Iets meer privacy

Op zondag 10 november 2024 20:13:08 schreef CrossFireX:
Done... Een beetje raar dat ik hier opgerakeld wordt uit alle anderen...

Op zondag 10 november 2024 13:34:43 schreef Sine:
Kijk eens waar die link naar verwijst ;)

Sine wijst naar /my... Dat is altijd je eigen profiel. Of, oke, dat van FrankGr. soms, maar dat is was een bugje.
Sine discrimineert niet, hij pikt er niemand speciaal uit, iedereen die op dat linkje klikt ziet zijn eigen eigen profiel. Niet het jouwe. (Een mod die een beetje nart >:) Hoe durft 'ie)

Goed. Inhoudelijk dan. Ik ben geen advocaat of rechtsgeleerde of jurist of iets in die richting. Maar, ik denk wel dat er iets als "gerechtvaardigd belang" is voor de verwerking van woonplaats en geboortejaar.

Woonplaats: Woont iemand in de buurt? Komt regelmatig voor in topics waar iemand vraagt om hulp om dit-of-dat te repareren.

Geboortejaar: Omdat je van een 14-jarige scholier met nul budget ander forumgedrag kunt verwachten dan van een 50 jarige met een relevante opleiding of een 80 jarige die eigenlijk verrassend vlot is op de computer. En je daar dan zelf ook anders op reageert.

(Geboortemaand en dag zijn dan weer minder gerechtvaardigd, maargoed, iemand kunnen feliciteren op zijn verjaardag is misschien al voldoende als je er wat op wilt verzinnen. Persoonlijk vind ik het onnodig)

Geslacht: Meh, dat zullen hier merendeels mannen zijn, die dan misschien extra geneigd zullen zijn een dame in nood te willen redden, waar die dame al dan niet prettig vind. Het is gelukkig niet verplicht om in te vullen. Een 'belang' om geslacht in het profiel te zetten kan ik ook niet zo snel verzinnen.

ICQ-nummer en MSN-adres waren de destijdse opties voor Direct Mesaging, of eigenlijk chat. Dat was best leuk, vroeger. Ik zou daar nu niet snel een signal-username invullen (Of whatsapp, of een andere chat-app) en al helemaal geen mobiel telefoonnummer. Belang... Chat. Maar zijn een MSN adres en ICQ nummer überhaupt persoonsgegevens?

Dat allerhande instanties bijna vrij beschikbare gegevens als identiteitsbevestigende gegevens beschouwen vind ik eerder een probleem: Het is gewoon niet veilig, die gegevens zijn van vrijwel iedereen veel te breed beschikbaar om voor dergelijke verificatie van identiteit te gebruiken! Dat is nog geen reden om overal maar je exacte geboortedatum en woonplaats in te vullen waar dat eigenlijk niet nodig is, maar pogen je geboortedatum en woonplaats geheim te houden is zowat onmogelijk. (Voor een circuitsonline.net profiel zijn ze niet verplicht)

Ook, wachtwoorden resetten met je lievelingskleur, favoriete automerk, en de meisjesnaam van je eerste huisdier is een enorm beveiligingslek, want ook die gegevens zijn vaak gewoon te vinden. Die gegevens onvindbaar maken is vrijwel onmogelijk, of je zou alleen nog kleren moeten kopen in alle andere kleuren dan je lievelingskleur - of wacht, dat geeft het eigenlijk ook weg... Eh... En ook niemand vertellen hoe je oma heette, nooit je hond roepen bij zijn eigen naam, en het merk van je auto afplakken... wordt 'm niet. Het mag gewoon niet degene waar het om gaat verweten worden dat zijn lievelingskleur, merk auto, en naam oma etc. bekend zijn, het is nm(b)m een fout van het bedrijf dat dergelijke gegevens als "beveiligingsvraag" gebruikt.

