Mijn eerste vraag zou zijn, wat heb je allemaal afgeknepen om zogenaamd veiliger te zijn. Die problemen, die jij meldt heb ik helemaal niet!

Zelf ook eens gesproken met een ING helpdesk-medewerker, ook over een issue met browser-functionaliteit.

Mijns inziens zijn deze medewerkers niet of slecht bekend met hoe om te gaan met ICT problemen.

Misschien moet je een andere ingang vinden om ICT issues bij de ING neer te leggen?

Ik herken dit probleem niet en gebruik al langere tijd de ING scanner (Windows 7/10 en Chrome/Edge).

Werkt prima met Torbrowser. Ik gebruik niks anders.

En als ze app only gaan, ga ik terug naar papier.

ING is slecht aan het worden. Domme medewerkers aan de lijn, geen service meer.

Moest een nieuw pas aanvragen. Op de site staat dat dat ook gewoon in een kantoor kan maar die stuurden me weg naar de inlogportal.

Het zal er wel rommelen in de organisatie.

Dus je kijkt op de site en vraagt dat geen pas aan? Denk je nu werkelijk, dat je op een kantoor meteen een nieuwe pas kan meenemen?

Bankieren via TOR?
Dat is alsof je gemaskerd de bank binnen komt met je ID bewijs op je vest.
Beetje tegenstrijdig en kan me niet voorstellen dat dit op enige manier in je voordeel zou werken.
Kan me zelfs voorstellen dat het nadelig is.

Als Tor voor hem/haar werkt, waarom niet?

Blijft flauw om Tor gebruikers altijd bijvoorbaat verdacht te beschouwen.

Doet mij namelijk denken aan een uitspraak van Roger Dingledine: "When you talk with government agencies about Tor as a Privacy tool, they ignore you. But when you call Tor a great tool for network traffic analysis avoidance, then you are very welcome". Het publiek in de zaal lachten de ballen uit hun broek, maar eigenlijk is het diep triest.

"Dwingt ING tot app gebruik?" + "Het volgende gaat alleen ING klanten aan" = Nee.

Beste Redactie,

Hier de topicstarter,

Zou u zo vriendelijk willen zijn dit draadje te sluiten?
Het ontspoort naar Off-topic reacties over TOR en aanvragen van passen. Allemaal zaken waar ik niet om vraag, Voor mij is dit een reden om niet meer in mijn topic te kijken of ik misschien nog relevante reacties krijg. De afbeelding heb ik bij de host: Postimages gedelete.


Hartelijk dank.

Zelf plaats je een reactie met '... met behulp van Chromium en Firefox maar ook met Opera en Chrome, die ik om testredenen ook maar had geïnstalleerd'.

Tor Browser is ook een webbrowser, weet je dit?

Jammer dat er weer allerlei reacties komen die niets met de vraagstelling te maken hebben.

Toch nog even een paar ideetjes voor de topicstarter:

- Heb je het al eens geprobeerd in een incognitovenster van je browser zonder actieve extensies?

- Je zou een nieuwe scanner kunnen aanvragen. Misschien werkt er iets niet goed, waardoor de ingevoerde code niet altijd herkend wordt.

- Je zou het kunnen proberen op een kantoor van ING. Daar staat ook een computer voor internetbankieren. Als het dan niet werkt, kunnen ze even meekijken en als het wel werkt, weet je dat het waarschijnlijk aan je computer-instellingen ligt.

Succes ermee!

Waar speelt het wel en niet?

• Wel bij Glasharmonica, niet bij anderen die tot nu toe gereageerd hebben. Dat suggereert dat er iets afwijkends bij Glasharmonica is.
• In verschillende webbrowsers, inclusief twee die om dit te testen geïnstalleerd zijn. Tenzij Glasharmonica eerst in die browsers add-ons heeft geïnstalleerd die dingen blokkeren suggereert dit dat het niet iets is dat in de browsers zelf misgaat maar daarbuiten.

Wanneer het wel en niet speelt is ook belangrijk. Er lijkt enkele weken geleden iets veranderd te zijn.

Dus, Glasharmonica:
• Gebruik je zoiets als een Pi-hole?
• Zijn er instellingen op je modem/router die invloed kunnen hebben op de toegankelijkheid van bepaalde websites?
• Gebruik je aangepaste DNS-instellingen in je besturingssysteem.
• Heb je zelf de laatste weken iets veranderd dat hier invloed op zou kunnen hebben, zoals een Pi-hole gaan gebruiken of configuratieaanpassingen in je router of de DNS-instellingen van je besturingssysteem?

Dit kan verhelderend zijn:

Open als je in ING webbankieren bezig bent op het punt vlak voordat het misgaat eens de webontwikkelaarhulpmiddelen in je browser (Firefox, Chrome, wellicht ook andere browsers) en ga daarin naar de netwerk-tab. Doe dan de interactie die misgaat. Je ziet een of meerdere HTTP-requests gelogd worden. Kijk in de kolom 'status' (die bevat HTTP-responsecodes) of alle requests zijn gelukt. Firefox vind ik duidelijker dan chrome: die gebruikt kleuren (groen als het goed ging, rood als het fout ging) en toont als je de muisaanwijzer boven de statuscode houdt een een tooltip met de betekenis van de HTTP-responsecode. Dat kan zichtbaar maken of er elementen van de pagina geblokkeerd worden, en waar de browser ze vandaan probeert te halen.

Prima advies!

Gebruik Tor Browser, dan weet je ook zeker dat je een alternatieve set van DNS responses gebruik maakt.

Om het netwerk-verkeer te zien:
Tor Browser -> Tools -> Web Developer -> Inspector -> Network

Twee suggesties

1. Start Firefox eens van een nieuwe Linux live DVD, of desnoods van een (lege) reserve harde schijf met een clean install. Bekijk daarmee of je wél zonder problemen kunt internetbankieren. Er bestaat een gerede kans dat het dan wel werkt. Dan ligt het waarschijnlijk aan hoe je zelf je Linux systeem en/of webbrowser hebt geconfigureerd. Pas op met vreemde browser add-ons. Probeer het ook eens vanaf een andere locatie, om problemen met de router uit te sluiten.

In het verleden heb ik mijzelf eens buitengesloten van mijn bank, doordat ik de beveiliging van de iptables firewall van mijn Linux systeem, Firefox en de wifi-router veel te ver had opgeschroefd. Dat was een wijze les.

2. Een te veel afwijkend kleurgamma van het beeldscherm, door een opzettelijke roodverschuiving (met Redshift, f.lux of met de ingebouwde nachtlicht stand), kan bijvoorbeeld ook problemen geven met het inlezen van de photoTAN, de gekleurde QR-code. De Rabo of ING scanner snapt het patroon dan niet. Het probleem doet zich dan periodiek 's nachts voor. Zet de nachtstand dan tijdelijk uit als je met de TAN scanner moet internetbankieren. Het scherm oogt dan blauw.

Trek je niets aan van de opmerkingen van lolbroeken over het gebruik van Tor Browser. Vele banken staan dat niet toe.

Daar je niet klaagt, dat het bedrag of de rest van de gedecoreerde informatie uit het QR veld niet klopt, ga ik ervan uit, dat jouw ING scanner en het maken van het QR veld beide in orde zijn. Op de een of andere manier is jouw browser dusdanig aangepast, dat alleen bij jou deze niet werkende knop aanwezig is. Zoek het probleem dus bij jezelf en geef niet meteen af op de ING. De helpdesk is er niet om jouw pc probleem op te lossen!

