De provider is het vooral oneens met het advies van de beveiligingsgroep dat e-commercesites beter geen gebruik kunnen maken van de 'security faciliteiten' van XS4ALL. Dat advies is 'één conclusie te ver', aldus algemeen directeur Doke Pelleboer van de provider.

HIT2000 maakte dinsdag een rapport openbaar over de eigen beveiliging van in Nederland gevestigde ict-bedrijven die zich met beveiliging bezighouden. Daarbij werd ook XS4ALL onderzocht. De groep ontdekte naar eigen zeggen een aantal fouten op het serverpark van XS4ALL, waardoor het mogelijk is in 'alle directories te kijken'.

Die constatering is volgens de provider weliswaar terecht, maar niet specifiek voor het platform van XS4ALL. "Dat het redelijk eenvoudig is leesrechten te krijgen, is inherent aan shared webhosting", zo zegt Pelleboer.

"Het heeft niets te maken met het platform van XS4ALL. De fout, voor zover het al een fout te noemen is, doet zich ook voor bij andere providers als Vuurwerk of UUNet. Bovendien is het probleem bij ons al anderhalf jaar bekend." Volgens Pelleboer verschijnt binnen een paar maanden nieuwe software die een 'fundamentele oplossing' voor het probleem levert.

Tot die tijd is het aan de bouwers van de site zelf om de content van de website te beveiligen, aldus Pelleboer. XS4ALL claimt klanten te wijzen op te nemen maatregelen en ook de benodigde middelen ter beschikking te stellen. "Wij geven allerlei sleutels. Maar als iemand die sleutels onder de mat voor de deur legt, houdt het op", aldus Pelleboer.

HIT2000 verklaarde bij een door XS4ALL gehoste pornosite makkelijk persoonlijke gegevens, zoals namen en adressen maar ook creditcardnummers, te hebben achterhaald. Volgens XS4ALL is dat te voorkomen.

"Een site is in hoge mate te beveiligen, maar de bouwer van de site moet dat zelf doen. Dat maakt een site echter wel duurder, en mogelijk dat sommigen het daarom niet doen. Een gerenommeerde sitebouwer zal een klant echter wijzen op de problemen en adviseren de boel dicht te zetten", zo zegt Pelleboer.

Een ander kritiekpunt van HIT2000 was dat bij 'vrijwel alle' door XS4ALL gehoste sites de geheime sleutel (private key) achterhaald zou kunnen worden, waardoor versleuteling overbodig wordt. De provider claimt dat die sleutel een standaard meegeleverde dummy is, waar verder niets mee te doen is.