/dev/null - Overig

Wie is kampioen cookiemonster?

27-10-2019, 20:56 door [Account Verwijderd], 11 reacties
Met knikkende knieën in uMatrix en uBlock origin het domein Bol.com eens helemaal tijdelijk gewhitelist en met 24 stuks is die dikke Bollie bij mij de kampioen cookiemonster van 27 oktober 2019.
Kreeg toen tussendoor ook nog een XSS waarschuwing voor go-impulse en Bolledotcom.
Als ik zou inloggen kwam er nog wat te knabbelen bij vermoedde ik maar vanwege die XSS waarschuwing durfde ik dat niet meer aan.

Zouden er nog grotere monsters zijn ? (Mjam..mjam..grauw)
Reacties (11)
28-10-2019, 06:27 door Anoniem
Dit bevestigt je verhaal: https://webcookies.org/cookies/bol.com/1318019
De re-scan: https://webcookies.org/cookies/bol.com/1318019?414131
Opvallend is het ontbreken van een CSP (content security policy) en het uitvoeren van inlined untrusted scripts.


Er zullen vast nog wel ergere gevallen zijn met een -6 score bijvoorbeeld en bol.com komt weg met een B-score.
Privacy & security, twee begrippen die werkelijk verschrikkelijk bedreigd worden.

#sockpuppet
28-10-2019, 08:45 door [Account Verwijderd]
Ja hoor, die zijn er zat. Installeer AdNauseam maar eens en wees verwonderd.

https://adnauseam.io/
28-10-2019, 09:49 door Anoniem
Kijk kier eens en lach om die 24 schamele cookies. https://webcookies.org/number-of-cookies
28-10-2019, 10:24 door Anoniem
Of via: https://webbkoll.dataskydd.net/en/results?url=http%3A%2F%2Fbol.com
28-10-2019, 14:07 door Anoniem
Bedenk dat elk domein dat cookies plaatst aan de serverkant een database kan hebben met alles wat ze van jou willen opslaan; dan is er maar één cookie met een sleutel nodig om alles terug te halen wat een andere site in tientallen of honderden cookies door je browser laten onthouden. Het aantal cookies dat je in je browser ziet zegt dus niets, behalve als dat aantal 0 is.

Wat bol.com voor dingen met cookies doet beschrijven ze in meer detail dan je aan aantallen of aan cryptische cookie-waarden kan aflezen op deze pagina:
https://www.bol.com/nl/m/cookiebeleid/
28-10-2019, 16:11 door Anoniem
Door Wilbert Wintergaard: Met knikkende knieën in uMatrix en uBlock origin het domein Bol.com eens helemaal tijdelijk gewhitelist en met 24 stuks is die dikke Bollie bij mij de kampioen cookiemonster van 27 oktober 2019.
Kreeg toen tussendoor ook nog een XSS waarschuwing voor go-impulse en Bolledotcom.
Als ik zou inloggen kwam er nog wat te knabbelen bij vermoedde ik maar vanwege die XSS waarschuwing durfde ik dat niet meer aan.

Zouden er nog grotere monsters zijn ? (Mjam..mjam..grauw)

Ik heb een keer de bol.com app geinstalleerd op mijn iPhone. Na wat netwerk monitoring zag ik dat de app steeds een verbinding met bol wilde opzetten, kan natuurlijk. Echter na het verwijderen van de app bleef mijn iPhone contact zoeken met www.test2.bol.com en www.acc2.bol.com en dat is natuurlijk niet goed. Nou weet ik niet meer of het uitzetten en weer opstarten van mijn telefoon de oplossing was maar helemaal voor de hand lag het niet.
28-10-2019, 16:23 door Anoniem
Mijn getroffen maatregelen:

Plugins in Firefox:
Random Agent Spoofer
uBlock origin
Cookie Auto Delete
No script

VPN (NordVPN in mijn geval)

Little Snitch
Een uitgaande firewall op applicatie niveau, ik kan dus per applicatie aangeven wat er wel en wat er niet uit mag.
28-10-2019, 16:56 door Anoniem
Ik heb alles eraf gefl****ert, het keuze vakje 'blokkeer alle cookies' aangevinkt en een herstart gedaan.
Op Startpage.com na slechts E.J.Bron bezocht (wordpress) en 34 (vierendertig) cookies binnen gehengeld.
Gisteren geprobeerd om HLN.nl te openen, ging niet vanwege het blokkeren van alle cookies. Lijst nagekeken en hij staat er gewoon tussen!
Dus 1. bij instellingen geen cookies accepteren, 2. Op de pagina zelf cookies accepteren aanklikken en dan 'ERROR' vanwege punt 1, vervolgens kijken in de lijst en dan staat 'ie er doodleuk tussen (al die andere cookies die er eigenlijk, vanwege punt 1, óók niet hadden kunnen zijn).

