/dev/null
- Overig
Wie is kampioen cookiemonster?
27-10-2019, 20:56 door [Account Verwijderd], 11 reacties
Met knikkende knieën in uMatrix en uBlock origin het domein Bol.com eens helemaal tijdelijk gewhitelist en met 24 stuks is die dikke Bollie bij mij de kampioen cookiemonster van 27 oktober 2019.
Kreeg toen tussendoor ook nog een XSS waarschuwing voor go-impulse en Bolledotcom.
Als ik zou inloggen kwam er nog wat te knabbelen bij vermoedde ik maar vanwege die XSS waarschuwing durfde ik dat niet meer aan.
Zouden er nog grotere monsters zijn ? (Mjam..mjam..grauw)
Kreeg toen tussendoor ook nog een XSS waarschuwing voor go-impulse en Bolledotcom.
Als ik zou inloggen kwam er nog wat te knabbelen bij vermoedde ik maar vanwege die XSS waarschuwing durfde ik dat niet meer aan.
Zouden er nog grotere monsters zijn ? (Mjam..mjam..grauw)
Reacties (11)
Dit bevestigt je verhaal: https://webcookies.org/cookies/bol.com/1318019
De re-scan: https://webcookies.org/cookies/bol.com/1318019?414131
Opvallend is het ontbreken van een CSP (content security policy) en het uitvoeren van inlined untrusted scripts.
Er zullen vast nog wel ergere gevallen zijn met een -6 score bijvoorbeeld en bol.com komt weg met een B-score.
Privacy & security, twee begrippen die werkelijk verschrikkelijk bedreigd worden.
#sockpuppet
De re-scan: https://webcookies.org/cookies/bol.com/1318019?414131
Opvallend is het ontbreken van een CSP (content security policy) en het uitvoeren van inlined untrusted scripts.
Er zullen vast nog wel ergere gevallen zijn met een -6 score bijvoorbeeld en bol.com komt weg met een B-score.
Privacy & security, twee begrippen die werkelijk verschrikkelijk bedreigd worden.
#sockpuppet
Ja hoor, die zijn er zat. Installeer AdNauseam maar eens en wees verwonderd.
https://adnauseam.io/
https://adnauseam.io/
Kijk kier eens en lach om die 24 schamele cookies. https://webcookies.org/number-of-cookies
Of via: https://webbkoll.dataskydd.net/en/results?url=http%3A%2F%2Fbol.com
Bedenk dat elk domein dat cookies plaatst aan de serverkant een database kan hebben met alles wat ze van jou willen opslaan; dan is er maar één cookie met een sleutel nodig om alles terug te halen wat een andere site in tientallen of honderden cookies door je browser laten onthouden. Het aantal cookies dat je in je browser ziet zegt dus niets, behalve als dat aantal 0 is.
Wat bol.com voor dingen met cookies doet beschrijven ze in meer detail dan je aan aantallen of aan cryptische cookie-waarden kan aflezen op deze pagina:
https://www.bol.com/nl/m/cookiebeleid/
Wat bol.com voor dingen met cookies doet beschrijven ze in meer detail dan je aan aantallen of aan cryptische cookie-waarden kan aflezen op deze pagina:
https://www.bol.com/nl/m/cookiebeleid/
Door Wilbert Wintergaard: Met knikkende knieën in uMatrix en uBlock origin het domein Bol.com eens helemaal tijdelijk gewhitelist en met 24 stuks is die dikke Bollie bij mij de kampioen cookiemonster van 27 oktober 2019.
Kreeg toen tussendoor ook nog een XSS waarschuwing voor go-impulse en Bolledotcom.
Als ik zou inloggen kwam er nog wat te knabbelen bij vermoedde ik maar vanwege die XSS waarschuwing durfde ik dat niet meer aan.
Zouden er nog grotere monsters zijn ? (Mjam..mjam..grauw)
Kreeg toen tussendoor ook nog een XSS waarschuwing voor go-impulse en Bolledotcom.
Als ik zou inloggen kwam er nog wat te knabbelen bij vermoedde ik maar vanwege die XSS waarschuwing durfde ik dat niet meer aan.
