Tachtig procent overheidssites onveilig - update

"Artikel 13 De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. "
Er staat hier niets expliciet over de beveiliging van de verbinding. Is ook niet voor elk formulier nodig.

Ik vind het ook een beetje overdreven, die nadruk op https. Https is natuurlijk wel van belang voor een open wifi verbinding. Maar een dsl-lijn afluisteren is echt niet zo makkelijk. Het kan ook veel schijnveiligheid geven. Je hebt al niks aan https als er bijvoorbeeld op je pc een keylogging trojan zit. En hoeveel providers bieden een beveiligde mailverbinding aan? Volgens mij biedt alleen xs4all secure smtp/pop3/imaps, en bij alle anderen gaan al je inloggegevens voor de mail ook onversleuteld over het net.

Networking4all is niet zozeer een security-bedrijf als wel een hosting provider, die tevens SSL-certificaten levert. Ik geloof heus wel, dat er bij de overheid het een en ander aan schort, maar ik vraag me af of Networking4all nou de autoriteit is om daarover een uitspraak te doen. Niettemin zet het bedrijf zich natuurlijk aardig op de kaart met deze uitspraak.

Goh,,, Even gekeken of er een ssl verbinding is op te zetten en zo
niet is de website onveilig? Niet gekeken naar wat er wel of niet
aan persoonsgegevens via die website verzonden zou kunnen worden en
verder geen tekst of uitleg? Sterker nog, een flink deel van de sites
is gewoon op https te bereiken maar als virtual host natuurlijk met
een ander ssl certificaat. Een bedrijf wat 4all in zijn naam heeft
omdat dat zo lekker bekte sinds xs4all, wat een beetje aandacht zoekt
in deze komkommer en kwel tijd? Ik moet er een beetje van huilen...

http://www.networking4all.com/nl/over+ons/partners/

Ach kijk nou, https://www.qshops.org:

'www.qshops.org uses an invalid security certificate.
The certificate is not trusted because it is self signed.
The certificate is only valid for siteadmin.specto.nl'

https://www.thuiswinkel.org/

'The connection to www.thuiswinkel.org was interrupted while
the page was loading'

Ik zou als overheid meteen al mijn websites bij de jongens van FUD4ALL
onderbrengen. Zo te zien hebben zij het ssl verhaal helemaal op orde ;)

Pff, wat een kul zeg! Voor zover ik kan nagaan kijkt Networking4all alleen naar het gebruik van een SSL certificaat. (http://www.isdezesiteveilig.nl/) Alsof dat een garantie biedt dat de site veilig is!...
Ook al wordt een SSL certificaat gebruikt, dan nog kan het door slechte programmeertechnieken mogelijk zijn dat ik (persoons)gegevens opvraag die niet voor mijn ogen bestemd zijn.
Ik vind dat Networking4all een beetje een beperkte definitie van een veilige site hanteert.

De overheid is niet geinteresseerd in veiligheid en of je dat nou afmeet aan het al dan niet gebruiken van een SSL certificaat of andere lekken. Het gaat de overheid om scoren bij het grote publiek en laten we wel wezen, dat doe je niet met een veilige site.

Joost Pol, directeur van Certified Secure, laat in een reactie weten dat het gevaar van het ontbreken van een ssl-certificaat wordt overschat. Volgens hem zijn programmeerfouten in webapplicaties vele malen gevaarlijker.

Eens. Een SSL cert is natuurlijk nooit slecht, en in bepaalde situaties zelfs ontzettend belangrijk (denk aan internetbankieren, welliswaar is de kans dat er iemand je verkeer zit te sniffen klein, maar je moet er niet aan denken dat er een kwaadwillend iemand ergens toegang tot de faciliteiten van een ISP heeft).

Zaken als SQL injectie, cross-site scripting of zelfs iets simpels als een klassiek slecht gepatchte server zijn veel risicovoller.

Inderdaad beetje curieus dat dat onderzoek is gedaan door een SSL boer.
Als het een securityaudit bedrijf geweest zou zijn was de conclusie hoogst waarschijnlijk anders geweest.

Een onderzoek moet onafhankelijk zijn. Dat is in dit geval niet, dit bedrijf probeert weer een geldbron aan te boren en in te springen op angst. Ze zoeken de geldbron op, overheidsinstanties in deze zware financiële tijd. tevens mis ik echte onderzoekgegevens, feiten. Het is te oppervlakkig. Dit ruikt naar een 5 miinuten onderzoekje wat ergens op een wc snel bedacht is.

http://www.networking4all.com/nl/over+ons/nieuws/bedrijfsnieuws/overheid+onveilig/

Het lijkt erop dat de genoemde websites inderdaad geen enkele encryptie methode(s) toepassen, dit is waarschijnlijk voor 90% van de websites op het net het geval.

Jammer dat een SSL leverancier een dergelijk onderzoek uitvoert, maar marketing technisch gezien natuurlijk een slimme stap ;-)