Privacy - Wat niemand over je mag weten

digid.werk.nl wil veel delen met anderen

24-06-2020, 19:54 door Anoniem, 27 reacties
Helaas moet ik regelmatig op werk.nl zijn en moet ik inloggen via Digid. Dat gaat goed en als ik op de pagina digid.werk.nl zie ik kort de pagina en dan krijg in een flits te zien en dan is die weg en krijg een foutpagina te zien van werk.nl (404).

Nu gebruik ik NoScript en uBlock Origin en pas na het uitschakelen van NoScript kan ik wat doen.

De domeinen die aangeroepen worden op digid.werk.nl zijn:

werk.nl
digid.werk.nl
akamaiedge.net
google.com
ipify.org
optimizely.com
prisma-it.com
qubit.com
usabilla.com
uwv.nl
wt-eu02.net
youtube.com
ytimg.com (twitter)

Dat zijn wel erg veel domeinen voor een pagina die toch best wel prive is.
Reacties (27)
24-06-2020, 21:58 door johanw - Bijgewerkt: 24-06-2020, 21:58
In plaats van NoScript, dat heel veel pagina's kapot maakt, kun je ook de ongewenste domeinen zelf blokkeren.
24-06-2020, 22:15 door Anoniem
Heh, grote faalfabriek UWV, verkoopt je gelijk uit aan google en wie er verder nog maar de data wil hebben.

Ik heb nog steeds geen digid en wil dat ook zo houden. Als dat betekent dat ik dus niet bij werk.nl kan en dus maar de rest van m'n leven in de bijstand blijf steken... mischien moet ik de overheid maar aanklagen voor gemiste carrierekansen ofzo.
24-06-2020, 22:16 door Anoniem
Ik zag het ook, maar na een keer proberen blijft het laden van ongewenste domeinen achterwege. Heel vreemd.

Het is niet IP afhankelijk, en ook niet browserafhankelijk, en ook niet afhankelijk van de aanwezigheid van uBlock of F12 monitoring. Ofwel het was een eenmalig iets, ofwel het wordt maar 1 keer gedaan bij een onbekende browser. Dat zou betekenen dat fingerprinting wordt toegepast.
24-06-2020, 22:21 door Anoniem
Website bevat spyware, zou je niet moeten gebruiken. Je kunt het melden, helaas begrijpen ze dit niet. Laat staan dat ze er open voor staan. Komt veel voor dat site eigenaren computer lak hebben aan jouw privacy. Helaas kent Nederland geen instantie waar het zinvol is om dit te melden.

In plaats van NoScript kun je uMatrix gebruiken. Mijn inziens beter en makkelijker in gebruik. Gaat ook niet altijd goed, oorzaak daarvan kan ook de browser zelf zijn.
24-06-2020, 22:54 door Anoniem
Zeer geachte OP van 19:54 heden,

Lijkt me ook niet zo veilig als je daar steeds maar moet inloggen, gezien deze scanresultaten:
https://webcookies.org/cookies/l/30657118?239965

Potentieel onveilige links: https://digid.werk.nl/werkzoekenden/assets/js/jquery-3.3.1.min.js
en pas ook op voor dit fingerprinter en tracker script https://tag.uwv.nl/opentag-121207-werktwnlangularprod.js

Volgens bovengenoemde privacy- en kwetsbaarheid-scanner kan deze site wel wat veiliger worden ingericht.
Goed dat je er aandacht voor vroeg en kaart het maarr aan.

luntrus
24-06-2020, 23:36 door Anoniem
Hier "Vandaag, 22:16 door Anoniem" nog een keer.

Ik zie diverse veiligheid- en privacyproblemen:

2 cookies worden al geplaatst voordat er toestemming is gegeven. 1 cookie is van digid.werk.nl, 1 is van optimzely.com. Je mag geen cookies plaatsen zonder toestemming. Het cookie van digid.werk.nl heeft geen SameSite flag.

De site gebruikt een verouderde jQuery 3.3.1, en daarin zitten ten minste 3 beveiligingslekken. De laatste versie is 3.5.1.
Lekken: CVE-2020-11022, CVE-2019-11358, CVE-2020-11023. 2 daarvan zijn Cross-Site-Scripting kwetsbaarheden.

De volgende veiligheidsheaders ontbreken: Content-Security-Policy, Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, Expect-CT, Feature-Policy. Vooral de Content-Security-Policy header is belangrijk.

Een Web Application Firewall is niet aangetroffen.

