Computerbeveiliging - Hoe je bad guys buiten de deur houdt

ING en chrome

30-12-2018, 01:25 door Anoniem, 24 reacties
De ing promoot de Google Chrome browser voor bankieren.gebruik nu edge. Werkt sinds kort weer.
Op mijn vraag aan de ing:
Komt Google mijn bankrekeningnummers en saldi nu te weten krijg ik geen antwoord.
Wat denken jullie?
Reacties (24)
30-12-2018, 09:41 door Anoniem
Nee, dat komt Google niet te weten.
30-12-2018, 12:50 door Anoniem

Komt Google mijn bankrekeningnummers en saldi nu te weten?

Edge is van Microsoft. Je kunt dus beter de vraag stellen: weet Microsoft nu je bankrekeningnummers en saldo?

Bankrekeningnummer: zolang het niet in de URL (in je locatiebalk): waarschijnlijk niet. Als het wel in de locatiebalk staat kan het voorkomen dat ze het wel te weten komen, bijvoorbeeld als je iets aanpast (meestal worden urls wel doorgezonden aan clouddiensten, bijvoorbeeld om je een betere zoekervaring te geven).
Saldo: Is onderdeel van de pagina, daar zullen ze niet in kijken, immers zou dat een grove privacy schending zijn.
30-12-2018, 16:37 door Anoniem
Door Anoniem:

Komt Google mijn bankrekeningnummers en saldi nu te weten?

Edge is van Microsoft. Je kunt dus beter de vraag stellen: weet Microsoft nu je bankrekeningnummers en saldo?

Bankrekeningnummer: zolang het niet in de URL (in je locatiebalk): waarschijnlijk niet. Als het wel in de locatiebalk staat kan het voorkomen dat ze het wel te weten komen, bijvoorbeeld als je iets aanpast (meestal worden urls wel doorgezonden aan clouddiensten, bijvoorbeeld om je een betere zoekervaring te geven).
Saldo: Is onderdeel van de pagina, daar zullen ze niet in kijken, immers zou dat een grove privacy schending zijn.

Google verdient zijn geld met het verzamelen van informatie. Volgens mij doet die dingen om aan informatie te komen die vele malen erger zijn dan wat bv Facebook doet.
Niemand wil dat weten.
Microsoft houdt zich niet in die mate bezig met het verzamelen en verkopen van informatie. Ik gebruik Chrome niet meer vanwege het verzamelen. Denk dat alles wat door je browser heen gaat ook bij Google terechtkomt. Ook bankgegevens bsn nummers enzovoort.

Zoek maar eens op bv dyson
Hele familie krijgt het produkt te zien via reclame (stond niet in de adresregel)
30-12-2018, 16:39 door Anoniem
Door Anoniem: Nee, dat komt Google niet te weten.

Weet je het zeker?
Ing weet het niet . 3 keer gevraagd en geen antwoord.
30-12-2018, 17:05 door Anoniem
Saldo: Is onderdeel van de pagina, daar zullen ze niet in kijken, immers zou dat een grove privacy schending zijn.
Als je een verbinding hebt met je bank is deze versleuteld, hoe kan dan een andere partij deze gegevens in zien.
30-12-2018, 21:51 door Anoniem
Door Anoniem:
Saldo: Is onderdeel van de pagina, daar zullen ze niet in kijken, immers zou dat een grove privacy schending zijn.
Als je een verbinding hebt met je bank is deze versleuteld, hoe kan dan een andere partij deze gegevens in zien.
Je browser is precies wat die versleuteling regelt, dus die weet alles wat jij ziet en kan dit theoretisch naar Google sturen. Maar dat zullen ze niet doen, dan zijn ze hun browser aandeel grotendeels kwijt. En de data die ze graag willen krijgen ze wel zonder zulke extreme acties.
31-12-2018, 07:48 door Bitwiper - Bijgewerkt: 31-12-2018, 08:08
Door Anoniem:
Saldo: Is onderdeel van de pagina, daar zullen ze niet in kijken, immers zou dat een grove privacy schending zijn.
Als je een verbinding hebt met je bank is deze versleuteld, hoe kan dan een andere partij deze gegevens in zien.
Op minstens zes verschillende manieren:

