image

Juridische vraag: is SSL verplicht voor contactformulier?

woensdag 11 september 2013, 11:19 door Arnoud Engelfriet, 18 reacties
Laatst bijgewerkt: 12-09-2013, 12:54

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.

Vraag: Op mijn site wil ik een contactformulier toevoegen. Nu las ik dat je dan verplicht een SSL-verbinding (https) toe te passen, dat is nogal een dure grap voor mij. En toen zag ik dat jij op je blog geen SSL-verbinding hanteert, niet bij je contactformulier en niet bij het plaatsen van reacties. Dus mag ik dan concluderen dat het niet hoeft?

Antwoord: Met een contactformulier sturen mensen persoonsgegevens in. De wet eist dat je die persoonsgegevens ‘adequaat’ beveiligt tegen misbruik en ongeautoriseerde toegang (art. 13 Wbp). De wet zegt echter nergens létterlijk dat SSL-beveiliging verplicht is. Sterker nog de wet bepaalt eigenlijk nergens überhaupt letterlijk welke maatregelen genomen moeten worden. Je moet als beheerder/exploitant van een site zelf bepalen welke maatregelen gepast zijn gezien de aard van de informatie en het mogelijk misbruik daarvan. Er zijn wel richtsnoeren van het College bescherming persoonsgegevens maar meer dan wat best practices en een procesaanpak vind je er niet in.

Bij een bestelformulier op een website stuur je allerlei gegevens op waarmee je een juridisch bindende bestelling plaatst, vaak inclusief betaalgegevens (creditcardnummer). Die kunnen worden gesnift en hergebruikt, en dat is wel ernstig genoeg om beveiliging bij het verzenden te vereisen. En dan ligt SSL dus voor de hand.

Maar bij een blogcommentaarformulier? Oké stel iemand zit in hetzelfde internetcafé als jij, monitort het draadloze netwerk en onderschept je naam en reactie. En dan? Dan kan hij ook reageren op mijn blog. En de reactie te weten komen, drie seconden voordat deze online gaat voor de hele wereld. Nou en?

Het enige stukje echt vertrouwelijke informatie is het e-mailadres, dat ik als beheerder wel zie maar de andere reageerders niet. Dat zou een aanvaller kunnen onderscheppen als ik geen SSL inzet, en dan kan hij dat e-mailadres misbruiken. Tsja. Is de kans op misbruik van dat e-mailadres groot genoeg om een SSL verbinding op dat formulier te rechtvaardigen?

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (18)
11-09-2013, 11:23 door Anoniem
ssl certificaat zelf hoeft ook niks te kosten... (helaas is een van de zwakheden van x509 juist dat er een race to the bottom was)
11-09-2013, 11:36 door [Account Verwijderd] - Bijgewerkt: 11-09-2013, 11:37
[Verwijderd]
11-09-2013, 11:58 door Anoniem
Probleem blijft het "verplichte" IP Adres, tenminste totdat SNI overal bruikbaar is.
11-09-2013, 12:10 door schele - Bijgewerkt: 11-09-2013, 12:11
In dit geval verstrekt de betrokke zelf zijn informatie via het contactformulier. Als iemand je een email stuurt met z'n BSN nummer en z'n adres valt daar ook weinig aan te doen. De wet stipuleert ook niet enkel beveiliging maar vraagt "passende technische en organisatorische" waarborgen rond beveilging. Voor een contactformulier op een blog waar niet specifiek om gevoelige informatie wordt gevraagd is een SSL niet passend wat mij betreft.

Daarnaast is een emailadres an sich geen persoonsgegeven, tenzij het gekoppeld is aan een naam of adres o.i.d. (of het email adres de naam in zich heeft natuurlijk). Persoonsgegeven is het wanneer je een persoon uniek kunt identificeren, vraag je op het formulier dus ook om een naam o.i.d. dan zit je daar al snel natuurlijk (of opnieuw, wanneer het emailadres de naam bevat).