De werk.nl draait zichtbaar Oracle WebLogic Server/Fusion Server en gebruikt Oracle Access Manager voor logins.

De site laadt ongevraagd een groot aantal tracking domeinen van Amerikaanse bedrijven. Zichtbaar zijn Amazon gerelateerde headers. De opslag van die gegevens vind mogelijk plaats buiten de EU en dus buiten zicht van de GDPR autoriteiten.
25-06-2020, 06:24 door Anoniem
Ik gebruik uMatrix, ingesteld om standaard alles behalve scripts van een domein toe te laten, en niets van andere domeinen dan dat van de geladen webpagina zelf.

Als ik daarmee digid.werk.nl laad zie ik alleen dit verschijnen:

werk.nl
digid.werk.nl (4 scripts geblokkeerd)

uwv.nl
tag.uwv.nl (1 script geblokkeerd)

Als ik de scripts van digid.werk.nl deblokkeer en de pagina herlaad komen er geen domeinen bij. Als ik in plaats daarvan het script van tag.uwv.nl deblokkeer en de pagina herlaad komt er wel het nodige bij. Niet precies het genoemde rijtje, maar youtube, ipify, optimizely en wt-eu02 staan erbij. Andere domeinen komen ongetwijfeld weer tevoorschijn als die worden gedeblokkeerd, ytimg bijvoorbeeld hoort bij youtube.

Wat hier gebeurt is dat een heleboel van die domeinen niet rechtstreeks vanuit door webservers aangeleverde HTML worden toegevoegd maar client-side vanuit JavaScript, en dat levert een kettingreactie op omdat toevoegingen weer meer toevoegen via JavaScript. Dat sneeuwballetje begint hier te rollen met tag.uwv.nl, terwijl digid.werk.nl zelf niets anders dan tag.uwv.nl toevoegt. Vermoedelijk heb je een werkende website zonder toegevoegde ellende als je alleen tag.uwv.nl blokkeert. De subdomeinnaam "tag" spreekt trouwens boekdelen.

Anoniem van gisteren 22:21 raadde al aan uMatrix te gebruiken. Probeer dat inderdaad eens, je kan dingen behoorlijk fijnmazig toestaan of blokkeren op een manier die makkelijk inzicht geeft in wat een website nodig heeft om wel te werken zonder teveel troep mee te slepen. Toen ik ermee begon (als vervanger voor NoScript) had ik even een gewenningsperiode nodig waarin de muntjes vielen van hoe het eigenlijk werkt, maar als je daar doorheen bent blinkt het uit in duidelijkheid.
25-06-2020, 08:15 door Bitje-scheef
UWV en een behoorlijk systeem.... zucht. Nee die hoop heb ik allang opgegeven.
Ja het is zeker complex en er is ook zeker vooruitgang in een heleboel zaken, maar veelvuldig kwijt zijn van (ook via de website) opgestuurde documenten en gewoon het simpel resetten van je gedane sollicitaties, vervolgens het verwijt krijgen dat je niet genoeg solliciteert.

Uitval van het systeem, waardoor alles dus opnieuw moet worden ingevoerd. Krijg je een bericht op de website (wel een week later).

Workflow binnen het systeem wat hapert, dus beoordelingen van statussen op diverse onderdelen wat hangt. Hierdoor mensen gewoon geen uitkering krijgen. Ja jammer dan, wordt gecorrigeerd in de volgende betaalronde. Maar ondertussen komen de rekeningen gewoon binnen.

Nee, ondankbaar systeem in een moeilijke organisatie.
25-06-2020, 09:07 door Anoniem
Door Anoniem: Heh, grote faalfabriek UWV, verkoopt je gelijk uit aan google en wie er verder nog maar de data wil hebben.

Ik heb nog steeds geen digid en wil dat ook zo houden. Als dat betekent dat ik dus niet bij werk.nl kan en dus maar de rest van m'n leven in de bijstand blijf steken... mischien moet ik de overheid maar aanklagen voor gemiste carrierekansen ofzo.

Helaas pindakaas. Als jij bijstand nodig hebt dan is één van de voorwaarden dat je bent ingescheven als werkzoekende. Je moet dan eens in de zoveel maanden inloggen bij werk.nl om jouw CV te verlengen.
25-06-2020, 09:15 door Anoniem
Door johanw: In plaats van NoScript, dat heel veel pagina's kapot maakt, kun je ook de ongewenste domeinen zelf blokkeren.

