Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
PostNL onveilige bestelling zegels troonswisseling
08-02-2013, 17:28 door Anoniem, 22 reacties
Vandaag maar weer eens een mail gestuurd naar in dit geval PostNL betreffende beveiliging van de site.
Bij het bestellen van de gelegenheidszegels troonswisseling kom je uit op een site van eurocase.net.
Daar tref je dan een bestelformulier aan maar dat is niet beveiligd. Dit terwijl je wel al je persoonlijke gegevens en tevens voor de eenmalige automatische incasso je rekeninggevens in moet vullen.
Bij PostNL neergelegd dat ze daarmee ook niet aan de eisen voldoen die voor webwinkels zijn opgesteld door minimaal over een versleuteld kanaal de data te laten lopen.
In de algemene voorwaarden duwen ze overigens alle verantwoordelijkheid voor het gebruik van de website van zich af. Dit is toch verdikke niet meer van deze tijd. Iemand anders ervaringen op eenzelfde wijze? Vorig jaar had ik nog bij Ardennes Etape (huisje boekingssite) allerlei lekken gezien. Maar netjes gemeld bij de beheerder. Zij hebben het toen wel netjes opgepakt.
Bij het bestellen van de gelegenheidszegels troonswisseling kom je uit op een site van eurocase.net.
Daar tref je dan een bestelformulier aan maar dat is niet beveiligd. Dit terwijl je wel al je persoonlijke gegevens en tevens voor de eenmalige automatische incasso je rekeninggevens in moet vullen.
Bij PostNL neergelegd dat ze daarmee ook niet aan de eisen voldoen die voor webwinkels zijn opgesteld door minimaal over een versleuteld kanaal de data te laten lopen.
In de algemene voorwaarden duwen ze overigens alle verantwoordelijkheid voor het gebruik van de website van zich af. Dit is toch verdikke niet meer van deze tijd. Iemand anders ervaringen op eenzelfde wijze? Vorig jaar had ik nog bij Ardennes Etape (huisje boekingssite) allerlei lekken gezien. Maar netjes gemeld bij de beheerder. Zij hebben het toen wel netjes opgepakt.
Reacties (22)
10-02-2013, 17:43 door
yobi
https:// voor het adres typen werkt niet. Er komt dan een foutmelding. De server staat in Nederland, dus deze zou zich aan de Nederlandse wet moeten houden. Misschien aangifte doen of zo?
Als we nu eens met zn allen een mail naar PostNL sturen dat ze onveilig bezig zijn, zich niet aan de wet houden en kennelijk geen zin hebben om veilig met andermans persoonsgegevens om te gaan....!
Personen bij dit soort bedrijven beginnen pas een verantwoordelijkheidsgevoel te ontwikkelen als ze merken dat het voor zichzelf negatief is waar ze mee bezig zijn. Mailen dus, als security professionals en privacybewuste personen.
Personen bij dit soort bedrijven beginnen pas een verantwoordelijkheidsgevoel te ontwikkelen als ze merken dat het voor zichzelf negatief is waar ze mee bezig zijn. Mailen dus, als security professionals en privacybewuste personen.
10-02-2013, 19:55 door
[Account Verwijderd]
[Verwijderd]
10-02-2013, 23:29 door
Erik van Straten
Het barst in Nederland van de webshops e.d. waarbij SSL/TLS niet of slecht zijn geïmplementeerd. Sterker, bij de meeste overheidssites werkt https helemaal niet. Hoezo betrouwbare overheid...
https://www.rijksoverheid.nl/ ==> redirect naar:
http://www.rijksoverheid.nl/
https://www.belastingdienst.nl/: timeout
http://www.belastingdienst.nl/ werkt wel
https://www.kvk.nl/ ==> redirect naar:
http://www.kvk.nl/
https://wetten.overheid.nl/: timeout
http://wetten.overheid.nl/ werkt wel
https://www.uwv.nl/: geen verbinding mogelijk
http://www.uwv.nl/ werkt wel
Er zijn ook overheidssites waar je op kunt/moet inloggen (persoonsgegevens dus!) zonder dat https mogelijk is. Te bizar voor woorden.