Zouden er nog grotere monsters zijn ? (Mjam..mjam..grauw)
Ik heb een keer de bol.com app geinstalleerd op mijn iPhone. Na wat netwerk monitoring zag ik dat de app steeds een verbinding met bol wilde opzetten, kan natuurlijk. Echter na het verwijderen van de app bleef mijn iPhone contact zoeken met www.test2.bol.com en www.acc2.bol.com en dat is natuurlijk niet goed. Nou weet ik niet meer of het uitzetten en weer opstarten van mijn telefoon de oplossing was maar helemaal voor de hand lag het niet.
Mijn getroffen maatregelen:
Plugins in Firefox:
Random Agent Spoofer
uBlock origin
Cookie Auto Delete
No script
VPN (NordVPN in mijn geval)
Little Snitch
Een uitgaande firewall op applicatie niveau, ik kan dus per applicatie aangeven wat er wel en wat er niet uit mag.
Plugins in Firefox:
Random Agent Spoofer
uBlock origin
Cookie Auto Delete
No script
VPN (NordVPN in mijn geval)
Little Snitch
Een uitgaande firewall op applicatie niveau, ik kan dus per applicatie aangeven wat er wel en wat er niet uit mag.
Ik heb alles eraf gefl****ert, het keuze vakje 'blokkeer alle cookies' aangevinkt en een herstart gedaan.
Op Startpage.com na slechts E.J.Bron bezocht (wordpress) en 34 (vierendertig) cookies binnen gehengeld.
Gisteren geprobeerd om HLN.nl te openen, ging niet vanwege het blokkeren van alle cookies. Lijst nagekeken en hij staat er gewoon tussen!
Dus 1. bij instellingen geen cookies accepteren, 2. Op de pagina zelf cookies accepteren aanklikken en dan 'ERROR' vanwege punt 1, vervolgens kijken in de lijst en dan staat 'ie er doodleuk tussen (al die andere cookies die er eigenlijk, vanwege punt 1, óók niet hadden kunnen zijn).
Schijnbaar leg je enkel jezelf een beperking op wanneer je 'weiger alle cookies' aanvinkt. Je komt niet meer die site openen maar krijgt wel die cookies geïnstalleerd!
Op Startpage.com na slechts E.J.Bron bezocht (wordpress) en 34 (vierendertig) cookies binnen gehengeld.
Gisteren geprobeerd om HLN.nl te openen, ging niet vanwege het blokkeren van alle cookies. Lijst nagekeken en hij staat er gewoon tussen!
Dus 1. bij instellingen geen cookies accepteren, 2. Op de pagina zelf cookies accepteren aanklikken en dan 'ERROR' vanwege punt 1, vervolgens kijken in de lijst en dan staat 'ie er doodleuk tussen (al die andere cookies die er eigenlijk, vanwege punt 1, óók niet hadden kunnen zijn).
Schijnbaar leg je enkel jezelf een beperking op wanneer je 'weiger alle cookies' aanvinkt. Je komt niet meer die site openen maar krijgt wel die cookies geïnstalleerd!
Door Wilbert Wintergaard: Met knikkende knieën in uMatrix en uBlock origin het domein Bol.com eens helemaal tijdelijk gewhitelist en met 24 stuks is die dikke Bollie bij mij de kampioen cookiemonster van 27 oktober 2019.
Kreeg toen tussendoor ook nog een XSS waarschuwing voor go-impulse en Bolledotcom.
Als ik zou inloggen kwam er nog wat te knabbelen bij vermoedde ik maar vanwege die XSS waarschuwing durfde ik dat niet meer aan.
Zouden er nog grotere monsters zijn ? (Mjam..mjam..grauw)
Kreeg toen tussendoor ook nog een XSS waarschuwing voor go-impulse en Bolledotcom.
Als ik zou inloggen kwam er nog wat te knabbelen bij vermoedde ik maar vanwege die XSS waarschuwing durfde ik dat niet meer aan.
Zouden er nog grotere monsters zijn ? (Mjam..mjam..grauw)
Kijk eens op de Telegraaf.
Door Anoniem:
Kijk eens op de Telegraaf.
Door Wilbert Wintergaard: Met knikkende knieën in uMatrix en uBlock origin het domein Bol.com eens helemaal tijdelijk gewhitelist en met 24 stuks is die dikke Bollie bij mij de kampioen cookiemonster van 27 oktober 2019.