Arnoud: kleine tikfout "eheerder", laatste §
11-09-2013, 12:14 door Anoniem
Lijkt me relevant om je eens af te vragen waarom je nou vanalles tot en met de schoenmaat wil weten van mensen die dat "handige" contactformulier in willen vullen. Zeker als het rood staat van de "verplicht" meldingen of sterretjes, zie ik dat alleen maar als uitnodiging om zoveel mogelijk onzin in het formulier te kalken, en goed voor de toon van het bericht is het ook al niet.

De laatste keer dat ik zelf zo'n formulier bouwde, deed dat niet meer dan vriendelijk om naam, email adres, onderwerp, en een bericht te vragen (waarvan bij ontbreken alleen adres en bericht een vraag om toch invullen opleveren), wat direct in de info@ box gedeponeerd wordt. Met een melding erbij dat het niet beveiligd is en dat je ook info@ zelf mag mailen, eventueel gebruik makende van pgp/gpg. Dat was overigens een algemeen contactformulier, niet iets waar je vanalles kan bestellen. Daar zijn de eisen anders en daar pas je dan je aanpak op aan.

Dit met de filosofie dat als er mensen (zoals ikzelf) langskomen die geen zin hebben in gedwongen invoer van vele "alvast" dingen die er nauwlijks, of gewoon helemaal niet, toe doen dat je dan of onzin toegeworpen krijgt, of de handel ergens anders naartoe gaat. En het scheelt gegevens waar je dan weer goed op moet passen.

Vuistregel: Gegevens die je niet hebt, daar hoef je niet op te passen, dat scheelt (risico op) gedonder.
11-09-2013, 12:53 door Anoniem
Is de kans op misbruik van dat e-mailadres groot genoeg om een SSL verbinding op dat formulier te rechtvaardigen?
Na alle onthullingen van Edward Snowden zou ik zeggen dat die kans levensgroot is.
11-09-2013, 14:04 door Anoniem
Is het niet mogelijk om cliënt-side, dus in de browser, gegevens te versleutelen? Dat zal wellicht niet voor alle gegevens noodzakelijk zijn, maar ik kan me voorstellen dat dingen als het e-mailadres of een telefoonnummer eenvoudig te realiseren is. Zo kan die buurman in het internetcafé dat gedeelte niet oppikken en heb je toch een leuke beveiliging zonder het hoeven toepassen van ssl.
11-09-2013, 15:22 door N4ppy
Door Anoniem: ssl certificaat zelf hoeft ook niks te kosten... (helaas is een van de zwakheden van x509 juist dat er een race to the bottom was)
Een certificaat niet $10 ofzo maar als jij hosting afneemd dan willen ze daar ook geld voor vangen voor setup en per maand en dan kan het oplopen
11-09-2013, 15:25 door Anoniem
Door Anoniem: Is het niet mogelijk om cliënt-side, dus in de browser, gegevens te versleutelen?
Natuurlijk kan dat. Maar dat gaat dan via javascript, bijvoorbeeld. Dat is wat "mega" doet, maar daar bleek onmiddelijk ook alweer een gat in te zitten, en even later kreeg iemand het voorelkaar de hoofdsleutel tot jouw data los te peuteren. En als een "bookmarklet" dat kan, dan kan geinjecteerde javascript van elders ("cross site scripting") dat ook.

Of je doet het via java, waar je dan een java plugin voor nodig hebt. Of je pakt weer een andere plugin, zoals flash. Allemaal niet zonder problemen. En je bent het wiel opnieuw aan het uitvinden. Wat in het geval van crypto dan betekent dat je het vrijwel zeker de eerste tien keer fout gaat doen (een paar keer minder als je eerst een studie cryptologie doet) en dat al die tijd je gebruikers valselijk hopen dat je het goed gedaan hebt.

SSL gebruiken is zeker ook niet perfect, maar heeft vooralsnog een grotere kans om iets wat redelijk werkt op te leveren.
11-09-2013, 15:39 door Anoniem
1) Voor ssl-certificaten hoef je bij cacert.org niet te betalen.

2) Echter, de beveiliging tegen "misbruik en niet-geauthoriseerde-toegang" heeft net zoveel, dan wel niet meer, te maken met de beveiliging van het systeem waar het wordt opgeslagen en verwerkt
11-09-2013, 15:46 door Anoniem
Door Anoniem: Is het niet mogelijk om cliënt-side, dus in de browser, gegevens te versleutelen?

