Je hebt een klacht over de onderstaande posting:
<i>Of zeg ik hier nu iets raars?</i> Helemaal niet! Ik wou net zo een reactie schrijven na lezing van het artikel. Juist omdat deze dienst zo centraal staat in het autenticatie verhaal zou de architectuur dat moeten reflecteren door 'defense in depth' attributen. Dat DigiD kwetsbaar is voor RoR kwetsbaarheden lijkt aan te geven aan dat hier met de pet naar is gegooid. (Misschien is dit weer een gevalletje openbare aanbesteding tegen laagste prijs: de beunhazen komen zo boven drijven.) Mensen kunnen hier nog zo vaak schrijven dat er goed is gehandeld door de beheerders, ik stel dat dat niet helpt zolang je applicatie zo knullig in elkaar steekt. Het is vergelijkbaar met security-through-obscurity: het werkt even maar je vaart blind op het moment dat het gecompromitteerd is door een kwaadwillende parij.
Beschrijf je klacht (Optioneel):