@ Anoniem van 10:19 uur,
Anoniem van 10:20 uur,

Ten eerste: dank voor jullie bijdragen!

Om te beginnen met de suggestie om een ingognitovenster te gebruiken: Daar heb ik niet aan gedacht. Goede tip!
Wel moet ik meedelen dat ik voor het domein ING.nl bij gebruik van Firefox zowel in NoScript alsook in uBlock-origin alles toesta, dus niets blokkeer.

@Anoniem, 10:20 uur, ik citeer je even in Italic en geef in Bold mijn antwoorden:

• Gebruik je zoiets als een Pi-hole?
Neen.
• Zijn er instellingen op je modem/router die invloed kunnen hebben op de toegankelijkheid van bepaalde websites?
Neen, ik heb nooit iets veranderd in de instellingen van de modem, alleen de standaard inlog veranderd in 2017.
• Gebruik je aangepaste DNS-instellingen in je besturingssysteem.
Ook als antwoord: Neen. En dat betreft de besturingssystemen Linux Mint 19.3 en 20.1 (de recentste Linux)
• Heb je zelf de laatste weken iets veranderd dat hier invloed op zou kunnen hebben, zoals een Pi-hole gaan gebruiken of configuratieaanpassingen in je router of de DNS-instellingen van je besturingssysteem?
Ook allemaal als antwoord: Neen.

Met betrekking tot je laatste suggestie: Dat heb ik allemaal nog nooit gedaan, maar ik ga mijn best doen en kom er hier dan op terug.

Nog even wat toegevoegde informatie:

Aan de scanner kan het m.i. niet liggen want anders zou ik ook dit probleem moeten hebben bij ING inlog waar ik eveneens de scanner voor nodig heb voor invoer van een 7-cijferige autorisatie. Inlog is nog nooit onmogelijk geweest door voornoemd probleem zoals bij overschrijven/betalen.

Chromium op Linux Mint 20.1 gebruik ik uitsluitend voor ING inlog en heb daarin geen browserextensies geïnstalleerd.
In Firefox (Linux Mint 19 en 20) heb ik de bescherming tegen volgen sinds een half jaar op 'streng' staan (1) maar in Chromium heb ik met opzet vanaf het begin niets veranderd aan de instellingen. Alles staat daarin op standaard/default en toch zie ik het daarin dus ook gebeuren dat autoriseren niet in eerste instantie lukt.

Voor ik naar de ING website ga herstart ik Firefox, op dat alle Cache's gewist worden.
Bij afsluiten wordt overigens ook alle geschiedenis gewist. Tijdsbereik: Altijd. (2)

In Windows 10 met Edge heb ik het getest bij een vriendin die alles automatisch laat lopen qua updates. Tot twee keer toe ging het mis, Na ongeveer een kwartier was de 'bevestig knop' wel oranje en clickable.
Bij haar viel mij ook op dat de keuzeknoppen voor de ING functies onderin het beeld zaten, bedoeld voor Smartphone gebruik heb ik zo de indruk. Bij mij zitten die ING keuzeknoppen links in beeld onder elkaar.
Zij heeft ook de ING als bank maar gebruikt de betaal-app. Het zou mooi zijn geweest als zij ook een scanner had om te testen. Dat zou een prachtige A-B vergelijking hebben opgeleverd.

Voorgenomen stappen:

* Een incognito venster testen (Firefox)
* Bescherming tegen volgen op standaard zetten (1) (Firefox)
* Starten met een vers browser window, dus geen geschiedenis (2) (Firefox)
* kijken met behulp van de Webontwikkelaar.

Zodra ik meer weet (dat kan een poos duren) kom ik hier terug!

Ik herken dit probleem ook niet net zoals anoniem gebruik ook win10 met de Edge. Ik maak best veel gebruik van
de scanner en ben geen van jou problemen tegen gekomen.

@Glasharmonica Ook al schakel je extensies uit door middel van de extensie zelf, kunnen ze toch nog zaken blokkeren (wat/wie hier de oorzaak van is weet ik niet, hoeft dus niet aan de extensie zelf te liggen). Althans dat is mijn persoonlijke ervaring.

Gebruik in Firefox de 'Probleemoplossingsmodus' en probeer het dan nog eens.

Daarnaast wist Firefox niet alle data bij het afsluiten, via CCleaner* (+CCenhancer) kun je nog meer verwijderen (let goed op wat je doet!).
(*gebruik enkel en alleen CCleaner wanneer je deze blokkeert in jouw firewall, anders is het feitelijk 'n soort spyware.)

Daarnaast geef ik het advies om meerdere browsers te gebruiken, met ieder hun eigen taak. Door beta's (verzamelnaam) van Firefox en Waterfox te gebruiken kun je zonder problemen 5 gebruiken. Andere browsers raad ik af. Zie het opstartmenu van jouw OS waarom.
Uiteraard is TOR wel een aanrader, maar niet om zaken waarbij je jouw gegevens deelt.

Daarnaast ben ik klant van de Rabobank, bij Ideal-betalingen staat de QR-code om te betalen via telefoon ook prominent in beeld, pas onderaan de pagina, veel kleineer weergegeven, kan ik voor de scanner kiezen.
Mijn inziens ook een manier om over te halen om de telefoon te gebruiken.
Ook staat na het inloggen een vrij groot (reclame-)blok dat je kunt kiezen voor een 5 cijferige code om inloggen te vergemakkelijken, neem aan ook voor mobiel gebruik. Mij wekt ook het idee dat ook de Rabobank graag klanten hun applicatie ziet gebruiken. Mij niet gezien, veel onveiliger en vooral slechter voor jouw privacy, dit laatste staat sowieso niet hoog in het vaandel bij de Rabobank.

Naast het gebruiken van een live-cd kan je ook zo met een gegarandeerd "schone" browser testen:

Maak een nieuwe user aan. In de commandline:

$ sudo adduser testuser

Log uit en log opnieuw aan met de nieuwe user ('testuser' in mijn voorbeeld). Als je dan Firefox of een andere browser start zijn er nog helemaal geen persoonlijke instelling, add-ons en dergelijke beschikbaar. Die kunnen dus ook niet (zelfs niet uitgeschakeld) invloed hebben op de werking. De add-ons en instelling van je normale user staan in je normale home-directory en daar doet een browser onder een andere user helemaal niets mee.

Als je klaar bent met je test kan je de tijdelijke testuser zo weer verwijderen:

$ sudo deluser testuser --remove-home

De optie --remove-home doet wat hij suggereert: de hele home-directory van de verwijderde user ook verwijderen. Je kan de optie weglaten als je de home-directory van testuser wilt bewaren, natuurlijk.

Gelukkig dagt die domme medewerkers van die briljante slimme klanten hebben (kuch). Verder zegt het feit dat ze je naar de inlogportal sturen meer over procedures, dan over intelligentie van een medewerker. Maar misschien is dat lastig voor domme arrogante klanten, die moeilijk gaan doen, zodra ze niet hun zin krijgen.

@Glasharmonica,
Het beeld dat je beschreef, dat herken ik,
met ING scanner en Firefox 88.0.1 op Kubuntu 20.04, probleem voor het eerst waargenomen begin vorige week, waarschijnlijk 17-5.

