Overheid: overheidssites wel goed beveiligd

Volgens hem zijn programmeerfouten in webapplicaties vele malen gevaarlijker.

Klopt, maar hoezo ontslaat dat je van de verplichting om persoonsgegevens te versleutelen? Dat een applicatie een lek heeft, hoeft hopelijk niet te betekenen dat we de rest van de beveiliging dan maar helemaal opgeven.. Zorg liever dat dat lek gerepareerd wordt.

Tja, het is natuurlijk zwaar overdreven door de SSL-boer, maar als het al teveel moeite is om prive-gegevens over SSL te laten versturen dan weet je al hoe het gesteld is met de "programmeerfouten in de webapplicaties".

Te beginnen met het feit dat de meeste apps waarschijnlijk nooit op security getest zijn, en ook developers die security-aware zijn zien weleens wat over het hoofd.

Maar goed, de boodschap van de overheid, "uw privacy zal ons worst wezen" is al een tijdje overduidelijk, dus wat hadden we anders verwacht?

Ehm, een SSL certificaat dient ook niet alleen als versleuteling van gegevens, maar ook als een stukje vertrouwen. Op het moment dat het certificaat in orde is (dus in de nieuwere browsers een vinkje, groene balk, sleutel of wat dan ook geeft), kun je redelijkerwijs erop vertrouwen dat je op de website bent waar je wilt of moet zijn.

Stel je moet naar www.digid.nl. Als deze website met SSL beveiligd is, zal er een certificaatcontrole plaatsvinden welke kijkt of het certificaat in orde is, of deze van een vertrouwde instantie e.d. komt. Als de website niet beveiligd is, hoe weet je dan zeker dat je op de goede site bent? Gebruikers die weinig tot niets van pc's weten kunnen hier geen zekerheid in hebben. Juist voor deze gebruikers zijn SSL certificaten een uitkomst. We hebben niet voor niets de '3 keer kloppen' campagne gehad toch?

Ik vind echter dat die man van Certified Secure hier ook een flater slaat. Als SSL overrated is, waarom staat het dan expliciet vermeld in een op hun website gepubliceerde checklist? Zie: deze link voor de checklist. Quote: 3.5 All communications containing PII must use SSL/TLS or IP-SEC (PII = Personal Identifying Information).

Hmm, er zijn tochg echt zeer slecht beveiligde sites van de overheid.

Er was er eentje bij (ik noem hem even niet) waar ik moest inloggen met mijn naam en mijn BSN om bij zeer persoonlijke en vertrouwelijke informatie te komen. Debieler kun je het toch niet bedacht krijgen dacht ik zo. Echt geheim is dat nummer niet en van veel mensen gewoon openbaar. Eigenlijk is dit niet eens slecht beveiligd maar domweg onbeveiligd.

Privacygevoelige gegevens worden beschermd en veelal alleen via beveiligde verbindingen verstuurd.
Veelal ?
Volgens mij moet dat altijd beveiligd worden.
Off Topic
Is er een tool waarbij ik mijn zoekgeraakte foto's terug kan vinden?
Na het verplaatsen van de klapjap naar externe schijven kan ik ze nergens vinden.

Kan iemand mij uitleggen waarom de PVV als eerste kamer vragen heeft?

Bekijk deze aflevering van Nova eens....

http://www.novatv.nl/page/detail/uitzendingen/7053/Belastingdienst+doet+%27dom%27+met+USB-stick


edit: krijg URL niet goed, ellende

Al is er maar een kruimel niet goed aan de overheidssites, al is er maar een site lek, al is er maar een iemand die twijfeld aan de betrouwbaarheid van de sites van de overheid en er is geen eenduidig antwoord te krijgen of een goed uitleg te verkrijgen, dan is er meer dan reden genoeg om de betrouwbaarheid van het geheel van sites van de rijksoverheid in twijfel te trekken. En dat gaat straks zeker gelden voor het EPD, Electronisch Patiënten Dosier, en als het tegen zit met het centraal opslaan van vinger afdrukken... Beiden krijgen zeer zeker een webinterface.

Oz

Grappig, handvestburgerschap.nl redirect naar een https-site, maar die gebruikt dan weer een brak certificaat, zie twitpic.com/cubqn.

handvestburgerschap.nl is een site van het ministerie van Binnenlandse Zaken.