Nederland uitzondering met overheidssite zonder adtrackers
Bijna alle Europese overheden hebben op hun website commerciële advertentietrackers draaien, maar de Nederlandse Rijksoverheid is één van de uitzonderingen. Dat laat onderzoek van het Deense privacybedrijf Cybot zien. Voor het onderzoek werden bijna 185.000 pagina's op de primaire websites van Europese overheden geanalyseerd (pdf).
Van de 28 officiële overheidswebsites werden er op 25 advertentietrackers aangetroffen. Alleen op de websites van Nederland (Rijksoverheid.nl), Duitsland en Spanje vonden de onderzoekers geen commerciële trackers. Op de website van de Franse overheid werden maar liefste 52 trackers geteld, gevolgd door Letland (27) en België (19). Het gaat onder andere om scripts van Doubleclick, Facebook, Google en YouTube.
Het onderzoek keek ook naar de nationale gezondheidszorgwebsites van zes landen. Iets meer dan de helft van de landingpagina's bevatte advertentietrackers. Hierdoor kan gevoelige persoonlijke informatie in handen van advertentiebedrijven komen, zo waarschuwen de onderzoekers. Met name bij de website van de Ierse gezondheidszorg is het raak, waar op 73 procent van de landingpagina's trackers actief zijn. Op een Franse website over abortus werden scripts van 21 verschillende bedrijven aangetroffen, terwijl een Duitse website over zwangerschapsverlof trackers van 63 bedrijven bevatte.
"Als EU-burgers hun overheden online bezoeken, of wanneer ze openbare gezondheidsinformatie over gevoelige onderwerpen opzoeken, zoals zwangerschap, seksuele gezondheid, kanker of psychische problemen, worden ze onzichtbaar en systematisch door meer dan honderd commerciële bedrijven gevolgd", aldus de onderzoekers. Die adviseren overheden om gebruikers meer informatie over tracking te geven, alsmede de optie om trackers aan of uit te zetten. Daarnaast moeten ongewenste trackers worden verwijderd.
En we hebben tenslotte niks te verbergen. Toch?
maar via www.webonderzoek-rijksoverheid.nl 3rd party tracking *.
Geen HSTS preloading, geen CSP header, geen refere-policy-header.
Kwetsbaar voor Secure-Client-Initiated-Renegotiation bug.
* Hier vinden de volgende headers niet ingesteld:
CSP, XFO, X-CSS-protectie, X-Content-Type-Options & geen referer-policy header.
Dus laten we niet ineens hoera roepen.
41 verbeter voorstellen daar: https://webhint.io/scanner/fa6fd70e-83f0-410c-9301-1cba333ba173
inclusief 7 security issues.
In Brave krijg ik een browser waarschuwing: https://www.ergo-webreporting.com/Browserwarning.html
Advies, gebruik IE browser, want website is draait op ASP MS.
Overweeg tevens: https://toolbar.netcraft.com/site_report?url=https%3A%2F%2Fwww.ergo-webreporting.com%2FBrowserwarning.html
Site van BIT B.V. schijnt veilig: https://www.virustotal.com/#/ip-address/78.31.116.148
Name server staat in USA: whois.psi-usa.info
No response received
Certificate transparency
Signed Certificate Timestamps (SCTs)
Source Log Timestamp Signature Verification
Certificate Google Pilot
pLkJkLQYWBSHuxOizGdwCjw1mAT5G9+443fNDsgN3BA= 2018-01-04 12:52:33 Success
Certificate DigiCert 2
h3W/51l8+IxDmV+9827/Vo1HVjb/SrVgwbTq/16ggw8= 2018-01-04 12:52:33 Success
Certificate Google Skydiver
u9nfvB+KcbWTlCOXqpJ7RzhXlQqrUugakJZkNo4e0YU= 2018-01-04 12:52:33 Success
Minder ad-tracking-narigheid dan op de Franse tegenhanger, maar toch, Big Brother kijkt wel degelijk mee.
EU is de trackers beter gezind, dan de eigen burgers voor privacy-bescherming,
Edoch is EU er eigenlijk wel voor haaar ingezetenen, that's the question?
luntrus
maar via www.webonderzoek-rijksoverheid.nl 3rd party tracking *.
.. Minder ad-tracking-narigheid dan op de Franse tegenhanger, maar toch, Big Brother kijkt wel degelijk mee. ...
luntrus
Ze gebruiken toch piwik? https://developer.matomo.org/api-reference/tracking-api
Wat trackt Piwik nu zoal? Het gebruiker IP adres, Optioneel Gebruiker-ID, data tijd, pagina titel en pagina url, schermresolutie, tijd in lokale tijdzone van de gebruiker, links naar externe domeinen, die werden aangeklikt, tijd van aanmaak pagina, pagina laadsnelheid en geo-locatie, browser-taal, user-agent informatie via Universal Device Detection bibliotheek, tracking cookie informatie over bezoeken van de site, Verder kunnen er optionele data gevolgd worden als bij overheidscampagnes, site search, ecommerce, viewing & klikken op bepaalde content.
Als men persoonlijke data niet wil tracken moet een data-matomo-mask attribute gebruikt worden op pagina's die deze persoonlijk herleidbare data gebruiken.