Bij mij werkte de ING overschrijvingsoptie na uitschakelen van Firefox' Enhanced Tracking Protection voor die ING pagina en opnieuw inloggen na één of twee keer opnieuw proberen wel.
Of mijn instellingen in Firefox' Enhanced Tracking Protection wérkelijk het probleem zijn, of dat enkel het opnieuw inloggen voldoende was, dat heb ik niet onderzocht.
Mijn Firefox privacy & security settings heb ik niet recent veranderd en gaven eerder géén probleem, dat gaf geen reden die settings te verdenken.

Ik verdacht Firefox 88.0.1, update van 11-05 op Kubuntu. De eerste dagen daarna heb ik niet geïnternetbankierd, sinds Firefox 88.01 waarschijnlijk pas sinds 17-5, en toen merkte ik dat probleem op.

Echter, gezien het feit dat jij vermeldt dat je het probleem naast met Firefox ook ziet met Chromium, Opera en Chrome op Linux Mint, en ook met Edge op Windows 10, lijkt het probleem waarschijnlijk toch bij ING te liggen, ook al hebben andere gebruikers het probleem tot op heden nog niet waargenomen.

 

Indien de bank wil dat je met de app betaalt, en niet met de scanner. Dan schaffen ze de scanner af. Vrij simpel, het is niet alsof jij als consument daar keuze in hebt. Dus af te laten zien.... mwa.

Toen de ING scanner ingevoerd werd, was dat zeker ook niet goed, omdat de voorgaande manier behouden moest worden ;)

Met andere woorden. Jullie klooien met webservers en dan is de ING schuldig, ondanks dat verder haast niemand ditzelfde probleem ervaart.

Browsers onder Windows 10 en Linux, waarbij Edge in Windows 10 in gebruik is bij een vriendin, die niets veranderd heeft of wil hebben aan haar computer? En onder Linux bij mij met Firefox en Chromium en Chrome en Opera??
De eerste getergde, gekwelde ING medewerker, of in opdracht van zijn meerderen om hier te gaan trollen heeft zich gemeld. Wie van deze trollen volgt met afleidingsmanoeuvres van de realiteit?

Wees gewoon een vent en denk mee... of houd je mond. Ik zit niet te wachten op denigrerende opmerkingen van ING medewerkers die hier de held komen uithangen omdat zij helemaal gefrustreerd zijn van de geldwolf waar zij in dienst zijn voor een dik inkomen, gefinancierd uit het verdienen van geld, MET GELD VAN MIJ, dat zij gebruiken om mee te speculeren!

Ondertussen ben ik nog geen steek verder. Ik ben het testen met een kleine betalingsopdracht van mijn rekening naar de rekening van een betrouwbare persoon op dit moment 10:15 uur helemaal zat, en dan krijg je ook nog van dit soort shit over je heen van een ING medewerker....

Ik wilde het eerder niet kenbaar maken om elke blaam van beïnvloeding door andere post hier te voorkomen, maar nu ga ik los door het lezen van de trolpost, gisteren, 12:51 door Anoniem:
Vóór ik mijn topic postte was ik al aan het zoeken geweest hier naar post over de ING scanner en stuitte op dit draadje:
https://www.security.nl/posting/610912/ING+scanner
In dat topic met bijna 250 reacties gaat het over mislukken van de aanvraag van de scanner door hetzelfde fenomeen als ik ervaar: De knop om de scanner aan te vragen was bij mensen die reageerden in dat topic niet functioneel. zoals van een reageerder in dat topic op 30-05-2019, 20:02

Door het graven in dat topic verdenk ik de ING van een ontmoedigingsbeleid waar het de ING scanner betreft!

Voor nu even rust want ik ben er stapeldol van.

@Spiff,

Dank voor je inhoudelijke reactie!
Een verademing om eindelijk van iemand te horen die het probleem óók heeft en niet botweg ontkent en mij in zekere zin als een fantast bestempelde gisteren om 12:51 uur.

Je maakt je zaak niet sterker op deze manier. Dat lamme "je zult er wel werken" als mensen het niet met je eens zijn
daar bereik je niks anders mee dan dat je niet meer serieus genomen wordt (ik heb nog niet eerder in dit topic gereageerd
dus over mij gaat dat niet).

Ik kan alleen aangeven dat ik geen problemen heb, en ik heb een paar keer geld overgemaakt de laatste weken.
Waar het aan ligt weten we niet maar het lijkt in ieder geval niet iets te zijn waar "iedereen" last van heeft.
Dus even voorzichtig zijn met de schuld 100% bij ING te leggen, het kan ook zijn dat ze iets veranderd hebben en dat
jij daar nu last van hebt door iets wat specifiek voor jouw systeem is.

Fijn dat je iemand beschuldigt van het zijn van een trol namens ING. Maar wanneer je het gevoel hebt, dat de ING je tegenwerkt, is er maar 1 goed advies. Verhuis naar een andere bank, dan heb je geen last meer van de ING.

Boos worden heeft sowieso geen zin. Zonde van je energie.
Is de reactie inhoudelijk: mooi! Is de reactie negatief of verre van je vraagstelling: Gewoon overheen lezen.
Er zijn hier voldoende mensen die echt met je meedenken en -zoeken...

Ik heb het een en ander geprobeerd qua instellingen in Chrome en een paar keer een overboeking gedaan (spaarpotje moeder), maar heb het probleem niet kunnen reproduceren. Verandert er bij mij ook iets, dan laat ik 't jullie weten.

Nog even een vraag: Heb je het alleen met overboekingen of ook met betalingen via iDEAL?

Wat mij opviel aan de gewone site van ING is dat bepaalde instructievideo's niet goed getoond/ niet afgespeeld kunnen worden. Dus misschien dat er daar toch iets niet goed werkt?
Maar zoals ik al zei, ik houd 't in de gaten.

Wederom succes!

Waarom denk jij dat zij/ik dit doen? Misschien is daar wel een extreem goede reden voor.

Ik ervaar hetzelfde ook al een tijdje en heb ontdekt dat als ik de opdracht afsluit en daarna naar de verzendlijst ga, de opdracht daar staat en als ik deze dan dus opnieuw activeer dan komt er na alle stappen weer gezet te hebben dus wel een oranje vlakje in beeld met daarop verzenden. Overigens gebruik ik xubuntu en firefox.

Het is nu eenmaal zo dat hier op security mensen zijn die vinden dat ze moeten reageren om iemand af te kraken.
Je kunt beter niet op dit soort reageren en er zijn er de je wel willen helpen met hun reactie, reageer gewoon op hun.

En wat je schrijft over die medewerkers dat heb ook dikwijls gedacht.

Wat is nou het essentiele verschil, tussen valideren met de app, of valideren met de scanner.

Uiteindelijk allebij precies hetzelfde doel. Iedere keer als er iets wijzigt in methodes door de banken, hetzelfde geklaag. Het is zeker ook erg dat we niet meer de betaalmethoden hanteren van 25 jaar terug ofzo.

De scanner komt en gaat, de app komt en gaat, en over een paar jaar komt er weer een nieuwe methode. Waarbij mensen hier met de hakken in het zand gaan staan, want er mag niets wijzigen, aan de bestaande werkwijze.

Much ado, about nothing.