1) Webpagina's van de meeste websites bevatten instructies voor jouw webbrowser om tegelijkertijd scripts van geheel andere websites op te halen en uit te voeren. Heel vaak gaat het daarbij om "ga.js", het Google Analytics script, dat gedragingen van gebruikers op de betreffende webpagina monitort en terugmeldt aan Google, waarna de eigenaar van de website die gegevens kan inzien (en bijv. de website verbeteren). Er zijn meerdere partijen die dit soort functionaliteit "gratis" aanbieden (jij betaalt met de inbreuk op jouw privacy). Daarmee kan veel, zo niet alles, van wat jij ziet en invoert met zo'n third party analytische website worden gedeeld; de eigenaar daarvan en diens personeel zul je noodgedwongen moeten vertrouwen (of een tool als NoScript gebruiken). Nb. Als de verbinding met de website, waarvan je de URL ziet in jouw browser, is geauthenticeerd [*] en versleuteld, zijn (in de meeste browsers) alle verbindingen met andere websites, waarvan kennelijk gegevens nodig zijn om de pagina op te bouwen, ook geauthenticeerd en versleuteld [**].

2) Als jouw webbrowser door Google gemaakt is, zul je Google erop moeten vertrouwen dat hun programmeurs niets van wat jij op jouw scherm ziet en/of invoert, tevens naar Google (of een andere site van een foute programmeur) sturen.

3) Dat geldt ook voor alle plug-ins in jouw webbrowser (inclusief NoScript - als je dat gebruikt).

4) Dat geldt ook voor het besturingssysteem.

5) Dat geldt ook voor alle andere software die (al dan niet zichtbaar voor jou) draait op de door jou gebruikte PC of op (in iets mindere mate) tablets en smartphones. Dit is typisch wat "banking-trojan" malware doet: als dergelijke troep op jouw PC of portable device draait, is de kans groot dat jouw rekening geplunderd wordt.

6) Als jouw besturingssysteem (of, in het geval van Firefox: in de browser zelf) een rootcertificaat van een onbetrouwbare certificaatuitgever bevat (bijv. toegevoegd door het bedrijf waar je werkt, door malware of een veiligheidsdienst), kan het zijn dat de verbinding tussen jouw browser en sommige of alle websites wordt onderbroken door een server "onderweg". Richting jouw browser doet die server zich dan voor als de bedoelde website, en richting de echte website als jouw browser (dit wordt een MitM = "Man in the Middle" genoemd). Bij https verbindingen is er dan een onterecht geauthenticeerde en versleutelde verbinding tussen jouw browser en die MitM, en tussen de MitM en de echte website is er een terecht geauthenticeerde en versleutelde verbinding met de echte website. De eigenaar en beheerders van de MitM kunnen alles zien wat jij ziet en/of invoert.

[*] Geauthenticeerd wil zeggen dat de webserver bewijst over een private key te beschikken die precies past bij een public key in het webservercertificaat, waarvan een certificaatuitgever heeft bevestigd dat de domeinnaam in dat cerificaat (zoals "mijn.ing.nl" of "*.google-analytics.com") hoort bij genoemd sleutelpaar. Als de certificaatuitgevers van de gebruikte certificaten en de gebruikte cryptografie betrouwbaar zijn, en de private key niet in verkeerde handen gevallen is, kun je er veilig vanuit gaan dat jouw browser verbinding heeft met de bedoelde website. Nb. Niets op die website zelf wordt hierdoor veilig of betrouwbaar; als de eigenaar van de website de webserver bij een hoster heeft ondergebracht, zul je (naast het personeel van de bank) ook het personeel van die hoster moeten vertrouwen!

[**] Hiervoor volstaat elk type https certificaat, ook als de primaire webserver (zoals mijn.ing.nl) zich heeft geauthenticeerd met een EV (Extended Validation) certificaat. Ik vind dit een ernstige bug in het systeem (en dit is een van de redenen waarom ik NoScript en Firefox gebruik). Als aanvaller kun je dus het beste een valse Google Analytics website optuigen en daar een gratis DV certificaat voor aanvragen (zoals van Let's Encrypt). Hoewel het vermoedelijk knap lastig is om de domeinnaam van een site als www.google-analytics.com te spoofen richting een DV certificaatuitgever, is dit (bijv. middels een BGP hijack attack) niet onmogelijk.
31-12-2018, 09:17 door Anoniem
Door Anoniem: De ing promoot de Google Chrome browser voor bankieren.gebruik nu edge. Werkt sinds kort weer.
Op mijn vraag aan de ing:
Komt Google mijn bankrekeningnummers en saldi nu te weten krijg ik geen antwoord.
Wat denken jullie?