https://www.rijksoverheid.nl/ ==> redirect naar:
http://www.rijksoverheid.nl/
https://www.belastingdienst.nl/: timeout
http://www.belastingdienst.nl/ werkt wel
https://www.kvk.nl/ ==> redirect naar:
http://www.kvk.nl/
https://wetten.overheid.nl/: timeout
http://wetten.overheid.nl/ werkt wel
https://www.uwv.nl/: geen verbinding mogelijk
http://www.uwv.nl/ werkt wel
Er zijn ook overheidssites waar je op kunt/moet inloggen (persoonsgegevens dus!) zonder dat https mogelijk is. Te bizar voor woorden.
Beetje kort door de bocht. Indien je inlogt bij een overheidswebsite krijg je wel degelijk een HTTPS verbinding. Voor het bezoeken van een website zonder dat je gegevens verzend is het volslagen onzin om dit over HTTPS te sturen.
@Erik van Straten. Op welke overheidssites kan/moet je dan precies inloggen zonder https? Ik ben wel benieuwd naar een voorbeeld. Volgens mij log je bij de overheid veelal in met je DigID, daarvan kun je zeggen wat je wil, maar is wel https.
Ik kan alleen www.werkenbijdeoverheid.nl geen ssl ontdekken bij de login. Zijn er nog meer?
Ik kan alleen www.werkenbijdeoverheid.nl geen ssl ontdekken bij de login. Zijn er nog meer?
Misschien wel goed om dit bij het programma Radar of Kassa neer te leggen?
Ik heb ook wel eens een op een reis website gehad dat al bij het invullen van je belangrijkste gegevens er geen beveiliging aanwezig was. Dit heb ik ook gemeld maar heb nooit een reactie terug ontvangen en er is ook nooit iets aangepast.
De Wet op de privacy is blijkbaar niet zo erg belangrijk.
Ik heb ook wel eens een op een reis website gehad dat al bij het invullen van je belangrijkste gegevens er geen beveiliging aanwezig was. Dit heb ik ook gemeld maar heb nooit een reactie terug ontvangen en er is ook nooit iets aangepast.
De Wet op de privacy is blijkbaar niet zo erg belangrijk.
Klok en klepel. Een formulier kan prima via HTTP worden opgehaald. De vraag is of het verzenden (de POST) uiteindelijk via SSL gebeurd of niet. Heb je dat goed uitgezocht?
Ik heb het probleem bij http://www.hcc.nl/meldpunt neergelegd. Misschien kunnen meerderen dat doen.
@Anoniem 10:03. Ik heb nog even op werkenbijdeoverheid.nl gekeken. Daar wordt het form inderdaad via SSL gepost, maar heeft de site zelf geen SSL. In het kader van "3x kloppen" niet OK, maar het is wel gewoon beveiligd.
11-02-2013, 14:26 door
Erik van Straten
Door Anoniem: @Erik van Straten. Op welke overheidssites kan/moet je dan precies inloggen zonder https? Ik ben wel benieuwd naar een voorbeeld. Volgens mij log je bij de overheid veelal in met je DigID, daarvan kun je zeggen wat je wil, maar is wel https.
Ik kan alleen www.werkenbijdeoverheid.nl geen ssl ontdekken bij de login. Zijn er nog meer?
Ja er zijn meer maar ik kan en wil niet alles vertellen (ik heb het aangekaart bij de betreffende instantie, maar ik weet niet of ze daar wat mee gaan doen).Ik kan alleen www.werkenbijdeoverheid.nl geen ssl ontdekken bij de login. Zijn er nog meer?