Indien de ING dat wil, dan krijg je volgende week brief in de bus dat de scanner buiten gebruik is, en dat je deze weg kan gooien. Daarvoor hoeven ze je niet te ontmoedigen; immers hebben ze jouw goedkeuring daar niet voor nodig.

Goede tip, bedankt!

Misschien wel, maar klaag dan niet ,als er iets dan niet goed meer werkt! Jij maakt veranderingen. Niet de ING!

Hoef je niet voor te graven, da's vrij evident - en ook als je zakelijk gebruiker bent hoor.

Blijkbaar kost dat ding meer, gok ik.
Maar qua security is het best mooi:

[1]usr/[2]pwd op site
[3] qr code challenge op inlog
[4] pin op scanner
[5] response
[6] qr code challenge op overschrijving
[4] pin op scanner
[7] response

kortom 7-factor authenicatie op 1 betaling, waarbij ook opgemerkt mag worden dat het cert'je welke de responses genereerd nooit over het internet gegaan is, en de pin van reader slechts eenmalig.

Als ik de ING was zou ik er best trots op durven zijn, en ze graag ter beschikking stellen.
En nee; ik werk er niet - maar bij een soort van concurrent.

ABN-Amro doet het overigens wel net iets slimmer, daar staat het cert'je op de pinpas, waardoor readers niet uniek hoeven te zijn. Daarintegen zijn usr/pwd je rekening-nr/pin (wat beide minder sterk is).

Dankjewel, voor het aangeven dat je hetzelfde probleem ervaart, en voor je verwijzing naar de verzendlijst.
Ik was om 10:42 uur vergeten te vermelden dat ik de mislukte overschrijvingsopdracht in de verzendlijst vond en die van daaruit kon uitvoeren. Ik weet echter niet meer of dat probleemloos verliep, of dat dat eveneens meerdere pogingen nodig kon hebben. Ik voer zelden een overschrijvingsopdracht uit, dus ik kan het niet eventjes gauw checken.

Zou na een mislukte overschrijvingsopdracht die opdracht zonder moeite zijn uit te voeren via de verzendlijst, dan is dat een redelijke oplossing, het voorkomt dat opnieuw ingelogd moet worden en het kost weinig extra tijd en moeite.
Nogmaals dank voor je reactie en je tip!
 

Dat vind ik juist MEGA DOM want daardoor loop je voortdurend met de toegangscodes van je bankrekening over straat
en moet je die daar ook regelmatig invoeren. M.a.w. als iemand je een keer je pin heeft zien intikken en dan je pas afhandig
weet te maken (rollen, wisseltruuk, beroven) dan ligt je hele ABN rekening open. Bij ING zullen ze dan ook nog bij je
thuis moeten inbreken om je reader te stelen en je usernaam en password weten plus een PIN die anders is dan die van
je pas.
Daar verdient ING een pluim voor. En ABN mag eens goed gaan nadenken volgens welke denkbeelden het slim is
op een opnamelimiet op een pas te zetten die je vervolgens met die pas zelf kunt aanpassen...

Ik bevestig mijn opdrachten bijna altijd via de verzendlijst omdat ik er meestal ook meerdere combineer.
Dus wellicht is dat dan de reden dat ik dit probleem helemaal niet ken!
In ieder geval een constructievere manier van het probleem in kaart brengen dan "je zult er wel werken" of "je bent een
trol van de ING" zoals de vraagsteller doet...

@Spiff,

Met betrekking tot jouw post van Vandaag, 10:42 uur:

De raad van jou om advanced tracking protection in Firefox uit te schakelen (op het schildje links van de URL klikken en uitschakelen kiezen) op https://www.ing.nl te kiezen, veroorzaakte bij de eerstvolgende poging om te autoriseren dat de knop wel weer greyed out was maar nadien nog zo'n 5 keer getest bleef de knop oranje én dus clickable (muisaanwijzer veranderde in een handje.

Ik hoop dat het tenminste in Firefox nu betrouwbaar is want mijn angst is/was dat ik niet meer aan betalingsverplichtingen zou kunnen voldoen.

Dank voor deze tip!

In het algemeen hier in dit topic m.b.t. mijn boze reactie is die emotie ook de reden dat ik uit mijn slof schiet. Ik kijk hier al langer en wat je soms terug krijgt als eerste reactie op een probleem topic dat je start, dus in vertrouwen hier post, is soms echt schrijnend lomp, om koppijn van te krijgen.
De redactie zou eens strenger moeten modereren is mijn advies.

Terug naar het onderwerp:

Ik ga er nu vanuit dat in deze verbeterde tracking beveiliging iets aanwezig is dat in conflict komt met de ING site. Wat, gaat mij boven mijn pet. Ik heb die kennis niet.

Maar:

Met betrekking tot de andere browser Chromium, v.90.0.4420.212 in Linux Mint 20.1 heb ik het probleem toch weer kunnen oproepen simpel door meerdere keren een betaling trachten te autoriseren, wat dus niet lukte.
Ik weet niet of daarin een Advanced Tracking Protection zit.
In de Chromium URL: chrome://settings/security zit wel z.g. Safe Browsing en die staat bij mij op default, dat is de standaardbeveiliging aangeklikt (blauw rondje zichtbaar)

Chrome had ik vanochtend verwijderd evenals Opera waarover ik gisteravond las dat het al langer een Chinese eigenaar heeft. Er is teveel Chinese digitale rook, denk maar aan Huawei. Waar rook is, is vuur, denk ik maar.

Ook heb ik nog contact gehad met de vrouw die Windows 10 en Edge heeft met de vraag of ik het daar nog eens mocht bekijken, maar haar man wil dat niet meer. Ik snap dat wel. Hun computer is per slot van rekening geen testbank.

Tot zover mijn ervaringen tot nu.

----------------------------------------

Aan anderen:

Mijn nogal pissige en scherpe opmerkingen trek ik in en bied daarvoor mijn excuses aan,

....maar ik houd wel staande dat de ING de zaak niet moet afdoen met de opmerking: "gaat u het maar eens proberen met Internet Explorer 11" en/of stellen dat het probleem bij de klant alleen zit. In Chromium is het bij mij dus nog steeds aanwezig.
Een meer pro-actieve opstelling van hun zijde mag ik als particuliere kleine klant toch ook wel verwachten denk ik zo, of zijn alleen de belangen van de grote zakelijke klanten significant voor de ING? (denk ik dan)

Pot verwijt de ketel?

@ Anoniem,
Ik weet het niet meer, maar ik dacht toch echt niet. Alleen met betalingen direct vanuit mijn ING account naar andere bank-accounts.

Waarom denk jij, dat de ING verantwoordelijk is, voor alle "aanpassingen en verbeteringen" , die een klant in zijn/haar webbrowser aanbrengt? Je zult ook wel aan de reacties gemerkt hebben, dat de meeste reaguurders hier GEEN van hebben en die mensen bleef je afzeiken, totdat je een paar medestanders gevonden had, ook met aangepaste webbrowsers, dus.....?

Ach, het gepeupel dat het gebaar van excuses aanbieden niet respecteert noch kent sputtert en geeft weer 'acte de présence' met hun moddervlag.
Hoe voorspelbaar is het grauw van de straat toch. ;-)
(Telkens weer een genoegen om de laagheid van het rapaille bevestigd te zien)

Je logt niet in op 1 server! ING maakt gebruik van load balancing. Het kan dus best zo zijn dat er een verkeerde server tussen zit (niet iedereen werkt devops) en niet iedereen programmeert goed mouseover events etc). Zeker de ING zal niet checken of het met een browser onder Linux goed werkt en ik denk ook niet dat het voldoet aan anybrowser requirements.