Doe ik ook, maar het voordeel va NoScript is dat ik specifiek wel kan toestaan voor bepaalde domeinen. Ik ook specifiek aangeven per domein en/of sub-domein wat ik wel toesta of niet.

De volgende elementen kan aan of uitzetten: script, media, object, frame, webgl, font, fetch, ping

Mijn lagen: NoScript, uBlock Origin, Pihole, IP-address lists firewall.
25-06-2020, 10:20 door Anoniem
Webbkoll geeft het volgende: https://webbkoll.dataskydd.net/en/results?url=http%3A%2F%2Fwerk.nl
25-06-2020, 10:21 door Anoniem
Door Anoniem:
Door Anoniem: Heh, grote faalfabriek UWV, verkoopt je gelijk uit aan google en wie er verder nog maar de data wil hebben.

Ik heb nog steeds geen digid en wil dat ook zo houden. Als dat betekent dat ik dus niet bij werk.nl kan en dus maar de rest van m'n leven in de bijstand blijf steken... mischien moet ik de overheid maar aanklagen voor gemiste carrierekansen ofzo.
Helaas pindakaas. Als jij bijstand nodig hebt dan is één van de voorwaarden dat je bent ingescheven als werkzoekende. Je moet dan eens in de zoveel maanden inloggen bij werk.nl om jouw CV te verlengen.
Voorlopig nog niet*. En volgens mij ging dat over WW, niet over bijstand. Maarre... ook dan weet de gemeente dat ik alles per papier doe en als werk.nl niet per papier kan gebeurt het dus niet. Op dit punt is de burger nog altijd degene die de dienst uitmaakt. Dus als dat een voorwaarde is dan zorgen ze maar dat die voorwaarde aan mijn voorwaarde voldoet, en per papier beschikbaar is. Al mijn interactie met de overheid gaat via papier, dus dit ook.

Dat ik een van de weinigen ben die daar op mijn strepen staat, ach, ik denk dat meer mensen dat zouden moeten doen. Een van de dingen van alles wat "de digitaal" ons gebracht heeft is zoveel mogelijkheden dat we keuzes moeten maken over hoe we al die mogelijkheden willen gebruiken. Als burgers, niet als organisaties die voor het eigen gemak de burger als een trekpop laten dansen. Ik laat mij niet als een trekpop gebruiken. Iedereen die "dan maar" toegeeft en gedwongen meedoet, zichzelf onderwijl vertellende dat regelmatig inloggen om de computer tevreden te houden toch heus wel beter is dan al dat vervelende papier, kennelijk wel.

* Zowel de voorhistorie als de huidige situatie maken dat meer dan redelijk.
25-06-2020, 13:30 door Anoniem
Door Anoniem: Hier "Vandaag, 22:16 door Anoniem" nog een keer.

Ik zie diverse veiligheid- en privacyproblemen:

2 cookies worden al geplaatst voordat er toestemming is gegeven. 1 cookie is van digid.werk.nl, 1 is van optimzely.com. Je mag geen cookies plaatsen zonder toestemming. Het cookie van digid.werk.nl heeft geen SameSite flag.

Er mogen zeker wel cookies geplaatst worden zonder toestemming, echter daar heeft AP voorwaarden aan gesteld.
Zoek maar op, ik gok dat je zelf met google oid overweg kunt.
25-06-2020, 13:39 door Anoniem
Gewaardeerde OP,

Even gekeken naar https://tag.uwv.nl/opentag-121207-werktwnlangularprod.js.
Komt van
/*
* Opentag, a tag deployment platform
(een procesverwerking & reductie streamlining software DASH7 mode 2 device protocol - dashboard)
* Copyright 2011-2016, Qubit Group (concurrent van Adobe systems e.a.).
* http://opentag.qubitproducts.com
*/
en gaat via <h1>webphp</h1> naar https://www.googletagmanager.com/gtag/js?id=UA-108699386-3
webphp steekwoorden -> CodeMommy -> e-money platform

Onderdeel dus van het grote Big Tech tracking-surveillance plaatje en alles wat eromheen hangt.
Zij willen alles van jou weten netjes op 1 plek, maar dat geldt weer niet andersom.

Blijf wakker,

luntrus
25-06-2020, 14:29 door Anoniem
Het uwv op de schop,een naamsverandering en de bijstand afschaffen,
het systeem deugt niet en is oneerlijk.

Basis-inkomen voor iedereen.

Geen strenge ambtenaren die het beleid uitvoeren met de regels
van het strenge participatie-beleid regime 2015.