Schijnbaar leg je enkel jezelf een beperking op wanneer je 'weiger alle cookies' aanvinkt. Je komt niet meer die site openen maar krijgt wel die cookies geïnstalleerd!
28-10-2019, 17:21 door Anoniem
Door Wilbert Wintergaard: Met knikkende knieën in uMatrix en uBlock origin het domein Bol.com eens helemaal tijdelijk gewhitelist en met 24 stuks is die dikke Bollie bij mij de kampioen cookiemonster van 27 oktober 2019.
Kreeg toen tussendoor ook nog een XSS waarschuwing voor go-impulse en Bolledotcom.
Als ik zou inloggen kwam er nog wat te knabbelen bij vermoedde ik maar vanwege die XSS waarschuwing durfde ik dat niet meer aan.

Zouden er nog grotere monsters zijn ? (Mjam..mjam..grauw)

Kijk eens op de Telegraaf.
28-10-2019, 18:44 door [Account Verwijderd] - Bijgewerkt: 28-10-2019, 18:49
Door Anoniem:
Door Wilbert Wintergaard: Met knikkende knieën in uMatrix en uBlock origin het domein Bol.com eens helemaal tijdelijk gewhitelist en met 24 stuks is die dikke Bollie bij mij de kampioen cookiemonster van 27 oktober 2019.
Kreeg toen tussendoor ook nog een XSS waarschuwing voor go-impulse en Bolledotcom.
Als ik zou inloggen kwam er nog wat te knabbelen bij vermoedde ik maar vanwege die XSS waarschuwing durfde ik dat niet meer aan.

Zouden er nog grotere monsters zijn ? (Mjam..mjam..grauw)

Kijk eens op de Telegraaf.

De Telegraaf kun je misschien zelfs beter blacklisten.
Een reactie op 20-09-2019, 17:56 door Anoniem, hier: https://www.security.nl/posting/624961/Telegraaf+schakelt+niet-gekoppeld-volgen+uit, maakt zelfs gewag van het hosten van een Browser Hijacker: sdk.privacy-center.org

Later vond ik dat terug in de pagina-bron van Telegraaf.nl:

<!DOCTYPE html><html lang="nl">
<head>
<meta name="viewport" content="width=device-width,initial-scale=1,minimum-scale=1" />
<title>Het laatste nieuws uit Nederland leest u op Telegraaf.nl</title>
<script type="text/javascript">window.gdprAppliesGlobally=true;
(function(){function n(){if(!window.frames.__cmpLocator){if(document.body&&document.body.firstChild){var e=document.body;var t=document.createElement("iframe");t.style.display="none";t.name="__cmpLocator";t.title="cmpLocator";e.insertBefore(t,e.firstChild)}else{setTimeout(n,5)}}}function e(e,t,n){if(typeof n!=="function"){return}
if(!window.__cmpBuffer){window.__cmpBuffer=[]}if(e==="ping"){n({gdprAppliesGlobally:window.gdprAppliesGlobally,cmpLoaded:false},true)}else{window.__cmpBuffer.push({command:e,parameter:t,callback:n})}}e.stub=true;function t(r){if(!window.__cmp||window.__cmp.stub!==true){return}if(!r.data){return}var a=typeof r.data==="string";var e;try{e=a?JSON.parse(r.data):r.data}catch(t){return}if(e.__cmpCall){var o=e.__cmpCall;window.__cmp(o.command,o.parameter,function(e,t){var n={__cmpReturn:{returnValue:e,success:t,callId:o.callId}};r.source.postMessage(a?JSON.stringify(n):n,"*")})}}if(typeof window.__cmp!=="function"){window.__cmp=e;if(window.addEventListener){window.addEventListener("message",t,false)}else{window.attachEvent("onmessage",t)}}n()})();(function(e){var t=document.createElement("script");t.id="spcloader";t.type="text/javascript";t.async=true;t.src="https://sdk.privacy-center.org/"+e+"/loader.js?target="+document.location.hostname;t.charset="utf-8";var n=document.getElementsByTagName("script")[0];
n.parentNode.insertBefore(t,n)})("11ef8ac9-6270-4d5e-8b99-8d6a5bd60059");</script>
<script type="text/javascript">
window.didomiEventListeners = window.didomiEventListeners || [];
window.didomiEventListeners.push({
event: 'notice.clickagree',
listener: function () {
window.location.reload();
}
});
window.didomiEventListeners.push({
event: 'preferences.clickagreetoall',
listener: function () {
window.location.reload();
}
});
</script>
</head>
<body>
</body></html>


28-10-2019, 22:02 door Anoniem
Door Wilbert Wintergaard: De Telegraaf kun je misschien zelfs beter blacklisten.
Dat is hier niet nodig, telegraaf heeft zichzelf al 'ge"white"list'. Bij het openen van de site volgt enkel een blanke pagina, in de urlbalk staat dan letterlijk "https://www.telegraaf.nl/cookiewall?returnTo=/".

Sites blacklisten kan heel eenvoudig (als ik het kan..) met uMatrix. 1. open site (hint: offline kan ook) 2. klik * 3. maak url, bijv. telegraaf.nl (donker)rood. 3. klik slotje.
Nu heb je a. telegraaf.nl geblokt en b. geen één site (via xhr o.i.d.) kan verbinding maken met telegraaf.nl.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.