ING is verantwoordelijk voor het platform onafhankeljk werken van de betaalsite en dat doet het blijkbaar niet met anybrowser. Vroeger werd ook alleen maar windows ge-support. Men denkt daar niet in platformen.

De pot verwijt de ketel, dat hij zwart ziet is toch de uitdrukking?

@ Anoniem van gisteren, 21:26 uur,

Ik was even zo vrij om in je quote te onderstrepen waar ik op reageer.

Verklaart dat misschien ook het verschil in responstijd?
Ik kan nu melden dat ik het rond 09:00 uur weer eens testte met Chromium v.90.0.4420.212 in Linux Mint 20.1 en het ronde pijltje bleef maar draaien bij het oproepen ven de bevestig pop-up. De onderliggende ING browser pagina was onbenaderbaar. Er restte mij niets dan Chromium afsluiten.

Met betrekking tot je opmerking over Mouse-over events, verklaart dat misschien dat het autoriseren bij inloggen tot nu wel altijd werkt, (ik schrijf dus met nadruk: tot nu...) omdat die naar ik aanneem allemaal anders geprogrammeerd zijn?

Zoals ik al aangaf, Ik ben geen IT deskundige dus ik moet maar hopen dat het allemaal zo functioneert als ik mag verwachtten, maar de ervaring van vanochtend is nieuw.
Gelukkig werkt de tip van Spiff, gisteren, 14:57 uur (1) tot nu wel in FIREFOX bij de eerste poging van een proefoverschrijving: De autorisatieknop is direct oranje en heeft dus een Mouse-over-event.
Weer een term bijgeleerd ;-) Dank!

(1)
In Firefox het schildje helemaal links in de URL balk aanklikken en de slider voor verbeterde bescherming tegen volgen naar links verschuiven om deze uit te schakelen voor de ing.nl pagina.

Noot:

Verbeterde bescherming tegen volgen (Enhanced tracking protection) is standaard ingeschakeld (default) in Firefox dus voor elke URL moet je dat zelf indien nodig uitschakelen.

Waar heb ik het over inloggen op 1 server gehad? "er is iets veranderd" dat heeft niks met load balancing te maken.
Als er nu ineens mensen problemen hebben dan kan dat zijn omdat ING iets veranderd heeft, omdat die mensen zelf
iets veranderd hebben, of een combinatie van die twee. Het feit dat lang niet iedereen er last van heeft lijkt er op te wijzen
dat de schuld niet 100% bij ING ligt.

Waarom zou ING zich moeten aanpassen aan browsers die proberen met "slimme algorithmes" bepaalde tracking om
zeep te helpen en daarbij ongewild wellicht ook een systeem omzeep helpen waarbij externe authorisatie in het spel is?
Wellicht ziet Firefox dit ongewenst als tracking. Dan moet je daar een bugreport neerleggen.

Voelt ook voor mij als een client side probleem. Hier geen problemen in de genoemde browsers, op verschillende OS’en.
Of ING graag wilt dat je de app gaat gebruiken voor bv bevestigen van transacties of inlog, dat zal gerust zo zijn. Gelukkig mogen ze dat ook gewoon en staat het jou vrij om op een minder vooruitstrevende bank over te gaan.

Met alle respect, maar je opmerking: " Het feit dat lang niet iedereen er last van heeft" vind ik wankelen. Het is geen feit. Hoe weet jij 100% zeker dat de mensen die er last van hebben dit topic lezen op Security.nl, en zo ja de moeite nemen om ook nog te reageren? (1)
Het is best mogelijk dat veel mensen er last van hebben, maar jij en ik blijven in het ongewisse over de verhouding tussen wel/geen last.

(1)
Tot nu hebben er expliciet evenveel reageerders aangegeven dat zij er wel last of geen geen last van hebben.
Als je heel rigoureus dit doortrekt naar het aantal ING klanten met een scanner zou dat inhouden dat 50 % van deze mensen er dus last van heeft. Jij en ik weten dat deze verhouding totaal absurd is om voor reëel aan te nemen. en ik doe dat zeker niet.

Sorry, Maar als je hier een tijdje meedraait, weet je gewoon, dat als er werkelijk een ING probleem zou zijn, dit forum bol zou staan van negatieve reacties en verwensingen! Dus...... Een goed verstaander heeft aan een half woord voldoende. Jammer dat jij dat niet inziet!

Nee hoor dat zegt niks. ING gebruikt een pool van webservers en die hoeven niet allemaal hetzelfde geconfigureerd te zijn.
Wel eens van devops en ci/cd gehoord?

Om dezelfde reden dat je de gemiddelde Smartphone niet kunt vertrouwe, vertrouw je een website met allemaal JavaScript-spyware. Blokkeren is terecht.

Het onterecht dat de ING Bank niet gewoon een simpel html-form met een submit-button maakt wat in elke browser werkt.

Smartphones worden beheerd en bediend door Google en Apple. Evenals JavaScript die ongevraagd in je browser begint te draaien.
Hierop vertrouwen is niet vooruitstrevend.

Bizar gewoon. Je bent al de zoveelste hier die als een kouwe kikker suggereert om over te gaan naar een andere bank, slechts vanwege een geconstateerd probleem, dat bij mij én iemand anders die reageerde is opgelost in Firefox (naar ik hoop onvoorwaardelijk) maar het probleem is nog steeds aanwezig bij mij in Chromium/Linux Mint 20.1. beiden volkomen default, dus geen extensies of tweaks of wat dan ook, met opzet omdat ik met die Chromium uitsluitend naar de ING bank ga als homepage. en nooit andere websites bezoek.

Als een bank, na achteraf blijkt, je rekening onterecht zou hebben geblokkeerd zou dat een zwaarwegende reden kunnen zijn om je oude bank vaarwel te zeggen.
En dan nog: Voor minder is een familielid naar een andere bank verhuisd 1,5 jaar geleden en ondanks de overstapservice zij hij: "nooit meer".

Vraag ter vergelijking:

Ga jij verhuizen omdat er telkens weer een stopje in de meterkast doorbrandt? Wees recht door zee en beantwoordt die vraag gewoon met een ja of een neen.

Dankjewel.

Tot horens.

ING stuurt idd. Maar u kiest een doodlopende weg met de manier waarop u werkt. De ICT bij ING is top in orde, niks mis mee.

Wat is een idd? En wanneer stuurt de ING een ídd?
Kijk, ik kan u ook vertellen dat mijn element een bias heeft van 1,2 en dan weet u niet waar ik het over heb.
Kortom: als u iets wilt benadrukken voor anderen is het een vereiste om uitleg te geven. Dat laat u achterwege. Waarom?
Nog meer duistere abacadabra. Welke doodlopende weg bewandel ik?
Is het de combinatie van Linux met Chromium?
Betreft het gebruik van de ING scanner om te autoriseren?
Verklaar u nader.
Nu is het mijn beurt om met een losse flodder te schieten: U bent een van de ICT medewerkers al of niet in dienst bij de ING en uw actie is niet meer dan een poging om ruis scheppen.
Doelstelling: Dit draadje degraderen.