Niemand dwingen,en vernederen,en korten en boetes geven is dan niet meer nodig,
(slavernij-systeem).

Je hebt het recht om bijstand aan te vragen,met de hoop dat je het krijgt
maar het behouden is geen recht.

Het behouden is een ziekmakende/stress-periode voor velen burgers en een voortdurende strijd tussen
de klant en de bijstands-ambtenaar.

Vele komen er gebroken vanaf als ze er ooit
vanaf komen,(stress,ziekmakende druk),wat is de winst (geen) wellicht voor de bijstandsambtenaar.

Ex-client
25-06-2020, 16:15 door Anoniem
Door Anoniem:2 cookies worden al geplaatst voordat er toestemming is gegeven. 1 cookie is van digid.werk.nl, 1 is van optimzely.com. Je mag geen cookies plaatsen zonder toestemming. Het cookie van digid.werk.nl heeft geen SameSite flag.

Er mogen zeker wel cookies geplaatst worden zonder toestemming, echter daar heeft AP voorwaarden aan gesteld.
Zoek maar op, ik gok dat je zelf met google oid overweg kunt.

Het optimizely cookie mag niet zonder toestemming. De data wordt gebruikt voor het volgen van gedrag van specifieke personen (ID). Er moet vooraf toestemming worden gevraagd en dat gebeurde niet.

Ik heb persoonlijk veel minder moeite met een functioneel original domain cookie (mits alleen gebruikt voor inloggen), maar ook dat cookie was niet noodzakelijk op dit punt, want er is geen sprake van inloggen.
25-06-2020, 16:20 door Anoniem
Door Anoniem:De werk.nl draait zichtbaar Oracle WebLogic Server/Fusion Server en gebruikt Oracle Access Manager voor logins.
Ah, Oracle, dat verklaart veel.
Het budget voor de komende jaren is al opgegaan aan betalingen aan Oracle. Daarom kan er niet geupdate worden.
25-06-2020, 17:56 door Anoniem
Je kunt je afmelden voor digid. Wist je dat?
25-06-2020, 19:12 door Anoniem
Ik heb in 2019 helaas een paar maanden zonder werk gezeten en ik was verdomd blij dat het UWV er voor me was. Alles verliep keurig en ik kon gewoon mijn vaste lasten betalen tot de dag dat ik een nieuwe werkgever vond.
26-06-2020, 09:44 door Anoniem
Door Anoniem: Ik heb in 2019 helaas een paar maanden zonder werk gezeten en ik was verdomd blij dat het UWV er voor me was. Alles verliep keurig en ik kon gewoon mijn vaste lasten betalen tot de dag dat ik een nieuwe werkgever vond.
Dus dat betekent dat ze in jouw ogen helemaal nooit iets verkeerd kunnen doen?

Miljardjes versplillen, politiek voorliegen, data van alle verplicht ingeschrevenen uitverkopen aan Amerikaanse bedrijven, het maakt niet uit, ze hebben je een paar maandjes uitkering gegeven en dus mogen ze alles?
26-06-2020, 10:16 door Open source gebruiker
Door Anoniem:
Door Anoniem: Ik heb in 2019 helaas een paar maanden zonder werk gezeten en ik was verdomd blij dat het UWV er voor me was. Alles verliep keurig en ik kon gewoon mijn vaste lasten betalen tot de dag dat ik een nieuwe werkgever vond.
Dus dat betekent dat ze in jouw ogen helemaal nooit iets verkeerd kunnen doen?

Miljardjes versplillen, politiek voorliegen, data van alle verplicht ingeschrevenen uitverkopen aan Amerikaanse bedrijven, het maakt niet uit, ze hebben je een paar maandjes uitkering gegeven en dus mogen ze alles?

Uitkering die je uiteindelijk zelf hebt opgebracht door premie te betalen voor ww, etc toen je wel werk had.
Een sigaar uit eigen doos.
26-06-2020, 12:34 door Anoniem
Lieve mensen,

Laten we on-topic blijven. Het is natuurlijk te hopen (misschien wel tegen beter weten in) dat zo weinig mogelijk mensen hier behoeven in te loggen in de komende tijden vanwege de ongetwijfeld bijzonder barre gevolgen van de COVID-19-Corona episode.

Het zou echter fijn zijn als iemand lering trok uit het hierboven aangekaarte. Dat het meegenomen werd in casus-gevallen in toetsen voor IT- en SO-opleidingen. Dat iemand boven en op de werkvloer er lering uit trok of iets wijzigde in goede zin.