Kreeg toen tussendoor ook nog een XSS waarschuwing voor go-impulse en Bolledotcom.
Als ik zou inloggen kwam er nog wat te knabbelen bij vermoedde ik maar vanwege die XSS waarschuwing durfde ik dat niet meer aan.
Zouden er nog grotere monsters zijn ? (Mjam..mjam..grauw)
Kreeg toen tussendoor ook nog een XSS waarschuwing voor go-impulse en Bolledotcom.
Als ik zou inloggen kwam er nog wat te knabbelen bij vermoedde ik maar vanwege die XSS waarschuwing durfde ik dat niet meer aan.
Zouden er nog grotere monsters zijn ? (Mjam..mjam..grauw)
Kijk eens op de Telegraaf.
De Telegraaf kun je misschien zelfs beter blacklisten.
Een reactie op 20-09-2019, 17:56 door Anoniem, hier: https://www.security.nl/posting/624961/Telegraaf+schakelt+niet-gekoppeld-volgen+uit, maakt zelfs gewag van het hosten van een Browser Hijacker: sdk.privacy-center.org
Later vond ik dat terug in de pagina-bron van Telegraaf.nl:
<!DOCTYPE html><html lang="nl">
<head>
<meta name="viewport" content="width=device-width,initial-scale=1,minimum-scale=1" />
<title>Het laatste nieuws uit Nederland leest u op Telegraaf.nl</title>
<script type="text/javascript">window.gdprAppliesGlobally=true;
(function(){function n(){if(!window.frames.__cmpLocator){if(document.body&&document.body.firstChild){var e=document.body;var t=document.createElement("iframe");t.style.display="none";t.name="__cmpLocator";t.title="cmpLocator";e.insertBefore(t,e.firstChild)}else{setTimeout(n,5)}}}function e(e,t,n){if(typeof n!=="function"){return}
if(!window.__cmpBuffer){window.__cmpBuffer=[]}if(e==="ping"){n({gdprAppliesGlobally:window.gdprAppliesGlobally,cmpLoaded:false},true)}else{window.__cmpBuffer.push({command:e,parameter:t,callback:n})}}e.stub=true;function t(r){if(!window.__cmp||window.__cmp.stub!==true){return}if(!r.data){return}var a=typeof r.data==="string";var e;try{e=a?JSON.parse(r.data):r.data}catch(t){return}if(e.__cmpCall){var o=e.__cmpCall;window.__cmp(o.command,o.parameter,function(e,t){var n={__cmpReturn:{returnValue:e,success:t,callId:o.callId}};r.source.postMessage(a?JSON.stringify(n):n,"*")})}}if(typeof window.__cmp!=="function"){window.__cmp=e;if(window.addEventListener){window.addEventListener("message",t,false)}else{window.attachEvent("onmessage",t)}}n()})();(function(e){var t=document.createElement("script");t.id="spcloader";t.type="text/javascript";t.async=true;t.src="https://sdk.privacy-center.org/"+e+"/loader.js?target="+document.location.hostname;t.charset="utf-8";var n=document.getElementsByTagName("script")[0];
n.parentNode.insertBefore(t,n)})("11ef8ac9-6270-4d5e-8b99-8d6a5bd60059");</script>
<script type="text/javascript">
window.didomiEventListeners = window.didomiEventListeners || [];
window.didomiEventListeners.push({
event: 'notice.clickagree',
listener: function () {
window.location.reload();
}
});
window.didomiEventListeners.push({
event: 'preferences.clickagreetoall',
listener: function () {
window.location.reload();
}
});
</script>
</head>
<body>
</body></html>
Door Wilbert Wintergaard: De Telegraaf kun je misschien zelfs beter blacklisten.
Dat is hier niet nodig, telegraaf heeft zichzelf al 'ge"white"list'. Bij het openen van de site volgt enkel een blanke pagina, in de urlbalk staat dan letterlijk "https://www.telegraaf.nl/cookiewall?returnTo=/".Sites blacklisten kan heel eenvoudig (als ik het kan..) met uMatrix. 1. open site (hint: offline kan ook) 2. klik * 3. maak url, bijv. telegraaf.nl (donker)rood. 3. klik slotje.
Nu heb je a. telegraaf.nl geblokt en b. geen één site (via xhr o.i.d.) kan verbinding maken met telegraaf.nl.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.