Ja! Met een SSL client-certificaat!
12-09-2013, 10:10 door Anoniem
Door Anoniem: Is het niet mogelijk om cliënt-side, dus in de browser, gegevens te versleutelen?
Dat kan, met JavaScript. Nadeel is dat omdat de verbinding versleuteld is iemand met de webpagina kan knoeien en de beveiliging weer verwijderen.
12-09-2013, 12:32 door Anoniem
Denk aan je bevestigingsmail!

SSL beveiliging voor het invullen en verzenden van een online formulier is één ding, iets anders zijn de bevestingingen per email die je vervolgens kan krijgen.

Hier een voorbeeld van een grote energieleverancier, je vult en verzendt wel binnen een beveiligde omgeving maar krijgt vervolgens op het opgegeven mailadres de volgende gegevens in plain tekst per mail toegezonden (lees mee en huiver).

Retour per mail in plain tekst :

- Subject: (bijvoorbeeld een) 'Klacht'
- FormID: ...
- Klantnummer: ...
- Voorletters: ...
- Achternaam: ...
- Geslacht: ...
-Emailadres: ...
- Telefoonnummer: ...
- Leveringsadres :
- Straat: ...
- Huisnummer: ...
- Toevoeging: ...
- Postcode: ...
- Woonplaats: ...

- Dan een kopie-tekst van de volledig gevoerde correspondentie

- Eerder contact: Nee

- Terugbellen
Maandag: (Opgegeven tijden)
Dinsdag: (Opgegeven tijden)
Woensdag: (Opgegeven tijden)
Donderdag: (Opgegeven tijden)
Vrijdag: (Opgegeven tijden)

Bedenk zelf maar wat met deze onderschepte gegevens allemaal kan.

Wijzen op, heeft geen resultaat (of wederom de verzameling gevens in de bevestigingskopie per email).
Er er zijn meer (of best veel?) bedrijven die dit in variant doen (dan heeft die beveiligde ssl webform niet bepaald zin) en niets doen als je ze erop wijst.
Overweeg eens gegevens (bijv passwords) als afbeelding te versturen, tekst-pdf's kunnen ook geautomatiseerd omgezet worden naar platte afbeelding pdf's (tekst misschien iets onscherper).

Denk dus aan je bevestigingen op een verzonden webformulier!
12-09-2013, 16:54 door Anoniem
Ik lees je eis voor SSL certificaat. Iedereen hier neemt direct aan dat je dan een public SSL certificaat moet nemen wat geld kost. Je kan ook private SSL certificaat installeren. Dan is de verbinding beveiligd, maar het is alleen geen verificatie voor de bezoeker of hij jouw site bezoekt... Maar dat is ook niet de eis lees ik ;-)...
13-09-2013, 08:49 door Anoniem
zoals iemand al zegt. SSL is opzich niet duur maar ipv een beetje webspace moet je dan een ip adres hebben omdat niet iedereen op poort 443 op hetzetde ip een ssl server kan draaien.

Ook zo'n hosting is wel te betalen hoor maar altijd duurder dan het gratis stukje schijfruimte bij je provider.
16-09-2013, 19:10 door Nietsnut
Draai al jaren meerdere websites maar het ligt eraan waar het contact formulier voor is een webwinkel ja dan zou het contact formulier beveiligd moeten zijn een website over papieren hoedjes vouwen dan lijkt het mij rijkelijk overdreven.
17-09-2013, 13:42 door Patio
Door Anoniem: Probleem blijft het "verplichte" IP Adres, tenminste totdat SNI overal bruikbaar is.

Kan een eventuele aanvaller iets met een IP-adres? Dacht het niet. Zeker als het dynamisch is, heb je niks te vrezen. Ze kunnen er weinig tot niets mee.
17-09-2013, 13:46 door Patio - Bijgewerkt: 17-09-2013, 13:48
@Anoniem: hosting is wel te betalen hoor maar altijd duurder dan het gratis stukje schijfruimte bij je provider.

Hosting kan zelfs gratis. Kijk maar bij tripod bijvoorbeeld. Alleen krijg je dan wat reclame op je webstek.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.