Op 24-05 om 13:56 uur heb ik helder als glas aangegeven dat de configuratie Webbrowsers en Operating System volledig schoon zijn. Niets is getweakt en zomaar ineens als donderslag bij heldere hemel jongt dit ING scanner autorisatie probleem erin.
U bent mij geen verklaring schuldig maar als voorheen alles vlekkeloos heeft gewerkt met een onverdachte ING-scanner, krijg ik mijn bedenkingen bij de door u geponeerde Top status van de ING ICT en/of houd ik mijn veronderstelling, en titel van mijn post: Dwingt ING tot app gebruik? helemaal staande, totdat mocht blijken dat er iets in Chromium schuilt dat dit veroorzaakt. Dan bied ik bijgevolg mijn excuses hier aan zoals het fatsoenlijke openhartige mensen betaamd.

Waarom is het dan niet gewoon een html-form met een submitbutton die het ook met Lynx doet i.p.v. een complex ding met plaatjes en allemaal JavaScript?

Ach welnee man! ING heeft miljoenen klanten. Als er een probleem was dan stond het op Twitter, Facebook, Teletext en allestoringen.nl
Daar heb je geen security.nl voor nodig hoor.

Nee. Maar als jij graag loopt te pochen met je kennis van acronymen dan ga je gerust je gang hoor!
Ondertussen denk ik dat ING wel een webserver kan configureren.

Ik gebruik een linux live cd van de US military en die geft geen problemen:

https://spi.dod.mil/lipose.htm

Security? Fingerprinting om achteraf dingen te kunnen bewijzen?

Misschien, omdat het een Linux distributie is?

In Cookie Autodelete settings, onder instellingen, opschonen inschakelen bij domeinwijziging, uitvinken.

Groeten

Het W3C heeft helaas al behoorlijk lang geleden uit de aanbevelingen voor toegankelijke websites de werking zonder JavaScript laten vervallen. Er bestaan allerlei web-frameworks die die terugval op HTML zonder JavaScript ook al niet als uitgangspunt nemen.

Op zich kan het wel degelijk. Vanuit JavaScript kan een webpagina volledig herschreven worden. Dat impliceert dat het in beginsel altijd mogelijk is om een versie die zonder JavaScript werkt als beginpunt te nemen en vanuit JavaScript er een gelikte versie van te maken met alle toeters en bellen die je maar weet te bedenken, en die requests naar de server niet alleen voor volledige pagina's maar ook vaak voor kleine onderdelen ervan doet.

Wel is het zo dat die twee modellen, de hele pagina verversen versus alleen onderdelen ervan, behoorlijk ver uit elkaar zijn gaan lopen waardoor de afhandeling op de server ervoor ook heel verschillend wordt. Om hele pagina's te verversen moeten alle gegevens voor een pagina in één request geleverd worden, terwijl bij de opbouw in onderdelen een reeks aparte requests voor die onderdelen gedaan kan worden, die dan ook weer los van het grote geheel kunnen worden uitgevoerd. Om hele pagina's in een keer op te leveren bij elke wijziging van een onderdeeltje in die pagina moet de server ofwel een uitgebreidere sessie-staat bijhouden die al die gegevens bevat, ofwel per request veel meer gegevens opnieuw uit een database ophalen. Het verschil zit dus niet alleen in de browser, maar heeft ook een grote impact op hoe de applicatie op de server werkt. Dat wil niet zeggen dat daar geen voorzieningen voor te bedenken zijn, maar die maken het geheel wel complexer.

Toen ik, eind jaren '90, als ontwikkelaar betrokken raakte bij een webinterface voor een grote verzameling mainframe-applicaties, kwam ik al snel op de website van W3C het begrip graceful degradation tegen. Dat komt erop neer dat je je applicatie zo maakt dat als een onderdeel niet werkt, bijvoorbeeld JavaScript, je terugvalt op iets dat nog wel werkt, bij JavaScript de mogelijkheden van kaal HTML dus, inclusief hyperlinks en formulieren.

Aangezien je JavaScript nodig hebt om in de webbrowser wat dan ook te veranderen aan een webpagina, besefte ik meteen dat JavaScript onmogelijk gebruikt kan worden om die terugval te implementeren, want als JavaScript uitstaat doet het simpelweg niets meer. Qua implementatie draai je het daarom om: begin met een versie in kaal HTML die het gewoon doet, en gebruik JavaScript niet om terug te vallen maar om de extra's die je nodig hebt toe te voegen.

Ik was als automatiseerder allang gewend dat er regelmatig situaties zijn dat een nieuwe mogelijkheid, ten opzichte van hoe hij beschreven wordt (vaak vanuit het perspectief van de gebruiker van de applicatie), ongeveer achterstevoren en binnenstebuiten gekeerd geïmplementeerd moet worden om precies het gewenste effect te bereiken. Dat komt omdat het moet aansluiten bij de al aanwezige opzet van het systeem waarop je voortbouwt. Voor mij was het een open deur dat dat voor graceful degradation in webappicaties die vertaalslag ook nodig was. En die paste ik dan ook toe.

Vervolgens verbaasde ik me jarenlang erover dat dit in de meeste andere websites overduidelijk niet werd gedaan. De reden daarvoor werd me duidelijk toen het concept van progressive enhancement gelanceerd werd en aansloeg bij webontwikkelaars. Dat was exact wat ik al jaren deed: begin met een HTML-versie die zonder JavaScript werkt en breng daar de wijzigingen in aan die het gelikter maken. Voor mij is graceful degradation het effect dat je wilt bereiken en progressive enhancement de manier waarop je dat effect implementeert. Voor mij is dat zo vanzelfsprekend dat ik er geen aparte term voor nodig heb, ik had dat letterlijk al bedacht voor ik het stukje over graceful degradation van W3C helemaal uitgelezen had.

Maar een forse meerderheid van de webontwikkelaars bleek te denken dat graceful degradation sloeg op hoe je de implementatie doet. Die concludeerden uit het feit dat dat zo niet kan werken, dat je niet via JavaScript iets kan veranderen in een webpagina als JavaScript uitstaat, niet dat je voor de implementatie dan een andere benadering nodig hebt, maar dat W3C een tent was die theoretisch uit zijn nek kletst zonder iets van de praktijk te snappen. Die hadden iemand nodig die voor ze bedacht hoe het toch kon werken en dat met een fancy naam onder de aandacht wist te brengen.

Kennelijk had ik de gemiddelde intelligentie van webontwikkelaars ernstig overschat.

Omdat webontwikkelaars dit massaal niet snapten en dus niet toepasten is die terugval naar kaal HTML nooit een vanzelfsprekendheid geworden op het web. Wie weet heeft W3C het mede uit de toegankelijkheidsaanbevelingen laten vallen omdat het hopeloos was om te verwachten dat dit nog goed zou komen, naast natuurlijk het feit dat JavaScript steeds krachtiger werd en steeds beter gestandaardiseerd raakte. Zonder die richtlijn is er vervolgens nooit een noodzaak geweest voor de ontwikkelaars van allerlei web-frameworks om te zorgen dat die terugval naar kaal HTML out-of-the-box (voor zover dat nog mogelijk is) ondersteund wordt. En dus hebben we die niet.