Ja, ik ben voorstander van privacy, maar dat ik in mijn profiel niet heb ingevuld dat ik een man ben zal daar weinig voor baten... Dat CO mij niet door derde partijen laat profileren voor '"'commerciële doeleinden'"' helpt een stuk meer. (Lees het privacybeleid! Er is duidelijk over nagedacht. Dingen als "De software waarmee advertenties die op Circuits Online worden getoond maakt gebruik van cookies. Deze cookies worden uitsluitend gebruikt om bij te houden welke advertenties getoond zijn en op welke advertenties je geklikt hebt. Er wordt geen interesseprofiel bijgehouden en deze informatie wordt niet met derden gedeeld." is keurig, CO zou het aan een hele vieze derde partij hebben kunnen uitbesteden maar dat doet CO gelukkig niet, en ook bij de rest van het privacybeleid is dat duidelijk)

Op zondag 10 november 2024 14:28:01 schreef miedema:
Edit: Nog even constructief:
Als CO wat zou willen verbeteren op privacy gebied, dan zou je gebruiker info alleen zichtbaar kunnen maken voor ingelogde gebruikers.

Dat vind ik een uitstekende suggestie!

Nog steeds: iedereen kan een account aanmaken. Maar het is 1 laagje.

Geautomatiseerd geboortedata omzetten naar alleen geboortejaar... Wil denk ik niet echt lekker gezien hoe veel mensen ontdekt hebben dat dat veld ook tekst accepteert mits kort genoeg.

Eluke.nl | handgetypt | De mens onderscheid zich van (andere) dieren door o.a. complexe gereedschappen en bouwwerken te maken. Mens zijn is nerd zijn. Blijf Maken. (Of wordt, bijvoorbeeld, cultuurhistoricus)
Paulinha_B

Honourable Member

Op zondag 10 november 2024 21:38:39 schreef Sine:
Voor de mensen die het (nog) niet door hadden ...

Dat linkje wijst altijd naar je eigen profiel ... dus voel je vooral niet aangesproken ;)

Ik voelde me dus vooral WEL aangesproken, wat dom toch van me. Om te denken dat mijn eigen profiel over mezelf zou kunnen gaan...

vergeten

Golden Member

Nou ik ook!.
Ik dacht is die @Sine nou helemaal van de pot gerukt om mijn profiel als voorbeeld te gebruiken!! :(
Later viel het kwartje _/-\o_

Doorgaans ben ik duidelijk over wat ik bedoel, toch wordt het wel anders begrepen.
Hoeben

Golden Member

Ja, dat duurde even. Alles gaat om snelheid. Links lezen? Pff, wie doet dat nou. Voorwaarden? Scroll en accept. Klaar....

Dank jullie allen voor alle reacties!

De link van Sine geeft eigenlijk ook een mooi voorbeeld van hoe vernuftig en geraffineerd een website/bedrijf/aanvaller te werk kan gaan. De link was algemeen maar toch voelden mensen zich aangesproken.

Fijn dat er veel reacties waren, dan is toch even onder de aandacht geweest. Ik heb zelf altijd een ethische hacker pet op, zonder dat het echt mijn werk is merk ik bij sites vaak dingen op. "Het zal toch niet, ja hoor uitgelogd en kan nog steeds dossiers downloaden" Netjes meld ik die zaken vertrouwelijk.

Daardoor (en de tigduizend datalekken per jaar!) zie ik graag technisch vernuftige oplossingen zoals passkeys, certificaten, multi-factor, Identity brokers, encryptie etcetera. Voorbeeld: het zou toch prachtig zijn dat DHL of PostNL jouw adres en betaling kent op basis van een token ipv dat je adres, bankrekeningnummer en bestelling weer 20 jaar op de zoveelste slecht beveiligde webshop blijft staan?

Verder ben ik vooral lastig met kopietjes rijbewijs en spreek de huisartsassistent er ook op aan dat het wachtwoord gelamineerd en leesbaar achter de balie ligt.. Haar oplossing: Ze draaide het om!

Ik bedoel, ik voel het als plicht dit toch even op deze site te melden.

maartenbakker

Golden Member

Ik ga mee met Miedema en Lucky Luke: profiel alleen zichtbaar voor medegebruikers, of eventueel een vinkje van die strekking dat standaard aan staat. Dat is proportioneel met je intuitie van privacy als je de boel invult.

Verder denk ik dat we moeten uitkijken niet de verkeerde les te trekken uit de grap van Sine (het is niet eens de eerste keer dat hij dat doet en als ik mag gokken zijn het deels dezelfde mensen die erin trappen).

