MADSpace‎ > ‎Open voor hacking‎ > ‎

Trackers

Wat is een Tracker?
Tracker is een security vakterm voor software die via externe websites gemonitord wordt op een onveilige manier. Externe JavaScript wordt ingeladen van een oncontroleerbare site en dit maakt hacking mogelijk. Voorbeelden zijn Google stats, die natuurlijk wel relatief betrouwbaar is, echter toch minder veilig is dan interne gecontroleerde statistieken en dus uitzetbaar zouden moeten zijn. Voor trackers naar onbekende Amerikaanse bedrijven geldt dit natuurlijk helemaal, want wat gaan de bedrijven wellicht met onze gegevens doen? Dit kan niet worden gecontroleerd. 

Security Audit
Onlangs is door werkgroep GroenLinks ICT een security audit op Pleio gedaan en binnen enkele seconden viel al op dat het product last heeft van trackers, dwz javascript links naar externe sites voor statistieken, waarin security risico's zitten verpakt. De oplossing die de werkgroep GroenLinks ICT dan ook adviseert aan Pleio, is om deze statistieken via configuratie goed weg te kunnen halen (nu is dit niet zo). De JavaScript componentjes via een beheerfunctie weg laten lijkt een eenvoudige  oplossing. De externe scripts zijn de volgende: 

 Component en advies Url 
 goedkope google statistieken,
voor kleine deelsites default uit (onnodig).
http://www.google.nl/intl/nl/analytics/ 
 https://ssl.google-analytics.com/ga.js
 javascript timing module
(doet niets, kan weg en veel beter oplossen)
https://code.google.com/p/episodes/
 https://d1ros97qkrwjf5.cloudfront.net/42/eum/rum.js
statistieken voor mobile developers
(niet nodig bij normaal webgebruik) 
https://newrelic.com/
 https://beacon-3.newrelic.com/1/36aaa7250a?a=1556427&be=1646&qt=0&ap=1459&dc=104&
fe=532&to=NlJXbREDV0tUVUJZVg8YYEsKTVxWUl9YVRYJVltdDwdLSxpGV1dcPl9UVwcOXEobRl5A&
v=40&jsonp=NREUM.setToken& ... 

Via de chrome developer toolbar kun je deze trackers op een deelsite goed zien (rood omlijnd) en vormen dus een security/privacy risico.  


Bug in beheermodule
Als beheerder zie je dat google analytics uit kan worden gezet. Dit is echter dus niet het geval: Google Statistics kan NIET worden uitgezet.
 

De GroenLinks werkgroep ICT wil pleio graag actiever gebruiken mits de trackers worden weggehaald. Door de beheersfunctie zo te maken dat trackers kunnen worden uitgezet wordt het systeem veiliger. Naar ons inzien heeft alleen de Google Analytics ergens nut, de andere 2 scripts doen overbodige dingen en kunnen weg.