In ieder geval heel erg uitkijken als je een PSD2-verzoek krijgt...

https://www.consumentenbond.nl/betaalrekening/psd2
31-12-2018, 09:41 door Anoniem
Door Anoniem:
Saldo: Is onderdeel van de pagina, daar zullen ze niet in kijken, immers zou dat een grove privacy schending zijn.
Als je een verbinding hebt met je bank is deze versleuteld, hoe kan dan een andere partij deze gegevens in zien.
Het is een versleutelde verbinding, de webbrowser ontsleutelt en versleutelt die gegevens bij ontvangst en verzending en verwerkt ze op jouw computer in onversleutelde vorm. Als dat niet zo was zou een webbrowser geen https-site aan je kunnen presenteren.

Daarmee zijn fabrikanten van webbrowsers in beginsel in staat om die gegevens af te tappen, hun programma heeft ze gewoon open en bloot voorhanden. Of ze dat ook werkelijk doen is een ander verhaal.

Google is een grote dataverzamelaar, maar tegelijkertijd is de basis van hun browser (Chromium) open source en als op dat niveau kwalijke dingen zouden gebeuren zouden ze een risico lopen door de mand te vallen. En ze lopen ook het risico dat er ergens op de wereld iemand een analyse maakt van de verschillen in dataverkeer tussen Chromium en Chrome en alle debugtools die op verschillende platforms beschikbaar zijn inzet om een idee te krijgen van wat die verschillen verklaart, en als daar dingen uitkomen die het daglicht niet kunnen verdragen levert dat ook meteen een klap op voor Google's reputatie en onder de GDPR een risico op serieus hoge boetes.

Dat levert beslist geen garantie op dat het allemaal wel goed zit met Chrome, maar wel dat het niet zo is dat Google (of een andere softwarebedrijf) ongelimiteerd zijn gang kan gaan op computers van eindgebruikers zonder daarmee risico's te lopen die ze met de dataverwerking op hun eigen systemen veel minder lopen. Je kan op je eigen computer niet zien wat er op een server van Google gebeurt, maar (als je goed bent in dat soort low-level geneuzel) wel wat een programma van Google op je eigen systeem doet en laat. Ik vermoed dat dat een rem zet op hoeveel ellende makers van webbrowsers in hun browsers zelf verstoppen. Nogmaals: dat is een vermoeden, geen garantie.

Hoe dan ook, zelf zou ik op basis van vertrouwen in de bron eerder voor Chromium kiezen dan voor Chrome, en eerder voor Firefox dan voor Chromium (ik gebruik dan ook Firefox als mijn primaire browser).
31-12-2018, 10:46 door [Account Verwijderd]
Door Anoniem:
Door Anoniem:

Komt Google mijn bankrekeningnummers en saldi nu te weten?

Edge is van Microsoft. Je kunt dus beter de vraag stellen: weet Microsoft nu je bankrekeningnummers en saldo?

Bankrekeningnummer: zolang het niet in de URL (in je locatiebalk): waarschijnlijk niet. Als het wel in de locatiebalk staat kan het voorkomen dat ze het wel te weten komen, bijvoorbeeld als je iets aanpast (meestal worden urls wel doorgezonden aan clouddiensten, bijvoorbeeld om je een betere zoekervaring te geven).
Saldo: Is onderdeel van de pagina, daar zullen ze niet in kijken, immers zou dat een grove privacy schending zijn.

Google verdient zijn geld met het verzamelen van informatie. Volgens mij doet die dingen om aan informatie te komen die vele malen erger zijn dan wat bv Facebook doet.
Niemand wil dat weten.
Microsoft houdt zich niet in die mate bezig met het verzamelen en verkopen van informatie. Ik gebruik Chrome niet meer vanwege het verzamelen. Denk dat alles wat door je browser heen gaat ook bij Google terechtkomt. Ook bankgegevens bsn nummers enzovoort.