Het gaat er NIET om hoe doodsimpel je erin kan trappen, het gaat erom hoe belangrijk het is om een heel klein beetje digitaal geletterd te zijn en hoe simpel je dit dan had kunnen spotten - niet bedoeld als belediging voor degenen die erin trapten, die groep is te groot om het persoonlijk te bedoelen.

Bijvoorbeeld banken (die zelf ook fout bezig zijn met hun eigen communicatie, maar dat is een ander verhaal) hameren erop met grote hamers dat je de URL moet bekijken die achter een link zit waar je op overweegt te gaan klikken. Gewoon altijd, anders doe je het nooit.

Als je dat bij deze link had gedaan, had je gelezen my/profile en daar is geen woord Chinees bij. Het moet mogelijk zijn om te bedenken wat daar staat. Iets makkelijker als je weet dat een gebruiker normaal een nummer heeft, maar alsnog is het een simpele oefening waar iedereen voor had moeten slagen.

6 van de 10 haalbare punten als je alleen al even hebt gekeken naar de url maar nog niet doorgeredeneerd. De resterende 4 punten als je zonder te klikken een goed idee had van wat die URL zou gaan doen.

@K7Jz: multifactor, versleuteling, passkeys, certificaten, identitybroken, etc. zijn allemaal heel leuk maar dienen strict functioneel en proportioneel te worden toegepast want ze zijn stuk voor stuk ook sch*tirritant, contraproductief of zelfs gevaarlijk als je ze breed en algemeen uitrolt. Niet in de laatste plaats omdat de bedrijven die dat dan meestal op zich zullen nemen, zoals Google en Microsoft, principieel "bad actors" zijn. En sommige van dat soort maatregelen en hulpmiddelen hebben ook weer hun eigen risico's waarvan het wegvallen of paywallen van diensten niet het kleinste is, om maar een zijstraat te noemen die niet direct op de veiligheid trekt.

www.elba-elektro.nl | "The mind is a funny thing. Sometimes it needs a good whack on the side of the head to jar things loose."

Dat banken of overheid er gewoon met stoppen een link mee te geven in officiële berichtgeving kan ook al veel narigheid voorkomen. Je gewoon laten weten dat er een bericht in je 'Ebox' staat is al voldoende. Daar hoeft geen link bij om daar naartoe te surfen. Zo kan je mensen bewust maken om niet zomaar op een link te klikken die mee gegeven wordt in een email. Dan kan je als bank of overheid stellen: wij geven geen links mee in officiële communicatie.

Hubie

Golden Member

Op zondag 10 november 2024 22:09:14 schreef vergeten:
Nou ik ook!.
Ik dacht is die @Sine nou helemaal van de pot gerukt om mijn profiel als voorbeeld te gebruiken!! :(
Later viel het kwartje _/-\o_

:) +1 8)7

maartenbakker

Golden Member

@Robbe de Smet: Zeker. En dat is nou precies een van die dingen die banken tegenwoordig soms aan hun laars lappen, waar ik hierboven al even op hintte.

www.elba-elektro.nl | "The mind is a funny thing. Sometimes it needs a good whack on the side of the head to jar things loose."

Inderdaad Maarten, we zitten op dezelfde lijn. Mijn toevoeging was als aanvulling of bevestiging van uw bericht.

bprosman

Golden Member

Op zondag 10 november 2024 21:53:44 schreef Lucky Luke:
[...]
Goed. Inhoudelijk dan. Ik ben geen advocaat of rechtsgeleerde of jurist of iets in die richting. Maar, ik denk wel dat er iets als "gerechtvaardigd belang" is voor de verwerking van woonplaats en geboortejaar.

De eerste 2 vragen die je moet stellen zijn : Is er een gerechtvaardigde reden om zaken op te slaan. Igv geboortedatum en plaats, denk ik zelfs niet eens, de site kan prima draaien zonder. Is het handig ? Ja, ook ik kijk wel eens naar de leeftijd (om me een beeld te kunnen vormen van de poster), of woonplaats (is het in de buurt). Van de andere kant, invullen is niet verplicht. Overigens als het gevraagd word aan TS (ivm enige hulp ter plaatse) word die info bijna altijd gegeven.

Het e-mail adres word overigens "spamveilig" getoond, en ik heb nog nooit spam gehad die te herleiden was naar CO.