Wanneer gaan we help-desk personeel en technische IT opleiden met oog voor deze commercieel al compleet verziekte structuren ( de gevolgen van de "overspil"l van het facebook, Google, Amazon, Alibaba-dominantie-geweld in onze maatschappij?) - Wanneer keert het "gezonde verstand, een beetje eerlijkheid en "best policies" terug?

Hieruit blijkt hoe gevaarlijk het wordt als Oracle-dozenschuivers geholpen door niet-security-bewuste managers en directeuren-generaal de dienst gaan uitmaken in onze maatschappij. Later komen de cybercriminele gevolgen van dit alles aan het licht (ja denk ook aan de data-breach van het overgehouden geld niet doorgaat, verandert er naks.

Je moet vooral je ambtenaren, personeel en de gebruikers van je diensten dom en onmondig houden. Hou toch op.
Al alleen daarom krijgt een politicus als een Omzigt nergens een platform of enig gehoor. Dan geeft men niet thuis.
Vroeger al rookte men er geen dikke sigaar minder om.

Jodocus Oyevaer
26-06-2020, 14:53 door Anoniem
al die webdiensten die ze aanroepen terwijl het ook anders kan en ook wel zou moeten.
Wat doen ze met advertentie-platforms terwijl ze zelf al in verkapte vorm een advertentie platform voor vacatures zijn.
Dat is oneingelijke aanwending van een overheid website.
27-06-2020, 17:11 door Anoniem
Het heeft allemaal geen nut deze flauwekul. Elk bedrijf ziet "Facebook is het internet" en "Google is het internet". Er zijn geen alternatieven meer dus waarom er nog tegen vechten? Een unix servertje opzetten is straks verleden tijd. Niemand die je gaat inhuren, je brood ermee verdienen kun je dus vergeten.
27-06-2020, 19:30 door Anoniem
Door Anoniem: Het heeft allemaal geen nut deze flauwekul. Elk bedrijf ziet "Facebook is het internet" en "Google is het internet". Er zijn geen alternatieven meer dus waarom er nog tegen vechten? Een unix servertje opzetten is straks verleden tijd. Niemand die je gaat inhuren, je brood ermee verdienen kun je dus vergeten.
Dus je bent niet met de markt meegegaan?
28-06-2020, 10:35 door Anoniem
Door Anoniem:
Door Anoniem: Het heeft allemaal geen nut deze flauwekul. Elk bedrijf ziet "Facebook is het internet" en "Google is het internet". Er zijn geen alternatieven meer dus waarom er nog tegen vechten? Een unix servertje opzetten is straks verleden tijd. Niemand die je gaat inhuren, je brood ermee verdienen kun je dus vergeten.
Dus je bent niet met de markt meegegaan?

Wat vraag. Anderen doen dat voor jou. Dat zonder eerst te vragen aan diegene waarvan de persoonlijke gegevens zijn.

Die bedrijven vragen specifiek om fie informatie omdat jij het prodoct bent waar zij geld mee verdienen.
29-06-2020, 11:37 door Anoniem
Door Anoniem:
Door Anoniem:2 cookies worden al geplaatst voordat er toestemming is gegeven. 1 cookie is van digid.werk.nl, 1 is van optimzely.com. Je mag geen cookies plaatsen zonder toestemming. Het cookie van digid.werk.nl heeft geen SameSite flag.

Er mogen zeker wel cookies geplaatst worden zonder toestemming, echter daar heeft AP voorwaarden aan gesteld.
Zoek maar op, ik gok dat je zelf met google oid overweg kunt.

Het optimizely cookie mag niet zonder toestemming. De data wordt gebruikt voor het volgen van gedrag van specifieke personen (ID). Er moet vooraf toestemming worden gevraagd en dat gebeurde niet.

Ik heb persoonlijk veel minder moeite met een functioneel original domain cookie (mits alleen gebruikt voor inloggen), maar ook dat cookie was niet noodzakelijk op dit punt, want er is geen sprake van inloggen.

Dat is afhankelijk van de instellingen, net als de google cookies die onder bepaalde voorwaarden zonder instemming ook geplaatst mogen worden.
Echter moet de website beheerder kunnen aantonen ( als jij of het AP daar om vraagt ) dat ze voldoen aan die voorwaarden.

Ik ben te lui om een LMGTFY link te plaatsen, dus zoek zelf maar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.