerdere antwoord (dat ik nu nog niet zie staan):
Ik heb ooit een eigen userContent.css gemaakt omdat ik steeds meer websites tegenkwam die niet in het browservenster passen maar alleen een scrollbar tonen als JavaScript aanstaat. De instelling "overflow: auto !important;" leek dat op te lossen. Die instelling forceert dat er een scrollbar verschijnt als de tekst niet in de body past, ongeacht wat de website zelf voor instelling meegeeft. Dat maakte diverse sites toegankelijk zonder JavaScript te hoeven activeren.

De pagina van Google heeft een body van 0 pixels hoog. De tekst die je ziet staat dus in css-layouttermen onder een body van 0 pixels hoog. Door die overflow-instelling werd die onzichtbaar, een scrollbar van 0 pixels hoog zie je net zo min als de tekst. Ik heb nu een minimumhoogte toegevoegd die dat weer oplost, maar moet nog zien wat het met andere websites doet.
01-11-2018, 15:03 door Anoniem
Ik ben benieuwd welke data ze nu weer nodig hebben van die Google gebruikers.
Als je al een Google/Gmail account hebt vraag ik me af waar je je druk om maakt. Ze weten tóch al alles van je. De reacties hierboven van mensen die miepen over Javascript terwijl ze hun mails in Gmail beheren en/of Chrome als browser gebruiken slaan alleen al daarom nergens op.
Ik heb er geen last van omdat ik al jaren geen diensten van Google gebruik. Dat zouden meer mensen moeten overwegen (met name de mensen die hier veel roepen). Hou je tijd over voor leuke dingen!
01-11-2018, 20:56 door Anoniem
Helemaal eens met reactie hierboven. Als je al Gmail gebruikt dan is JavaScript daar inschakelen voor toegang echt geen serieus verschil.
01-11-2018, 23:42 door Anoniem
Het bericht van Google in de topic is toch een contradictio in terminis, een eeuwigdurende tegenspraak - als je veilig wilt blijven op je Google account moet je javascript aan zetten. Neen om veilig te blijven onder alle omstandigheden moet je javascript en zeker 3rd party javascript juist (zo veel mogelijk) uitschakelen.

Kan Google jou en mij garanderen dat alle Google javascript veilig is? Kunnen ze daar hun hand voor in het vuur steken? Ik denk echt van niet. Ik kanje zo al een lijstje geven met Google javascript met errors, en dan praten we nog niet eens over de nodige XSS sources en sinks binnen die code. Niets is ultiem veilig op deze wereldbol, en zeker javascript niet. Het is nog erger dan die "drop op wielen", "het zou verboden moeten worden". ;) Wel, php dan wel bijna, :>.

Google zet de onwetenden op het verkeerde been. met het credo: Javascript staat gelijk aan veiligheid. Ze zouden wat dit betreft al eens stevig op de vingers moeten worden getikt. Maar ja, slik.
02-11-2018, 11:56 door [Account Verwijderd]
Gisteren (11:46 uur.) schreef ik dat bij mij inlog zonder één regel script toe te staan nog steeds kan.
Zojuist 11:30 uur heb ik mijn Gmail geopend en nog steeds geen waarschuwingen/meldingen. Alles is/gaat zoals voorheen.

Wat ik mij afvraag: Speelt de eenvoudige HTML weergave, die ik heb ingesteld, hierin een rol? Misschien is er iemand die even de Google Moppermodus ;-) kan verlaten en er een zinnig antwoord op kan geven. Ik schiet tekort daarin, ofwel ik heb weinig IT kennis om de oorzaak te duiden.

Iemand?

Hartelijk dank, ik vermoed zeker ook namens andere geïnteresseerden die Gmail gebruiken en er geen zin in hebben scripts te gaan inschakelen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.