Wat ik bij hedendaagse webapplicaties vooral prettig vind is als de JavaScript die nodig is om te functioneren van de site zelf komt. Dat maakt het in add-ons die JavaScript blokkeren (NoScript, uBlock Origin etc.) eenvoudig om een webapplicatie werkend te krijgen. Er zijn helaas websites die afhankelijk zijn van JavaScript van derden, die weer aanpassingen doen die JavaScript van vierde partijen nodig hebben, vervolgens vijfde partijen etc., en dan wordt het een puzzel. Bij de interfaces voor internetbankieren die ik gebruik (ASN, Triodos en Rabo) zit dit gelukkig goed.

Is het nou zo moeilijk om te discussieren, zonder op de man te spelen, en dit soort zaken uit de duim te zuigen, om je punt (zogenaamd) te maken ? Inhoudelijke discussie is veel leuker dan dit soort onzin.

Een discussie voer je met argumenten, niet met persoonlijke aanvallen.

Net nog weer wat overboekingen gedaan (Firefox 78.10.0 ESR op Debian Buster Linux) en zoals ik gewend ben werkt het gewoon. Dit keer heb ik 2 opdrachten direct bevestigd dus niet via de verzendlijst, maar het probleem treedt niet op hier.
De webpagina gebruikt wel aardig wat CPU om die validatie popup neer te zetten en te verwerken, dus de Javascript wordt steeds complexer, maar ik zit daar niet zo mee, ik was toch niet van plan om Lynx te gaan gebruiken hiervoor.

Werd niet Lynx web browser bedoeld, in plaats van LynxOS?
Of begrijp ik nou je reactie verkeerd?

Om nu Javascript aan security te koppelen vind ik wel een dingetje, JS ondermijnt eerder de security dan dat het een bijdrage levert. Ik vind inderdaad dat het tegenwoordig absurd is dat je JS aan moet hebben staan in een browser om een gemiddelde web site te kunnen bezoeken. De website zou in veel gevallen gewoon kunnen terugvallen een versie zonder JS: ja het zal er minder gelikt uit zien en minder smooth werken misschien, maar het zou ook een hoop problemen kunnen voorkomen.

Dan moet je nog even terug naar school denk ik.
Met Javascript kun je client-side dingen regelen die voor het systeem als geheel de security verbeteren.
Dat je meteen in een "Javascript is insecure" stuip schiet dat is verklaarbaar, maar het heeft hetzelfde peil als "waar Java in de buurt is daar zijn problemen". Ook meestal waar, maar niet direct aan het product gekoppeld maar alleen aan de implementatie en het soort programmeurs wat het aantrekt.

Begrijp ik je goed, dat je daarmee doelt op de Cookie AutoDelete add-on,
en daarin in Settings\ Automatic Cleaning Options\ Enable Automatic Cleaning\ Enabled: Automatic Cleaning happens on a combination of these triggers: tab close, domain change, browser restart ?
De documentatie geeft ook aan: Enable Automatic Cleaning\ Default: Disabled
https://github.com/Cookie-AutoDelete/Cookie-AutoDelete/wiki/Documentation

Je tip is relevant voor wie Cookie AutoDelete gebruikt en daarin Enable Automatic Cleaning heeft ingeschakeld.
Als ik me niet vergis, gaf niemand in deze thread aan dat Cookie AutoDelete werd gebruikt. Niettemin, dank voor de tip.

Dat kan wel zo zijn, maar de meeste websites gebruiken JS ook voor allerhande zaken die niets met security te maken hebben, zoals trackers, analytics e.d. Ik ben derhalve zeer behoudend met het toestaan van JS, doe dat ook dmv NoScript + uBlock. En er zijn zelfs websites die ik gewoon niet werkend krijg als ik allerhande derde partij JS moet toestaan. Dat zijn in ieder geval de no-go's voor mij.

@ Anoniem, 09:31 uur:

Is in Firefox 78.10.0 (release datum: 19-04 2021 de z.g. enhanced tracking protection zoals in Firefox 88.01 aanwezig? Hierin schuilde op ing.nl bij mij het probleem van de niet werkende autorisatieknop.

Ik blijf overigens het probleem zien in Chromium waarin ik alles toesta op ing.nl evenals de Cookies die nu ter sprake komen.
Scripts omdat ik geen extensies heb in Chromium, dus uiteraard ook geen Cookie Autodelete. Chromium functioneert bij mij volledig in zijn default configuratie.

Mij valt nu ook pas - Excuses aan de anoniem van 24-05-2021, 11:08 uur - zijn post op met sprake van gebruik van F-lux of Redshift (de laatste gebruik ik) Voor de goede orde: beiden zijn geen browser-extensies.
Inderdaad veranderen die de kleurtemperatuur (graden Kelvin) waardoor een spectrum ontstaat dat neigt naar rood.
Ik gebruik Redshift minstens 2 jaar in Linux dus ik stel voorzichtig dat dit bij mij niet van invloed is omdat dit autorisateprobleem ten eerste nooit gebeurd bij inlog maar alleen bij overschrijvingen/betalingen en dat dit probleem recent is ontstaan dus gedurende zo'n twee jaar niet aanwezig was.

Evenwel @ anoniem van 24-05-2021, 11:08 uur: Ik ga het in de Linux 20.1 op de andere computer uitschakelen waar ik m.b.v Chromium toch nog dit probleem heb.

Ik bedenk mij nu dat Chromium een applicatie eigen sandbox heeft, ofwel: deze zit ingebouwd in Chromium. Kan deze van invloed zijn geworden op het verkeer tussen de ING server(s) en de gegenereerde ING autorisatie pop-up?
Kan misschien een update van Chromium's Sandbox hiervan de oorzaak zijn?, want ook in Chromium had ik het autorisatie probleem voorheen nooit.

Pas in Firefox 79 werd "Enhanced Tracking Protection 2.0" uitgerold [1], met bescherming tegen redirect tracking [2].
Ik weet niet zo gauw te achterhalen of Enhanced Tracking Protection 2.0 uit security-oogpunt ook is toegepast in Firefox ESR versies. Zou dat niet het geval zijn, dan is in Firefox 78.10.0 ESR niet dezelfde Enhanced Tracking Protection aanwezig als in Firefox 88.0.1.

[1] https://blog.mozilla.org/en/products/firefox/latest-firefox-rolls-out-enhanced-tracking-protection-2-0-blocking-redirect-trackers-by-default/
[2] https://blog.mozilla.org/security/2020/08/04/firefox-79-includes-protections-against-redirect-tracking/

Ik heb het probleem van niet kunnen autoriseren in Chromium vermoedelijk gevonden!
Ik ga niet te vroeg juichen maar ik heb het tweemaal getest.

Wat heb ik gedaan?

In chrome://settings/security heb ik de default standaard instelling: Standaardbeveiliging omgezet naar: Geen beveiliging (niet aanbevolen) DIT WIJKT AF VAN DE STANDAARD INSTALLATIE VAN CHROMIUM, waarmee ik met nadruk wil tackelen de uitspraken in dit topic van mensen die stellen dat de oorzaak ligt in zelf aangebrachte veranderingen en toevoegingen in de webbrowsers. Dat is dus pertinent niet waar.

Omdat ik Chromium uitsluitend gebruik voor de ING bank lijkt mij dat geen kwaad kunnen, ook omdat ik in Firefox zag (waar ik de ING helemaal toesta in NoScript) dat de ING - voorzover ik het met mijn mariginale ICT kennis overzie - geen scripts van derden gebruikt.
Het kan zijn dat ik dat verkeerd heb... Dan graag een correctie.