Ten tweede, is de info te herleiden naar een "Natuurlijk persoon". In mijn geval en dat van bijvoorbeekd @maartenbakker" is dat niet zo moeilijk wij gebruiken onze echte naam, igv van bijvoorbeeld "Blackdog uit Amsterdam" is dat zo goed als onmogelijk zelfs met geboortedatum.

De jongere generatie loopt veel te vaak zijn PIC achterna.
bprosman

Golden Member

Op maandag 11 november 2024 02:17:10 schreef maartenbakker:
@Robbe de Smet: Zeker. En dat is nou precies een van die dingen die banken tegenwoordig soms aan hun laars lappen, waar ik hierboven al even op hintte.

Alle banken die ik ken werken met 2FA, of een app waar je je hebt moeten identificeren tijdens installatie met 2FA.
Dus die links zie ik het probleem niet zo van.

De jongere generatie loopt veel te vaak zijn PIC achterna.
revado

Honourable Member

Ik kon er wel om lachen , goede grap met een serieuze ondertoon van @Sine, goed bedacht!
Meestal kijk ik even naar een link ( pijltje er op houden) waar die naar toe gaat voor ik doorklik, nu ook en ik zag dat het binnen co bleef.
Toen "eehhh waarom ik? " maar bij nog een keer de link bekijken :)

Ach er is zo veel te vinden over de meeste personen.
Zeker als men a-sociale media gebruikt zoals facedinges en zo.
Die heb ik allemaal niet, bewust, maar dat is weer een heel ander verhaal.
Mijn nickname is gewoon een afkorting van mijn naam en die zie je zo in mijn profiel staan.
En er zijn er op CO best wel een aantal die mij persoonlijk kennen intussen.

Dat alleen geregistreerde en ingelogde bezoekers een profiel kunnen bekijken ben ik het ook helemaal mee eens.
Ik zou er dan aan willen toevoegen dat je ook minimaal een post moet hebben gedaan voor je profielen kan zien.
Of desnoods dat het pas na een aantal dagen zichtbaar is
Dat voorkomt dat iemand even snel een profiel aanmaakt en dan alles kan zien.
Maar dat is iets voor Jeroen of het technisch mogelijk is, en aan het bestuur om daar verder over te beslissen.

GJ_

Moderator

Op maandag 11 november 2024 00:28:11 schreef K7Jz: De link was algemeen maar toch voelden mensen zich aangesproken.

Verder ben ik vooral lastig met kopietjes rijbewijs

Van bv banken en overheid krijg ik nooit mail met linkjes.

En voor paspoorten en rijbewijzen is er een speciale app van de overheid, KopieID, die desgewenst ook afdrukken en PDF's kan maken waarbij de gevoelige informatie gemaskeerd word. En er eventueel een watermerk met datum op zet én een vermelding voor wie de kopie bedoeld was. Hier een paar stappen in het proces om tot een acceptabele kopie te komen:

Op maandag 11 november 2024 02:04:11 schreef Robbe de Smet:
Dat banken of overheid er gewoon met stoppen een link mee te geven in officiële berichtgeving kan ook al veel narigheid voorkomen. Je gewoon laten weten dat er een bericht in je 'Ebox' staat is al voldoende. Daar hoeft geen link bij om daar naartoe te surfen. Zo kan je mensen bewust maken om niet zomaar op een link te klikken die mee gegeven wordt in een email. Dan kan je als bank of overheid stellen: wij geven geen links mee in officiële communicatie.

ING bank doet dat al. Die sturen me een e-mail met de mededeling dat er een belangrijk bericht voor me is. Ze geven geen link, maar vertellen dat ik moet inloggen op de site van de bank om het bericht te lezen.

fatbeard

Honourable Member

@GJ: beter mikken: ik kan je BSN lezen...

Een goed begin is geen excuus voor half werk; goed gereedschap trouwens ook niet. Niets is ooit onmogelijk voor hen die het niet hoeven te doen.
Hubie

Golden Member

Ook zijn beroep,burgemeester van Veldhoven.... :)

hier een 'officiële' kennisgeving met link bij (blauwe gedeelte) in samenwerking met de overheid. En dit zou niet mogen. Zoals Klaasz aangeeft zouden ze je dit gewoon moeten laten weten dat je een bericht hebt in je ebox en je er attent op maken dat deze te raadplegen is via de website.

