Klinkt goed!
Jammer dat ik hier geen verstand van heb :/

TheYOSH

Eigenlijk niet zo innovatief, want ze zitten op Google en maken gebruik van Google Aviator.
Vreemd eigenlijk dat Google ze zelf niet op de whitelist heeft staan.

Als puntje bij paaltje komt, wast Google dus de handen in onschuld.

Dan worden er ook niet "best practices"gevolgd qua header security.
Zie bijv. hier:
Ontbrekend: Transport Strict-Transport-Security Aanbeveling Use 'max-age=31536000; includeSubDomains'
Ontbrekend: XSS X-XSS-Protection Aanbeveling: Use '1; mode=block'
Ontbrekend: Caching Pragma Aanbeveling Use 'no-cache'
Ontbrekend: Access Control X-Permitted-Cross-Domain-Policies Aanbeveling Use 'master-only'
Ontbrekend: Content Security Policy Content-Security-Policy Aanbeveling Try Content-Security-Policy-Report-Only to start. Include default-src 'self', avoid 'unsafe-inline' and 'unsafe-eval'

Zie: http://toolbar.netcraft.com/site_report?url=https://www.qeado.com
Reverse DNS: http://toolbar.netcraft.com/site_report?url=http://54.24.211.130.bc.googleusercontent.com

Kwetsbaar: -https://www.qeado.com/
Detected libraries:
jquery - 2.1.4 : (active1) -https://www.qeado.com/sites/default/files/js/js_kamCA61k6bv0DpoRQDcfrbOnEl8VuWSxYIhb1tx-j0k.js
Info: Severity: medium
https://github.com/jquery/jquery/issues/2432
http://blog.jquery.com/2016/01/08/jquery-2-2-and-1-12-released/
(active) - the library was also found to be active by running code

Zie: http://www.domxssscanner.com/scan?url=https%3A%2F%2Fwww.qeado.com%2Fsites%2Fdefault%2Ffiles%2Fjs%2Fjs_kamCA61k6bv0DpoRQDcfrbOnEl8VuWSxYIhb1tx-j0k.js
Number of sources found: 34
Number of sinks found: 7

Er liggen duidelijk nog mogelijkheden tot verbeteringen van de veiligheid: https://observatory.mozilla.org/analyze.html?host=www.qeado.com

Bovendien zijn certificaten in de verkeerde volgorde geïnstalleerd. Tevens root geïnstalleerd op de server!?!. nl. AddTrust External CA Root & queda dot com getest certificaat, deze certificaten moeten in de juiste volgorde worden geherïnstalleerd.

Gaat leuk daar in Werkendam.
Het zal je marketing site maar wezen, jeah, jeah, jeah, jeah......

de databeschermingswet in 2018. sluit je bedrijf maar weer.

Maar ik zag hem niet op een adware blokkeringslijst staan. Nu gelijk geblokkeerd met Block site extensie.
Gaat iemand hem nog rapporteren bij WOT?

Beperking B2B is bedrijf naar bedrijven . Persoonsgegevens zijn daarbij te vermijden geen persoonsgegevens dan is de databescherming via AP ook niet aan de orde. Slim vermeden, maar wat zal het resultaat / verdiensten zijn. Aquisitie nav wordt niet op prijs gesteld.

Dus een soort: " Vinger in de lucht, flink zwaaien, Juf, hij doet het weer" bedrijf.

Vraag nogmaals: "Waarom zette Google, die het spul host, het niet op een whitelist".
Wat gebeurt er bij dit bedrijf dan wat markmonitor niet doet?

@karma4. Wordt het niet op prijs gesteld of is men gewoon een beetje "obscuur" bezig?

luntrus

Onze dienst gebruikt een groot aantal openbare en vrij beschikbare databronnen om zo goed mogelijk te bepalen wie een bezoeker is. Elke database analist kan dit handmatig doen. Bij Qeado wordt dit proces geautomatiseerd en op een handig wijze gepresenteerd. Er is behalve dat er gehost wordt in de Google Compute Cloud geen relatie met Google. Wij respecteren en hechten veel belang aan de General Data Protection Regulation van 2018. Juist daarom hebben we het bedrijf ICTRecht, bekend van de juridische vraag op security.nl, onze bedrijfsvoering laten doornemen en zullen dit in de toekomst blijven doen. Samen hebben we het juridische stuk beschreven op https://www.qeado.com/nl/juridisch.

Elke reactie hier is beter dan geen reactie. Men neemt de eigen bedrijfsvoering dus kennelijk serieus.
Dat is een goede zaak.

Zorg dan zeker ook dat de data goed beveiligd zijn met "best practices" op de infrastructuur.
Dus CSP nivo 3 implementeren. XSS security header ontbreekt bijvoorbeeld.

En zo heffen internet en sociale media zichzelf stap voor stap als serieus medium op. (Nu gaat iemand zeggen: dat hebben ze allang gedaan. Nou, vooruit dan).

Dat is nog maar de vraag. Al hebben ze alles juridisch goed dichtgespijkerd en afgedekt en er blijken toch beveiligingsrisico's te over, dan zijn de problemen daarmee nog niet weg.

Het is makkelijk te constateren aan de hand van hun website beveiliging. Hebben ze de moeite genomen iemand met een CSP diploma in dienst te nemen. Zie Anoniem van 13:14 en zijn/haar korte opsomming van tekortkomingen.

Voor de goegemeente, die niet serieus weet wat er beweerd wordt wel, maar voor beveiligingsdeskundigen is gemakkelijk te constateren in hoeverre de databescherming werkelijk goed geregeld is. Dat los je niet op met een gemakkelijk praatje met wat damage control gezever en een verwijzing naar een paar wettelijke regels. Iedereen is daar immers aan gehouden.

Er bestaan altijd nog mensen als een Ben Edelman, zie: http://www.benedelman.org/bio/ die bestaand of vermeend misbruik soms pijnlijk aan de kaak kan stellen. Daarom nog maar eens de aan Petronius toegedichte woorden: "Mundus vult decipi, ergo decipiatur" - de wereld wil bedrogen worden.