Zoek maar eens op bv dyson
Hele familie krijgt het produkt te zien via reclame (stond niet in de adresregel)

Microsoft is geen haar beter dan Facebook, Google, Amazon, Apple enz. Omschakelen naar Edge heeft weinig zin volgens mij. Als je meer privacy wilt stap je over op Linux.
31-12-2018, 10:52 door Anoniem
Bedankt Bitwiper voor je uitleg, dit geeft toch genoeg reden aan om over na te denken.
31-12-2018, 11:05 door Euro10000
Edge is dacht ik onveilig, dit wordt door veel beveiligings experts niet aanbevolen om te gebruiken.

En microsoft zelf gaat stoppen met edge, of beter gezegt, microsoft gaat omschakelen naar chromium, de open source browser.

Dus ik zou of firefox of chromiun gaan gebruiken, beide open source, en tav data bijhouden, zeer zeker beter.

En als je veiliger wilt internet bankieren, of minder data verspreiden(wat elke software doet wat je hebt geinstalleerd),
Zorg voor een aparte laptop/pc voor internet bankieren, installeer zo min mogelijk software, dan heb je de minste kans.
Zelf heb ik linux geïnstalleerd op een oude pc (is gratis en veiliger dan windows, en zelfs gemakkelijker te installeren tegenwoordig), pc starten, updaten, internet bankieren, uitzetten, dus bijna geen kans op virussen, en geen extra software geïnstalleerd die data verspreid.

En encryptie https van je browser is niet veilig(wel nodig), is te hacken, en je data is te bekijken, zeker door software op je pc.
Als je inlogt bijv wifi op een vreemde plaatst of bij via een bedrijfs netwerk, dan kan men hier de https encryptie afvangen, en door hun eigen encryptie erin zetten, jij merkt niks, maar ze kunnen dan alles meekijken, daarom eest nog een vpn opbouwen, dan kan men niet meer meekijken, dus als je op een vreemde plaats internet gebruikt.
Voor thuis hoef je dit dus niet te doen, of je provider zou mee aan het kijken moeten zijn.
01-01-2019, 11:50 door Anoniem
Door Euro10000:
En encryptie https van je browser is niet veilig(wel nodig), is te hacken, en je data is te bekijken, zeker door software op je pc.
Als je inlogt bijv wifi op een vreemde plaatst of bij via een bedrijfs netwerk, dan kan men hier de https encryptie afvangen, en door hun eigen encryptie erin zetten, jij merkt niks, maar ze kunnen dan alles meekijken, daarom eest nog een vpn opbouwen, dan kan men niet meer meekijken, dus als je op een vreemde plaats internet gebruikt.

Inderdaad kan malware die reeds op de PC zit in principe meekijken.

Maar waar komt toch de bullshit vandaan dat een SSL verbinding 'gewoon' onmerkbaar opengebroken kan worden ?
Als dat zou kunnen is heel SSL volkomen zinloos, en niet alleen op een 'ontrusted' wifi .

Ik zie graag je uitleg/links tegemoet hoe dat zou kunnen . Let op : sleutelwoord is _onmerkbaar_ en _zonder vreemde installatie op de PC' .
(als je eigen rootcert mag installeren , zoals bedrijven op hun eigen bedrijfspc's kunnen doen houden alle SSL garanties op).

En als je gelooft dat SSL onmerkbaar opengebroken kan worden , waarom geloof je dan dat iets dat 'VPN' niet opengebroken kan worden ?

Of waarom geloof je dan dat je geen probleem hebt met de SSL sessie vanaf het VPN endpoint naar de uiteindelijke bestemming ?

Voor thuis hoef je dit dus niet te doen, of je provider zou mee aan het kijken moeten zijn.

Ook je provider kan niet onmerkbaar je SSL sessie openbreken.
01-01-2019, 17:29 door [Account Verwijderd]
Door linux4:
Door Anoniem:
Door Anoniem:

Komt Google mijn bankrekeningnummers en saldi nu te weten?