Door Anoniem: @Anoniem 10:03. Ik heb nog even op werkenbijdeoverheid.nl gekeken. Daar wordt het form inderdaad via SSL gepost, maar heeft de site zelf geen SSL. In het kader van "3x kloppen" niet OK, maar het is wel gewoon beveiligd.
Nee dat is het niet.Je kunt redelijkerwijs niet van eindgebruikers verwachten dat zij in de source gaan kijken of POST opdrachten via https zullen plaatsvinden, en de halve wereld surft op openbare WiFi netwerken.
Elke site waarop je op een gegeven moment iets vertrouwelijks gaat doen moet vanaf begin af aan https-only zijn. De gebruiker kijkt hooguit naar slotjes op het moment dat zij de sessie start, niet meer daarna. Technisch gezien hoor je de zaak dicht te timmeren met https-only cookies en dergelijke, dat werkt voor geen meter met mixed content waardoor er allerlei aanvallen mogelijk mijn.
http is leuk voor nu.nl maar belachelijk voor sites waar je officiële informatie vandaan haalt; in dat geval wil je met behoorlijke zekerheid kunnen vaststellen dat het om een legitieme (overheids-) site gaat. Ook daar is https voor bedoeld.
Waarom kan Google (https://encrypted.google.com/), een van de meest bezochte sites op internet, dit wel voor elkaar krijgen en zit de rest van de wereld te zuchten dat het zo moeilijk en zo duur is en zoveel performance kost? Crap.
1625: Edited typo: "http-only cookies" moest natuurlijk "https-only cookies" zijn
Door Erik van Straten:
https-only cookies bestaan niet. Cookies hebben de Secure- en of HttpOnly flag voor HTTPS.
Door Anoniem:
1625: Edited typo: "http-only cookies" moest natuurlijk "https-only cookies" zijn
1625: Edited typo: "http-only cookies" moest natuurlijk "https-only cookies" zijn
https-only cookies bestaan niet. Cookies hebben de Secure- en of HttpOnly flag voor HTTPS.
Dus naast het drama 'post bezorgen' (die dan niet aan komt, verwijzen naar algemene voorwaarden... en zoek het maar uit... wij zij betaald), hebben ze dus ook lekker POSTs...
Toch best jammer, toen het nog PTT was, was het best een fatsoenlijk bedrijf.
Het enige bruikbare advies lijkt me dan toch om die site maar te mijden. Heel misschien kan het ze wat schelen dat ze omzet missen. Wellicht doen ze er dan wat aan. Maar als ik zie hoe arrogant postnl zich doorgaans opstelt zal dat wel ijdele hoop zijn...
Toch best jammer, toen het nog PTT was, was het best een fatsoenlijk bedrijf.
Het enige bruikbare advies lijkt me dan toch om die site maar te mijden. Heel misschien kan het ze wat schelen dat ze omzet missen. Wellicht doen ze er dan wat aan. Maar als ik zie hoe arrogant postnl zich doorgaans opstelt zal dat wel ijdele hoop zijn...
12-02-2013, 22:10 door
Erik van Straten
Door Anoniem:
https-only cookies bestaan niet. Cookies hebben de Secure- en of HttpOnly flag voor HTTPS.
Je hebt helemaal gelijk, mijn fout! Ik hem me hier een tijd geleden een klein beetje in verdiept maar de kennis was weggezakt. Goed om het nog weer eens na te lezen!Door Erik van Straten: 1625: Edited typo: "http-only cookies" moest natuurlijk "https-only cookies" zijn
https-only cookies bestaan niet. Cookies hebben de Secure- en of HttpOnly flag voor HTTPS.
Veel info over HTTPOnly cookies: https://www.owasp.org/index.php/HttpOnly en http://www.codinghorror.com/blog/2008/08/protecting-your-cookies-httponly.html
Info over zowel de HTTPOnly als Secure attributes: https://en.wikipedia.org/wiki/HTTP_cookie
Waarschuwing dat HTTPOnly cookies niet zaligmakend zijn: http://www.gnucitizen.org/blog/why-httponly-wont-protect-you/
https://www.eurocase.net/oranje2/index.htm
Het is denk ik al aangepast.