Er wordt gebruik gemaakt van Microsoft.ASP.net en IIS IIS op Windows Server.
Issue Feedback van de site via Ctrl+Shift+I
at check.js:524
blocker.js:512 Uncaught TypeError: Cannot read property 'local' of undefined
at blocker.js:512
s3.amazonaws.com/js-init/1f918df3fe7cc4f0db.js:1 Failed to load resource: net::ERR_BLOCKED_BY_CLIENT
antiphishing.js:1 Sending APH request...
Zie: https://s3.amazonaws.com/js-init/1f918df3fe7cc4f0db.js Cloud Object Storage met als gebruikte technologie:
Analytics
SiteCatalyst
JavaScript Framework
RequireJS
met links naar
https://a0.awsstatic.com/da/js/1.0.35/aws-da.js
Niet voor niets dat ik een amazon blokker gebruik in de browser of choice.
Dus alles wat je doet op rijksoverheid.nl en via webreporting wordt opgeslagen in de Amazon Cloud.
Denk even niet dat alle Nederlandse ingezetenen hiervan op de hoogte zijn gesteld of bewust van zijn.(iron.)
luntrus
Site van BIT B.V.
Name server staat in USA: whois.psi-usa.info
Dit is gewoon een site die de naam "rijksoverheid" bevat, maar daar geen banden mee heeft?
Zoals je zelf zegt: een commerciele 3th party > BIT bv
maar via http://www.webonderzoek-rijksoverheid.nl 3rd party tracking *.
Geen HSTS preloading, geen CSP header, geen refere-policy-header.
<knip>
luntrus
Die site meldt dat je 'm alleen met Internet Explorer kan bekijken.
Your browser does not qualify.
Use Internet Explorer instead.
Inderdaad, dat ga ik dus niet serieus nemen.
luntrus
#sockpuppet
#sockpuppet
BIT BV is een hostingprovider. https://www.bit.nl/nl/over-bit/over-datacenter-bit
Als je het ip adres van www.webonderzoek-rijksoverheid.nl via RIPE opzoekt, zie je dat het ip adres van hen is.
De website staat overigens op naam van Ergo. Een bureau voor marktonderzoek. Zij nemen (zo te zien) weer diensten af van site4u.nl. Ik vermoed dat die weer een colocatie van BIT BV afnemen.
Ergo heeft op hun site weer een hoop overheidsinstellingen als referentie staan overigens.
Jouw relaas bevestigt het mijne en bewijst maar eens,
dat IT van onze rijksoverheid ook al reeds in flinke zin geprivatiseerd is via een marktonderzoeker.
Zie tevens https://toolbar.netcraft.com/site_report?url=TIPPEN.site4u.nl
Ik krijg hier een certificatie fout: NET::ERR_CERT_COMMON_NAME_INVALID
Zie ook: https://observatory.mozilla.org/analyze/tippen.site4u.nl[./url]Zie: https://observatory.mozilla.org/analyze/tippen.site4u.nl#third-partyZie dus ook hier: https://privacyscore.org/site/128785/D-graad scan resutaat: https://observatory.mozilla.org/analyze/www.ergo-webreporting.comASP.NET_SessionId given as not secure. See: https://observatory.mozilla.org/analyze/www.ergo-webreporting.com#third-partyGeen check op revocation uit te voeren;CAA Record: No Cipher Preference: Server selects preferred cipher Compatible Clients: Android 4.4.2, Apple ATS 9, BingPreview Jan 2015, Chrome 30, Edge 12, Firefox 31.3.0 ESR, Googlebot Feb 2015, IE 11, Java 8b132, OpenSSL 1.0.1h, Opera 17, Safari 5, Yahoo Slurp Jun 2014, YandexBot Sep 2014 OCSP Stapling: NoUpGuard Security Checks for http://www.ergo-webreporting.com/ via a quick and dirty 3rd aprty cold reconnaissance public scan (5) Domain at risk of being hijackedDomain registrar deletion protection not enabledDomain registrar update protection not enabledDomain registry deletion protection not enabledDomain registry transfer protection not enabledDomain registry update protection not enabledSusceptible to man-in-the-middle attacksHSTS header not prepared for preload list inclusionSecure cookies not usedPCI-DSS: Non-compliantDus allemaal nog niet "allemaal rozengeur en maneschijn" daar. luntrus
Denk even niet dat alle Nederlandse ingezetenen hiervan op de hoogte zijn gesteld of bewust van zijn.(iron.)
luntrus
https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/publicaties/2016/07%2F05%2Fbijlagen-bij-besluit-wob-verzoek-over-publieksonderzoek-rijksoverheid-az/01-verstrekte-stukken-deel-1-overzicht.pdf
Er komen wel eens wat berichten door over het gebruik van websites bij de overheid.
https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/rapporten/2018/03/09/eindrapportage-campagne-effectonderzoek-zorgverzekeringen-2017-2018/Rapportage%2Bcampagne_Zorgverzekeringen_Kantar_Public_en_MeMo2_definitief.pdf
Nog steeds een extern uitbesteed contract:
https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/publicaties/2018/12/06/rijkscontracten/overzicht%2Bcontracten%2Bcategoriemanagement%2BRijk.pdf
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