Edge is van Microsoft. Je kunt dus beter de vraag stellen: weet Microsoft nu je bankrekeningnummers en saldo?

Bankrekeningnummer: zolang het niet in de URL (in je locatiebalk): waarschijnlijk niet. Als het wel in de locatiebalk staat kan het voorkomen dat ze het wel te weten komen, bijvoorbeeld als je iets aanpast (meestal worden urls wel doorgezonden aan clouddiensten, bijvoorbeeld om je een betere zoekervaring te geven).
Saldo: Is onderdeel van de pagina, daar zullen ze niet in kijken, immers zou dat een grove privacy schending zijn.

Google verdient zijn geld met het verzamelen van informatie. Volgens mij doet die dingen om aan informatie te komen die vele malen erger zijn dan wat bv Facebook doet.
Niemand wil dat weten.
Microsoft houdt zich niet in die mate bezig met het verzamelen en verkopen van informatie. Ik gebruik Chrome niet meer vanwege het verzamelen. Denk dat alles wat door je browser heen gaat ook bij Google terechtkomt. Ook bankgegevens bsn nummers enzovoort.

Zoek maar eens op bv dyson
Hele familie krijgt het produkt te zien via reclame (stond niet in de adresregel)

Microsoft is geen haar beter dan Facebook, Google, Amazon, Apple enz. Omschakelen naar Edge heeft weinig zin volgens mij. Als je meer privacy wilt stap je over op Linux.

Maar even een citaat uit een post vorig jaar:

And the story continues.

Dus te wijten aan Linux4 on the first fucking day of the new year begint het OS flamen weer opnieuw!

@Linux4,
Zou je a.u.b de tweede reactie in het topic https://www.security.nl/posting/592517/Security_NL+wenst+iedereen+een+gelukkig+nieuwjaar! ter harte willen nemen? ALSJEBLIEFT JA?
01-01-2019, 18:23 door [Account Verwijderd]
@Balder:

Ik reageerde op anoniem 10:46 van gisteren, met name op de zin:
Microsoft houdt zich niet in die mate bezig met het verzamelen en verkopen van informatie.

Topic starter is bezorgd om zijn/haar privacy met internet bankieren. Mijn advies is dan om (een) Linux (distro) te gebruiken, op dit moment het enige OS zonder Reclame-ID en zonder telemetrie.

Dit is een feit, geen OS flamen. Als TS geen moeite heeft met Reclame ID's en telemetrie waarbij niemand weet wat er precies doorgeseind wordt dan moet hij/zij zo'n OS gewoon gebruiken.

Als mijn reactie tegen de huisregels van security.nl is volgens jou klik dan op de abuse knop en laat de moderators er over oordelen.
02-01-2019, 11:43 door Anoniem
Wat denken jullie?
Dat jij beter geen Apple Pay of Google Wallet moet gebruiken, nu onder Europees besluit 'bankrekeningen' voor talloze partijen inzichtelijk moeten worden.
02-01-2019, 14:47 door [Account Verwijderd]
Door Anoniem:
Wat denken jullie?
Dat jij beter geen Apple Pay of Google Wallet moet gebruiken, nu onder Europees besluit 'bankrekeningen' voor talloze partijen inzichtelijk moeten worden.

Volgens mij krijgen derden pas inzicht in jouw bankrekeningen als jij daar expliciet toestemming voor geeft en heb je niet veel aan Apple Pay of Google Wallet in Nederland qua acceptatie.
Ik gebruik ABNAMRO Wallet via Android met NFC naar volle tevredenheid, het werkt overal waar je contactloos kunt betalen en de app werkt alleen als het scherm actief is. Bovendien kun je 'm zo instellen dat een pincode voor elke betaling verplicht is. Zo kunnen criminelen dus niet 25 euro ongemerkt van je pas stelen zoals dat met een bankpas met contactloos betalen wel mogelijk is. Verder kun je een beperkt aantal betalingen achter elkaar doen in het geval je even geen 4G verbinding hebt.
03-01-2019, 10:20 door Anoniem
Komt Google mijn bankrekeningnummers en saldi nu te weten krijg ik geen antwoord. Wat denken jullie?

Nee, dat komen ze niet te weten, verkeer is versleuteld. En het delen van die informatie met willekeurige IT bedrijven omdat die toevallig een browser maken is geen hobby van je bank.