Het is denk ik al aangepast.
Ik zit met die postzegels. Heb Eurocase getracht te bellen om te horen wat ik nou precies heb, ze zeggen namelijk op de factuur dat de troonswisselingspostzegels een zending UIT EEN COLLECTIE zijn. Eurocase is zowel telefonisch als via de mail onbereikbaar. Althans, uiteindelijk heb ik het opgegeven. En nu????? Waar zit ik aan vast? En hoe kom ik eraf? Iemand enig idee??
In elk geval is de beveiliging van eurocase.net uit het eerste bericht opgelost.
Ik zat gisteren op 'muntnl.nl'. Als je op bestellen klikt kom je op https://www.eurocase.net/....
Op eurocase is volgens mij ook niets op te zeggen. Je zult naar de originele site moeten waar je de bestelling geplaatst hebt. eorocase is meer iets als een koeriersdienst die ook de incasso doet, volgens mij.
Ik zat gisteren op 'muntnl.nl'. Als je op bestellen klikt kom je op https://www.eurocase.net/....
Op eurocase is volgens mij ook niets op te zeggen. Je zult naar de originele site moeten waar je de bestelling geplaatst hebt. eorocase is meer iets als een koeriersdienst die ook de incasso doet, volgens mij.
17-06-2013, 10:05 door
Thijs452
Door Anoniem: Ik zit met die postzegels. Heb Eurocase getracht te bellen om te horen wat ik nou precies heb, ze zeggen namelijk op de factuur dat de troonswisselingspostzegels een zending UIT EEN COLLECTIE zijn. Eurocase is zowel telefonisch als via de mail onbereikbaar. Althans, uiteindelijk heb ik het opgegeven. En nu????? Waar zit ik aan vast? En hoe kom ik eraf? Iemand enig idee??
Ik las dat je deze bestellingen kunt storneren via de bank (automatisch incasso) en middels een brief schriftelijk kunt stopzetten (soort abonnement). Daarnaast is het aan de leverancier om aan te tonen dat jij een collectie hebt besteld c.q. gekocht en met alle voorwaarden hebt ingestemd. Mijn advies zou zijn; niet betalen tot men met onderbouwing komt en de bank het bedrag laten storneren. Dan zal dit snel genoeg gebeuren!
"https://wetten.overheid.nl/: timeout, http://wetten.overheid.nl/ werkt wel"
Leg eens uit waarom wetten.overheid.nl via een encrypted verbinding zou moeten lopen ? Stel je jezelf wel de vraag wat je precies wilt dat er beveiligt wordt ? Indien ik een wetsartikel lees, dan boeit encryptie mij niet. De website slaat geen persoonsgegevens op, of andere gevoelige zaken.
"https://www.belastingdienst.nl/: timeout, http://www.belastingdienst.nl/ werkt wel"
Indien je naar het deel van de website gaat waar je persoonlijke gegevens en dergelijke invult, dan is het netjes afgeschermd (https://mijn.belastingdienst.nl/Webdiensten/). Wil je dat de verbinding encrypted is wanneer je een brochure opvraagt, of het adres/openingstijden van het belastingkantoor op wilt zoeken ?
"Ik kan alleen www.werkenbijdeoverheid.nl geen ssl ontdekken bij de login. Zijn er nog meer?"
Netjes via https zodra je inlogt -> https://www.werkenbijdeoverheid.nl/persoonlijk-dossier/user/login
"https://www.uwv.nl/: geen verbinding mogelijk, http://www.uwv.nl/ werkt wel"
Persoonlijke gegevens staan allemaal op MijnUWV (https://portaal.uwv.nl/werknemer/mijnuwv.aspx). Verbinding is encrypted, en ook (Digid) login gaat via HTTPS. Waar ben je bang voor, dat mensen kunnen zien dat je generieke informatie van het UWV non-encrypted opvraagt ?