Zo kunnen ze communiceren dat overheid geen linken mee geeft in mails naar de mensen toe, net zoals er gecommuniceerd wordt dat banken je nooit opbellen en om codes vragen via telefoon of whatever...

bprosman

Golden Member

Op maandag 11 november 2024 11:10:16 schreef Robbe de Smet:
[bijlage]

hier een 'officiële' kennisgeving met link bij (blauwe gedeelte) in samenwerking met de overheid. En dit zou niet mogen. Zoals Klaasz aangeeft zouden ze je dit gewoon moeten laten weten dat je een bericht hebt in je ebox en je er attent op maken dat deze te raadplegen is via de website.

Zo kunnen ze communiceren dat overheid geen linken mee geeft in mails naar de mensen toe, net zoals er gecommuniceerd wordt dat banken je nooit opbellen en om codes vragen via telefoon of whatever...

Welke link zit er achter die button?
Als het de zelfde is als er onder staat, is er toch niks mis mee, je ziet toch op de website aangekomen of het de juiste is ? (certificaat).

De jongere generatie loopt veel te vaak zijn PIC achterna.
GJ_

Moderator

Op maandag 11 november 2024 10:26:49 schreef fatbeard:
@GJ: beter mikken: ik kan je BSN lezen...

Ja, nu je het zegt :-) Maak ik kan niet mikken, de app herkent alle soorten ID's en zet zelf die maskers. Daar kan de gebruiker niks aan veranderen.

Lambiek

Special Member

Op maandag 11 november 2024 12:03:21 schreef GJ_:
Ja, nu je het zegt :-) Maak ik kan niet mikken, de app herkent alle soorten ID's en zet zelf die maskers. Daar kan de gebruiker niks aan veranderen.

Maak een schermknipsel en in Paint kun je een groter veld maken zodat je, je BSN niet ziet.

Of zo:

Als je haar maar goed zit, GROETEN LAMBIEK.
GJ_

Moderator

Ik zou het zelf wel voor elkaar krijgen, maar als je in een hotel even snel een kopie PDF moet geven is zo'n app gewoon gemakkelijk.
Overigens hebben de betere hotels een kopieermasker voor ID's die de BSN afschermt.

Nog even geprobeerd: met een ID en een rijbewijs doet ie het beter. Misschien m'n paspoort een keer opnieuw invoeren, als ik zin heb, ... en veel tijd,

[Bericht gewijzigd door GJ_ op maandag 11 november 2024 12:19:32 (26%)

Op maandag 11 november 2024 12:15:01 schreef GJ_:
Ik zou het zelf wel voor elkaar krijgen, maar als je in een hotel even snel een kopie PDF moet geven is zo'n app gewoon gemakkelijk.
Overigens hebben de betere hotels een kopieermasker voor ID's die de BSN afschermt.

Nog even geprobeerd: met een ID en een rijbewijs doet ie het beter. Misschien m'n paspoort een keer opnieuw invoeren, als ik zin heb, ... en veel tijd,

Ik meen dat je met die app ook een watermerk toe kunt voegen. Bij de aanmaak van het account voor mijn auto heb ik dat toen ook gedaan. In het opgeslagen plaatje staat dan duidelijk dat het alleen voor die firma is. Mocht het ooit ergens anders opduiken dan weet je waar het lek zit.

Op maandag 11 november 2024 12:02:36 schreef bprosman:
[...]
Welke link zit er achter die button?
Als het de zelfde is als er onder staat, is er toch niks mis mee, je ziet toch op de website aangekomen of het de juiste is ? (certificaat).

Dat weet je pas als je er op hebt geklikt. En dan kan het te laat zijn. Je hebt het over een website, maar dat hoeft niet. Er kan ook een applicatie achter zitten die shit op je computer installeert en dan ben je het haasje.

bprosman

Golden Member

Op maandag 11 november 2024 12:31:33 schreef KlaasZ:
[...]Dat weet je pas als je er op hebt geklikt. En dan kan het te laat zijn. Je hebt het over een website, maar dat hoeft niet. Er kan ook een applicatie achter zitten die shit op je computer installeert en dan ben je het haasje.

Dat zie je toch al als je over de link / button hovert, VOOR dat je klikt.

De jongere generatie loopt veel te vaak zijn PIC achterna.