In tegendeel; hoe minder anderen toegang krijgen tot al die informatie, hoe beter voor je bank - vanuit hun belang gedacht. Staat los van commercieel uitbaten van onze gegevens, maar dat heeft niets met web browsers van doen.
03-01-2019, 10:22 door Anoniem
Topic starter is bezorgd om zijn/haar privacy met internet bankieren. Mijn advies is dan om (een) Linux (distro) te gebruiken, op dit moment het enige OS zonder Reclame-ID en zonder telemetrie.

De verbinding is encrypted, en je deelt je betalingsgegevens niet met de maker van je browser *ongeacht* of je werkt onder linux, onder windows, of onder een anders OS.

Dit is een feit, geen OS flamen. Als TS geen moeite heeft met Reclame ID's en telemetrie waarbij niemand weet wat er precies doorgeseind wordt dan moet hij/zij zo'n OS gewoon gebruiken.

Je reactie heeft met de vraagstelling bar weinig te maken. Welk OS je voorkeur heeft, moet je verder geheel zelf weten ;)
03-01-2019, 13:27 door Anoniem
Je browser is precies wat die versleuteling regelt, dus die weet alles wat jij ziet en kan dit theoretisch naar Google sturen. Maar dat zullen ze niet doen, dan zijn ze hun browser aandeel grotendeels kwijt. En de data die ze graag willen krijgen ze wel zonder zulke extreme acties.

Klinkklare onzin, je kan je beter nog even verdiepen in hoe end-2-end encryptie werkt.
03-01-2019, 14:10 door -karma4
Door Anoniem:
Je browser is precies wat die versleuteling regelt, dus die weet alles wat jij ziet en kan dit theoretisch naar Google sturen. Maar dat zullen ze niet doen, dan zijn ze hun browser aandeel grotendeels kwijt. En de data die ze graag willen krijgen ze wel zonder zulke extreme acties.

Klinkklare onzin, je kan je beter nog even verdiepen in hoe end-2-end encryptie werkt.

En jij kan beter zelf eens gaan nadenken. De browser (+ browser extensions) kunnen namelijk overal (bijna overal) bij. Ze kunnen dus de paginainhoud zien die de browser rendert en wat de gebruiker in bv. een form intikt. Daar helpt geen end-to-end-encryption tegen want de browser (+ extensions) is een van die uiteinden in dat 'end-to-end'.

https://bdtechtalks.com/2018/06/25/chrome-extension-safety-privacy-security/

Chrome extensions are small plugin apps that reside within your browser. Therefore, they could potentially have full access to all your data in your browser, such as the websites you visit, the content of these websites, what you enter in forms (e.g. passwords), and more.
03-01-2019, 17:00 door Anoniem
Door Anoniem:
Door Anoniem: Nee, dat komt Google niet te weten.

Weet je het zeker?
Ing weet het niet . 3 keer gevraagd en geen antwoord.
Omdat ING niet dit soort uitspraken gaat doen over software die ze niet zelf ontwikkeld hebben, bijvoorbeeld omdat ze zich daarmee een hele sloot aan juridische problemen op de hals kunnen halen.

En Chrome is gebaseerd op open source software die door heel erg veel mensen bekeken is. Edge is closed-source. Als je bang bent voor Chrome, zou je panisch moeten zijn voor Edge.

Lang verhaal kort: non-issue. Als je dit echt zo'n probleem vindt, ga dan naar een andere bank.
03-01-2019, 19:43 door Anoniem
Als het te lastig is om zelf Google Chrome voor betere pricacy te configureren, zou je voor deze privacy vriendelijkere Chrome browser gebaseerde alternatieven kunnen kiezen:

1. SRWare Iron (https://www.srware.net/en/software_srware_iron_download.php)
2. Comodo Dragon Browser (https://www.comodo.com/home/browsers-toolbars/internet-products.php)
03-01-2019, 19:51 door Anoniem
Door Anoniem: Nee, dat komt Google niet te weten.

Google is mijn vriendin. Susan Wociki weet het alleen nog niet. ?? Ze zal wel schrikken 's ochtends als ze mij ziet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.