Ik zie bij dit artikel vooral mensen die niet lijken te snappen wat wel gevoelig is, en wat niet. Je hoeft niet de gehele website achter HTTPS te plaatsen, en bij de meeste genoemde websites is de privacy gewaarborgd doordat de essentiele delen van de website wel degelijk gebruik maken van HTTPS.
Leg eens uit waarom wetten.overheid.nl via een encrypted verbinding zou moeten lopen ? Stel je jezelf wel de vraag wat je precies wilt dat er beveiligt wordt ? Indien ik een wetsartikel lees, dan boeit encryptie mij niet. De website slaat geen persoonsgegevens op, of andere gevoelige zaken.
"https://www.belastingdienst.nl/: timeout, http://www.belastingdienst.nl/ werkt wel"
Indien je naar het deel van de website gaat waar je persoonlijke gegevens en dergelijke invult, dan is het netjes afgeschermd (https://mijn.belastingdienst.nl/Webdiensten/). Wil je dat de verbinding encrypted is wanneer je een brochure opvraagt, of het adres/openingstijden van het belastingkantoor op wilt zoeken ?
"Ik kan alleen www.werkenbijdeoverheid.nl geen ssl ontdekken bij de login. Zijn er nog meer?"
Netjes via https zodra je inlogt -> https://www.werkenbijdeoverheid.nl/persoonlijk-dossier/user/login
"https://www.uwv.nl/: geen verbinding mogelijk, http://www.uwv.nl/ werkt wel"
Persoonlijke gegevens staan allemaal op MijnUWV (https://portaal.uwv.nl/werknemer/mijnuwv.aspx). Verbinding is encrypted, en ook (Digid) login gaat via HTTPS. Waar ben je bang voor, dat mensen kunnen zien dat je generieke informatie van het UWV non-encrypted opvraagt ?
Ik zie bij dit artikel vooral mensen die niet lijken te snappen wat wel gevoelig is, en wat niet. Je hoeft niet de gehele website achter HTTPS te plaatsen, en bij de meeste genoemde websites is de privacy gewaarborgd doordat de essentiele delen van de website wel degelijk gebruik maken van HTTPS.
HTTPS verbindingen kosten meer rekenkracht en dus meer stroom. Dus zeker als je vanaf een accu-powered apparaat werkt, wil je niet onnodig alle websites via een encrypted verbinding bekijken.
Zojuist deed ik een bestellling bij CollectClub van PostNL.. ik was mijn wachtwoord kwijt.. krijg ik deze toegezonden via mail..
Er mankeert nog wel meer aan de PostNL website op veiligheids gebied! :/
Er mankeert nog wel meer aan de PostNL website op veiligheids gebied! :/
ik ben dus ook zo stam geweest om de "gratis" zegels te bestellen .
vervolgens een rekening voor de verzend kosten (nou vond ik dat nog geen ramp) .
nu krijg ik dus een vervolg collectie ongevraagd opgestuurd en hiervoor moet ik dan wel even fijn 20,- aftikken .
zijn ze nou helemaal .... ik heb gelijk een mail gedaan dat ze het als de sodemieter op kunnen komen halen en dat ik dus geen cent betaal (ben blij dat ik geen auto incasso heb gedaan) .
hopelijk word het snel opgelost , ik ben er gewoon depri van .
vervolgens een rekening voor de verzend kosten (nou vond ik dat nog geen ramp) .
nu krijg ik dus een vervolg collectie ongevraagd opgestuurd en hiervoor moet ik dan wel even fijn 20,- aftikken .
zijn ze nou helemaal .... ik heb gelijk een mail gedaan dat ze het als de sodemieter op kunnen komen halen en dat ik dus geen cent betaal (ben blij dat ik geen auto incasso heb gedaan) .
hopelijk word het snel opgelost , ik ben er gewoon depri van .
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
