Proton introduceert zelfontwikkelde, 'censuurbestendige' CAPTCHA
Proton, het bedrijf achter ProtonMail en ProtonVPN, heeft vandaag een zelfontwikkelde CAPTCHA geïntroduceerd die bestand tegen censuur zou moeten zijn en volledig aan de AVG voldoet. De Proton CAPTCHA is volgens het bedrijf met een 'privacy-first' aanpak ontwikkeld die volledig aan de AVG voldoet, is mobiel vriendelijk en maakt geen gebruik van third-party services.
Verder beschikt de CAPTCHA-oplossing over verschillende beschermingsmaatregelen om misbruik te voorkomen, zoals proof of work, visuele puzzels en privacyvriendelijke botdetectie. Zo moeten gebruikers bijvoorbeeld een puzzelstuk op de juiste plek leggen om de captcha op te lossen. "Ons doel is het bieden van een CAPTCHA die toegankelijk, bruikbaar, privacyvriendelijk en bestand is tegen zelfs de meest geavanceerde dreigingen", zegt Eamonn Maguire van Proton. Op dit moment maakt alleen Proton gebruik van de CAPTCHA, maar het bedrijf overweegt om die via een API toegankelijk te maken voor derde partijen die privacy belangrijk vinden.
Daar vind je een duidelijke uitleg wat Google Recaptcha nu precies doet. Hoe kun je dit als bedrijf dan toch gebruiken? En waarom roept de AP dit geen halt toe?
Uitermate goed dus dat Proton een alternatief gecreëerd heeft. Als bedrijf zou dat een slimme keuze zijn, in een beetje fatsoenlijke browser werkt de Recaptcha van Google niet. Loop je toch al gauw bestellingen mis of waardevolle feedback. Daarnaast geef je een signaal af dat je als bedrijf privacy eigenlijk niet belangrijk vindt.
Daar vind je een duidelijke uitleg wat Google Recaptcha nu precies doet. Hoe kun je dit als bedrijf dan toch gebruiken? En waarom roept de AP dit geen halt toe?
Uitermate goed dus dat Proton een alternatief gecreëerd heeft. Als bedrijf zou dat een slimme keuze zijn, in een beetje fatsoenlijke browser werkt de Recaptcha van Google niet. Loop je toch al gauw bestellingen mis of waardevolle feedback. Daarnaast geef je een signaal af dat je als bedrijf privacy eigenlijk niet belangrijk vindt.
Het is beter is om een goed afgestelde honeypot te ontwikkelen, in te zetten die enige request blackholed als bepaalde voorwaarden getriggered worden. Zoals het invullen van een visueel verborgen veld waarna de bot een reactie accepted krijgt ondertussen de content gedropped is en bij herhaling in een deny list komt.
Echte gebruikers hebben geen last ervan gezien de beveiliging zich afspeeld onder een css visibility:hidden style declaration. Heb je ook geen gezeik met adblockers door geen gebruik van externe bronnen voor je klanten uberhaubt iets kunnen.
Your assumption is wrong. Hackers can easily tell the bot what fields to fill or not. Besides, if the browser of a legitimate user fills the field automatically based on saved user data it would lead to impact to the legitimate users.
Finally, security by obfuscation only works for a period of time.
Daar vind je een duidelijke uitleg wat Google Recaptcha nu precies doet. Hoe kun je dit als bedrijf dan toch gebruiken? En waarom roept de AP dit geen halt toe?
Ik ben uiteindelijk via een password reset procedure zonder captcha in m'n account gekomen en heb meteen m'n diensten opgezegd en domeinen bij een andere toko ondergebracht.
De volgende informatie wordt vervolgens verzameld van je computer:
- Alle cookies van Google van de laatste 6 maanden. [waaronder ook die van AdMob, DoubleClick, YouTube, ... ]
- Hoeveel keer je geklikt hebt op het scherm dat met de captcha is beveiligd [muisbewegingen, reactietijd]
- De CSS-informatie van die pagina [cascading stylesheets]
- De datum [uw tijdzone, IP-adres en geografische locatie]
- De taal van je browser [fingerprint, en HTTP-referer en kenmerken besturingssysteem]
- Plugins die op je browser zijn geïnstalleerd [geïnstalleerde lettertypen, grootte en resolutie van beeldscherm]
- Alle javascript objecten [en nog veel meer ... ]
Hoe volgt trackingtechnologie uw spoor op het web, zelfs als u beschermende maatregelen dacht te hebben genomen? Cover Your Tracks van de Electronic Frontier Foundation laat je zien hoe trackers je browser zien. Het biedt u een overzicht van de meest unieke en identificerende kenmerken van uw browser, waarmee u overal kan worden gevolgd.
https://coveryourtracks.eff.org
Daar vind je een duidelijke uitleg wat Google Recaptcha nu precies doet. Hoe kun je dit als bedrijf dan toch gebruiken? En waarom roept de AP dit geen halt toe?
Uitermate goed dus dat Proton een alternatief gecreëerd heeft. Als bedrijf zou dat een slimme keuze zijn, in een beetje fatsoenlijke browser werkt de Recaptcha van Google niet. Loop je toch al gauw bestellingen mis of waardevolle feedback. Daarnaast geef je een signaal af dat je als bedrijf privacy eigenlijk niet belangrijk vindt.
TransIP is een flutprovider die niks om de AVG geeft en ook niet op brieven reageert. Oppassen dus!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