De volgende configuraties zorgen er bij mij althans voor dat het probleem van niet kunnen autoriseren van betalingen middels de ING scanner dus is opgelost:


En:


Resumerend vanaf het begin:

Omdat ik dit probleem voor het eerst zag in een volledige standaard geconfigureerde Chromium ging bij mij nogal licht de verdenking uit naar de ING zeker nadat ik het ook ervoer in Firefox.

Met mijn beperkte ICT kennis vermoed ik nu vaag dat de uitgebreide beveiligingsinstellingen in beide Browsers - maar dus ook in Chrome en Opera - dit veroorzaken.

Meer kan ik er niet aan toevoegen dat relevant is.
Misschien willen ICT mensen hier dieper induiken, ik denk dat dit altijd zinnig is.

Ik startte net Chromium even op om naar die instelling te kijken. Ik zag dat de default in Debian is om deze beveiliging default helemaal uit te hebben staan. Vermoedelijk kiest Debian daarvoor omdat ze nogal privacygeoriënteerd zijn daar en niet voor een default-instelling kiezen die de URLs die je bezoekt aan Google doorgeeft. Het geeft aan dat het niet eens per se een standaardinstelling van Chromium is maar dat de Linux-distributie de je gebruikt ook zo zijn defaultinstelling heeft.

Maar ik zag iets dat mogelijk interessant is: klik in Chromium op het slotje in de adresbalk en kies dan "Site settings". Bijna onderaan staat een instelling "Insecure content". Is je probleem opgelost als je die voor ING van "Block (default)" in "Allow" verandert terwijl je de globale instelling wel op standaardbeveiliging hebt staan? Dan kan je selectief per site de bescherming uitzetten.

@Anoniem, 07:42 uur:

Dat had ik nog niet gezien in Chromium.
Ik ga daar zeker uitvoeriger naar kijken, want hierin kun je veel meer individueel per site instellen dan mogelijk is via chrome://settings/security.
De afwijking van default die ik heb gebruikt is algemeen en geldt dus voor alle sites die je in Chromium oproept. Het is niet voor niets dat de instelling die ik heb gedaan: geen beveiliging, wordt vergezeld van de mededeling: niet aanbevolen. (1)

Dank voor deze aanvulling!

(1)
Het is op zijn minst vreemd, maar eerder absurd dat ik voor de website van de ING bank, waarvoor uiterste veiligheid vereist is, precies het tegenovergestelde moet instellen dan wat vereist is om veilig te communiceren, door juist beveiliging uit te schakelen, om functionaliteit (popup autoristaie) te borgen. Eerder zou je denken aan de instelling Geoptimaliseerde beveiliging.
Het is volkomen tegenstrijdig.

Helaas trek je nog steeds de verkeerde conclusie! Het zijn de makers van de webbrowsers, die bijna dagelijks VERBETERINGEN aanbrengen( vernachelen), terwijl de ING website gelijkt blijft, anders had dit forum allang bol gestaan van de reacties daarop.

Context doet ertoe. Dit is geen kwestie van "alles is veilig" aan of uit zetten, het beschermt tegen een specifiek risicomodel, en de manier waarop het beschermt bevat de aanname dat dat risicomodel hier van toepassing is.

Dit beschermingsmechanisme gaat ervan uit dat je op allerlei sites terecht kan komen met voor jou onbekende inhoud en dat je geholpen bent met kennis die er elders al over is opgedaan. Het zit er dik in dat ergens in het geheel schadelijke bestanden worden herkend aan hun checksum, en wie weet komt een checksum van bijvoorbeeld een JavaScript-bestand van ING wel per ongeluk overeen met die van een malwarebestand. Dit soort dingen is vaker gebeurd, diverse virusscanners hebben ergens in hun bestaan wel een keer zo een legitieme dll in quarantaine gezet, met als resultaat dat opeens een applicatie of heel Windows niet meer werkte. Of dat is wat er hier gebeurt weet ik niet, maar de gedachte komt in me op.

Webapplicaties voor internetbankieren horen vermoedelijk tot de veiligste sites die je online tegenkomt, met een verwaarloosbaar kleine kans dat daar opeens malware in staat. Wie weet is de kans op een fout-positief in het systeem van Google wel groter dan de kans op malware. Als deze vorm van beveiliging helemaal niet gericht is op dit soort websites is het ook niet erg om hem uit te zetten voor zo'n site.

Tut tut tut zeg,

Ik geef slechts aan dat er een tegenstrijdigheid heerst in het kader van implementatie van beoogde webveiligheid tussen ING en de webbrowsers Firefox en Chromium (1): De veiligheid verminderen om deze te borgen.

Wat de oorzaak is weet ik niet. Wat ik wel weet en nu hier door enkele personen is aangeven: dat zij bevestigden wat ik constateerde. (2)
Ik concludeer niets! WANT DE KENNIS OM IETS SIGNIFICANT TE CONCLUDEREN ONTBREEKT BIJ MIJ.

Dat dit forum niet bol staat van reacties van meerdere personen die dit ook ervaren geeft alleen maar aan dat in zeldzame gevallen (3) - DIE IK NIET KAN ANALYSEREN EVENEENS: OMDAT DE KENNIS DAARVOOR BIJ MIJ ONTBREEKT - er iets hapert gedurende de autorisatie middels de ING scanner.

Wat dat is en waar dat schuilt? Het is voorbehouden aan ICT professionals om daar de vinger op te kunnen leggen, en desgevolgs eventueel tot een conclusie te komen. Dus schuif mij niet in de schoenen dat ik conclusies trek want ik ben - en dat zeg ik nu voor de laatste keer: GÉÉN ICT PROFESSIONAL!

(1)
(Lees mijn openingspost)
Dat het ook één keer voorkwam bij testen onder Windows 10 met Edge bij een vriendin: daarvan kan ik niets meer uit de lucht grijpen dan: Misschien een ingreep door de ING omdat zij zagen dat ik vanaf een ander IP adres dan ik altijd gebruik was ingelogd en wilde betalen. De tweede poging na uitloggen en herstarten van Windows 10 lukte vlekkeloos.

(2)
25-05-2021, 10:42 uur,
25-05-2021, 13:09 uur,

(3)
Het betreft de Operating Systems:
Linux Mint 19.03 en 20.1 en Chromium + Firefox (bij mij)
Kubuntu, Xubuntu (bij anderen die reageerden)
Bij de eerste persoon die regeerde (25-05-2021, 10:42) uur bleek het om Firefox te gaan.

In reactie op Glasharmonica, 11:31 uur -
Dat we het probleem tegenkomen met Chromium en Firefox op Linux Mint 19.3 en 20.1,
met Firefox 88.0.1 op Kubuntu 20.04
en met Firefox op Xubuntu,
en het feit dat er hier geen andere meldingen van het probleem waren,
dat doet misschien de vraag rijzen of het besturingssysteem mogelijk een rol speelt -
Kunnen recent geupdate packages (of recent aangepaste standaardinstellingen) in Mint, Kubuntu en Xubuntu een factor zijn (al dan niet in combinatie met recente updates van Firefox en Chromium en/of eventuele aanpassingen door ING)?
Te complex voor me om te kunnen uitsluiten of bevestigen, maar wel een interessante gedachte.
Gelukkig dat we voor het moment in ieder geval een manier hebben om met het probleem om te gaan.