Abuse Melding

Je hebt een klacht over de onderstaande posting:

31-10-2014, 00:50 door Erik van Straten

Zoals ik in https://www.security.nl/posting/406814/%22Koppeling+naar+DigiD-pagina+bij+12+gemeenten+slecht+beveiligd%22#posting406856 schreef, klopte er het een en ander niet aan wat Erik Westhovens in de TV uitzending "Opgelicht" beweerde. Door Redactie: "In tegenstelling tot wat in de media wordt geschreven is het met deze kwetsbaarheid sowieso niet mogelijk geweest om direct DigiD-wachtwoorden van burgers te achterhalen", aldus de IBD. Maar dat vind ik ook te kort door de bocht. Als ik het goed begrepen heb, had een aanvaller (via het CMS) Administrator rechten kunnen krijgen op de webserver. Daarmee had hij dan een nep-DigiD inlogpagina op die site kunnen maken. Zo'n nep DigiD inlogpagina had er zo uit kunnen zien: http://i.imgur.com/IALiSn7.png (Nb. het slotje is natuurlijk een favicon). Wie trapt daar nou in? Nu zullen alle puristen wel weer roepen dat je "natuurlijk" op de domainname moet letten, maar als bezoeker schenk je vertrouwen in de website van de gemeente die je bezoekt. En anderen zullen ...

Beschrijf je klacht (Optioneel):

captcha