Toon posts:

Via gedeelde link ingelogd op account van ander nu.nl

Pagina: 1
Acties:

woensdag 19 oktober 2022 09:45

Acties:
  • 0Henk 'm!
  • BLACKfm
  • Registratie: Maart 2004
  • Laatst online: 30-03 21:08

BLACKfm

o_O

Topicstarter
Hallo,

Uit een online discord vriendengroepje kreeg ik vandaag ineens van iemand te horen (met screenshots) 'Hey, ik zie nu ineens staat dat ik ben ingelogd onder jouw gegevens op nu.nl'

Mijn directe vraag: Kun je middels het delen van een link van nu.nl (of eigenlijk alle DPG media sites, want die zullen wel enigszins gekoppeld zijn) ineens ingelogd zijn terwijl je de credentials niet hebt?


Ik zie nu bijvoorbeeld als ik een 'http://nu.nl/artikel-link' pagina open dat er eerst een 'https://www.nu.nl/login/callback?state=eyd3Lm51Lm5&code=OzP7DtB2_e7IczPzP7DNn_1SzOslMUI" (link aangepast met willekeurige code, maar principe is hetzelfde) link in de adressbalk staat.

Dat ziet er nogal 'sus' uit. Het is niet duidelijk of het door een recent gedeelde link of een oude link komt. Die persoon kan dat zo gauw even niet achterhalen, viel gisteren pas op dat die onder mijn account is ingelogd.

Kan middels die 'login callback' link het bijvoorbeeld zijn dat die ergens een sessie open heeft voor x-seconden en als je binnen die tijd de link gebruikt je automatisch bent ingelogd?

Ik heb wel vaker gezien dat middels een link je ergens inlogt (dat was binnen een administratief betaalsysteem, een enorme fout gezien er veel persoonlijke data was te zien zonder dat je hoeft in te loggen. Toegang tot de mail was voldoende).


Edit: Ik test nu even snel, ik ben ingelogd op nu.nl. Open ik de originele link blijf ik ingelogd. Gebruik ik bovenstaand aangepaste link, dan ben ik ineens uitgelogd. Ofja, visueel in ieder geval (waar anders mijn username staat, staat dan 'inloggen'), als ik wil inloggen of reageren ben ik ineens weer ingelogd.

[Voor 10% gewijzigd door BLACKfm op 19-10-2022 09:49]

Litebit.eu voorraad check :).

woensdag 19 oktober 2022 10:21

Acties:
  • +1Henk 'm!
  • sypie
  • Registratie: Oktober 2000
  • Niet online

sypie

@BLACKfm Wil je mij een DM sturen met de nu.nl link? Dan kan ik zo voor je testen of dat klopt. Ik heb geen account op nu.nl dus ingelogd zijn betekent dan automatisch dat het op die manier mogelijk is.

woensdag 19 oktober 2022 10:26

Acties:
  • +3Henk 'm!
  • ZpAz
  • Registratie: September 2005
  • Laatst online: 21:10

ZpAz

(jarig!)
sypie schreef op woensdag 19 oktober 2022 @ 10:21:
@BLACKfm Wil je mij een DM sturen met de nu.nl link? Dan kan ik zo voor je testen of dat klopt. Ik heb geen account op nu.nl dus ingelogd zijn betekent dan automatisch dat het op die manier mogelijk is.
Hij kan ook gewoon de link in een private window openen om te testen of hij dan ook ingelogd wordt.

"Lambs to the cosmic slaughter!" - Morty

woensdag 19 oktober 2022 10:52

Acties:
  • 0Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

In het heel algemeen: als een devver heeft lopen slapen dan kan dat vast ja.

Maar dit zou inderdaad makkelijk te testen moeten zijn, in een private window.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 19 oktober 2022 11:56

Acties:
  • +1Henk 'm!
  • BLACKfm
  • Registratie: Maart 2004
  • Laatst online: 30-03 21:08

BLACKfm

o_O

Topicstarter
Ik heb het geprobeerd met een andere browser en als ik uitgelogd ben, maar ik kan het niet reproduceren. Maar zou het eigenlijk dan moeten testen op een systeem waar ik nog helemaal niet op bekend ben (dat kan ik thuis wel testen op een laptop)

Als ik overigens in de normale modus van Chrome uitlog op nu.nl, en dan de links open vanuit discord krijg ik niet die tussenstap van 'Login/callback' maar gaat die gelijk naar de bewuste link toe.

Als ik uitlog en die 'login/callback' link gebruik ben ik ook niet weer ineens ingelogd. Die 'login/callback' link heb ik daar 10 seconden voor terug gekopieerd. Ik kom echter wel op de pagina uit waar het naar zou linken, dus ergens in die 'code' van de link (bijv '51Lm5sL2Vjb....') staat wel de link naar het bewuste artikel.

Enige wat ik nog niet getest heb is hoe het werkt met mensen die zijn ingelogd op een eigen account en dan een link doorgestuurd krijgen. Al lijkt het dan wel op lokaal niveau iets te doen in de vorm van:

Open link -> Controleer of ik (browser) cookies heb van nu.nl en of gebruiker is ingelogd -> Bevestig dit met die login/callback url -> Schotel de bewuste pagina voor terwijl je bent ingelogd.

In het deel 'open link' zit verder geen data van de wederpartij. Zelfs de link kopieren in notepad en deze dan doorsturen geeft een zelfde resultaat, dus er lijkt geen verborgen informatie in de link te staan.

Als ik de zelfde link achter elkaar open is de 'State=....' hetzelfde (dat zal wel de hash van de url zijn). De 'code=...' is wel steeds anders. (De state is anders bij een andere url/pagina)

code:
1
2
3

https://www.nu.nl/login/callback?state=eyJvcmlnaW5hbFVybCI6Imh0dHBzOi8vd3d3Lm51Lm5sL3ZvZXRiYWwvNjIzMDgyNi96d2Fsa2VuZC1zY2hhbGtlLTA0LW9udHNsYWF0LXRyYWluZXIta3JhbWVyLW5hLWthbnNsb3plLXVpdHNjaGFrZWxpbmctaW4tYmVrZXIuaHRtbCJ9&code=3yTdGkN9LF5cNjxXv6TjPpGrU_7sUSmBMmkDSwuiGmg
https://www.nu.nl/login/callback?state=eyJvcmlnaW5hbFVybCI6Imh0dHBzOi8vd3d3Lm51Lm5sL3ZvZXRiYWwvNjIzMDgyNi96d2Fsa2VuZC1zY2hhbGtlLTA0LW9udHNsYWF0LXRyYWluZXIta3JhbWVyLW5hLWthbnNsb3plLXVpdHNjaGFrZWxpbmctaW4tYmVrZXIuaHRtbCJ9&code=Xyej1o_i8E5cR7CNP1lV_vazscUNZQ62gnd0-yqw1J4
https://www.nu.nl/login/callback?state=eyJvcmlnaW5hbFVybCI6Imh0dHBzOi8vd3d3Lm51Lm5sL3ZvZXRiYWwvNjIzMDgyNi96d2Fsa2VuZC1zY2hhbGtlLTA0LW9udHNsYWF0LXRyYWluZXIta3JhbWVyLW5hLWthbnNsb3plLXVpdHNjaGFrZWxpbmctaW4tYmVrZXIuaHRtbCJ9&code=fXany6B734np4Zoxi4vB_i_CLXNen5X6qGOWvmexxQA

De bewuste link: https://www.nu.nl/voetbal...tschakeling-in-beker.html

én nu met al dat testen krijg ik nu zelfs links waarbij er niet via die 'login/callback' wordt geopend, maar gaat die gelijk (instant, zonder laadtijd) naar de bewuste pagina toe. En ik ben ingelogd.

Dus ik denk, misschien ligt het aan discord, maar als ik dan weer de links waarbij ik het wel krijg post gebeurt het weer wel. Er is geen pijl op te trekken |:(

[Voor 35% gewijzigd door BLACKfm op 19-10-2022 14:59]

Litebit.eu voorraad check :).

zondag 30 oktober 2022 03:13

Acties:
  • 0Henk 'm!
  • iiooii
  • Registratie: Oktober 2011
  • Laatst online: 01-11-2022

iiooii

Hallo, ik haak even in.

Ik kom zelden op nu.nl en heb geen account.
Mijn vriendin ook niet.

Een week of 2 geleden was ik toch even op nu.nl en klikte op reacties om die te lezen.
Maar in plaats van de reacties kreeg ik een pop-up te zien om in te loggen waarin de naam van mijn vriendin al ingevuld stond.
Ze gebruikt mijn telefoon nooit, al helemaal niet met haar gegevens, ze heeft zelf een ipad pro en een android telefoon, ik heb een windows pc en android telefoons.
Ik gebruik een vpn maar die staat niet voortdurend aan.

Iemand enig idee hoe dit kan ? ik vind het best bizar. of is dit simpel een kwestie van router IP oid ?

zondag 30 oktober 2022 03:55

Acties:
  • +1Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 22:54

laurens0619

@iiooii het is geen nu.nl account maar dpgmedia. Als je ooit andere dpgmedia dienst hebt gebruikt dan krijg je dat je adres er al staat
Met een DPG Media account kun je inloggen op de websites en in de apps van deze merken van DPG Media:

NU.nl, het AD, de Volkskrant, Trouw, Het Parool, de Stentor, Tubantia, de Gelderlander, het ED, Brabants Dagblad, BN DeStem en de PZC
Libelle, Margriet, Veronica Superguide, Story, Nouveau, AutoWeek, Ouders van Nu, vtwonen college, Stijlvol Wonen
Tijdschrift.nl, Reclamefolder.nl
Qmusic, Joe
Automatisch inloggen op DPGmedia dochtersites

[Voor 39% gewijzigd door laurens0619 op 30-10-2022 04:01]

CISSP! Drop your encryption keys!

dinsdag 1 november 2022 15:50

Acties:
  • 0Henk 'm!
  • iiooii
  • Registratie: Oktober 2011
  • Laatst online: 01-11-2022

iiooii

Automatisch inloggen op DPGmedia dochtersites
[/quote]

Wauw, ik voel me ontzettend naief ineens, maar bedankt !
Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee