Overheid gaat burgers via veiliginternetten.nl voorlichten
De overheid heeft een nieuwe website gelanceerd om burgers over veilig internetten voor te lichten. Veiliginternetten.nl geeft informatie en uitleg over veilig gebruik van internet via de computer, tablet of mobiele telefoon. De sites Digibewust.nl en Waarschuwingsdienst.nl zijn in de website opgegaan.
Uit onderzoek van TNO dit jaar blijkt dat 88% van de Nederlanders dagelijks online gaat. Als belangrijkste zorgpunten bij veilig internetgebruik worden onder andere besmetting van de computer genoemd, het misbruik van persoonlijke gegevens en oplichting door phishing. Op de website zijn tips te vinden over zaken als wachtwoorden, het installeren van updates, wifi, internetbankieren, social media en online privacy.
Reacties (14)
27-10-2014, 10:10 door
Vandy
Ome Ivo laat zien hoe het moet!
https://veiliginternetten.nl/
Ondersteunt slechts 1 cipher suite: TLS_RSA_WITH_RC4_128_SHA
(bron: https://www.ssllabs.com/ssltest/analyze.html?d=veiliginternetten.nl; meer info: https://www.security.nl/posting/406116/https+lekjes%3A+DigiD%2C+KPN%2C+ABP%2C+SNS%2C+Triodos%2C+ASN)
Certificaat (is dit nou wel of niet een overheidswebsite?):
Waarom weer een site? Wat is er mis met https://www.alertonline.nl/ (behalve dat die site, door mixed content, geen slotje krijgt)?
Hoe kan een gewone internetter de bomen door het bos nog zien? Een aantal "overheid"-achtige sites:
https://www.alertonline.nl/
http://diplomaveiliginternet.kennisnet.nl/
http://www.nederlandveilig.nl/veiliginternetten/
http://www.digibewust.nl/
http://www.digivaardigdigibewust.nl/
https://www.digivaardigdigiveilig.nl/
http://www.aardigdigivaardig.nl/
http://www.beschermjebedrijf.nl/
http://www.mijndigitalewereld.nl/
https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/factsheets/factsheet-10-vuistregels-voor-veilig-internetten.html
http://www.veiligonline.nl/
http://www.surfsafe.nl/
http://www.mijndigitalewereld.nl/
http://www.politie.nl/
https://www.mijnpolitie.nl/index.shtml
http://www.vraaghetdepolitie.nl/sf.mcgi?85
http://www.overheid.nl/identiteitsfraude
http://www.govcert.nl/
http://www.mijnprivacy.nl/
http://meldknop.nl/
http://www.pestweb.nl/
https://www.waarschuwingsdienst.nl/
https://www.consuwijzer.nl/
http://www.cybersaveyourself.nl/
Er zijn er vast meer, en dit is exclusief de lijst van "behulpzame" infosites van financiële instellingen en ISP's...
Oh ja, voor https://www.wisseljewachtwoord.nl/ zie https://www.security.nl/posting/406474/Website+naar+https%3F+%28voorbeeld%3A+Tweakers_net%29
Ondersteunt slechts 1 cipher suite: TLS_RSA_WITH_RC4_128_SHA
(bron: https://www.ssllabs.com/ssltest/analyze.html?d=veiliginternetten.nl; meer info: https://www.security.nl/posting/406116/https+lekjes%3A+DigiD%2C+KPN%2C+ABP%2C+SNS%2C+Triodos%2C+ASN)
Certificaat (is dit nou wel of niet een overheidswebsite?):
CN = www.veiliginternetten.nl
OU = COMODO EV SSL
OU = veiliginternetten.nl
O = Stichting ECP-EPN
Object Identifier (2 5 4 9) = Overgoo 13
L = Leidschendam
ST = Zuid-Holland
Object Identifier (2 5 4 17) = 2266 JZ
C = NL
Object Identifier (2 5 4 15) = Private Organization
Object Identifier (1 3 6 1 4 1 311 60 2 1 1) = Leidschendam
Object Identifier (1 3 6 1 4 1 311 60 2 1 2) = Zuid-Holland
Object Identifier (1 3 6 1 4 1 311 60 2 1 3) = NL
Object Identifier (2 5 4 5) = 27169301
OU = COMODO EV SSL
OU = veiliginternetten.nl
O = Stichting ECP-EPN
Object Identifier (2 5 4 9) = Overgoo 13
L = Leidschendam
ST = Zuid-Holland
Object Identifier (2 5 4 17) = 2266 JZ
C = NL
Object Identifier (2 5 4 15) = Private Organization
Object Identifier (1 3 6 1 4 1 311 60 2 1 1) = Leidschendam
Object Identifier (1 3 6 1 4 1 311 60 2 1 2) = Zuid-Holland
Object Identifier (1 3 6 1 4 1 311 60 2 1 3) = NL
Object Identifier (2 5 4 5) = 27169301
Waarom weer een site? Wat is er mis met https://www.alertonline.nl/ (behalve dat die site, door mixed content, geen slotje krijgt)?
Hoe kan een gewone internetter de bomen door het bos nog zien? Een aantal "overheid"-achtige sites:
https://www.alertonline.nl/
http://diplomaveiliginternet.kennisnet.nl/
http://www.nederlandveilig.nl/veiliginternetten/
http://www.digibewust.nl/
http://www.digivaardigdigibewust.nl/
https://www.digivaardigdigiveilig.nl/
http://www.aardigdigivaardig.nl/
http://www.beschermjebedrijf.nl/
http://www.mijndigitalewereld.nl/
https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/factsheets/factsheet-10-vuistregels-voor-veilig-internetten.html
http://www.veiligonline.nl/
http://www.surfsafe.nl/
http://www.mijndigitalewereld.nl/
http://www.politie.nl/
https://www.mijnpolitie.nl/index.shtml
http://www.vraaghetdepolitie.nl/sf.mcgi?85
http://www.overheid.nl/identiteitsfraude
http://www.govcert.nl/
http://www.mijnprivacy.nl/
http://meldknop.nl/
http://www.pestweb.nl/
https://www.waarschuwingsdienst.nl/
https://www.consuwijzer.nl/
http://www.cybersaveyourself.nl/
Er zijn er vast meer, en dit is exclusief de lijst van "behulpzame" infosites van financiële instellingen en ISP's...
Oh ja, voor https://www.wisseljewachtwoord.nl/ zie https://www.security.nl/posting/406474/Website+naar+https%3F+%28voorbeeld%3A+Tweakers_net%29
27-10-2014, 11:12 door
yobi
Hmmm:
Een goed wachtwoord zou bijvoorbeeld zijn %67H@3dh--=11=$%hJKq. Nu je een wachtwoord hebt, kun je alle apparaten op je draadloze netwerk instellen op WPA.
Lekker makkelijk in te vullen op een smartphone.
Een goed wachtwoord zou bijvoorbeeld zijn %67H@3dh--=11=$%hJKq. Nu je een wachtwoord hebt, kun je alle apparaten op je draadloze netwerk instellen op WPA.
Lekker makkelijk in te vullen op een smartphone.
Een goed wachtwoord zou bijvoorbeeld zijn %67H@3dh--=11=$%hJKq. Nu je een wachtwoord hebt, kun je alle apparaten op je draadloze netwerk instellen op WPA
Hoeveel mensen zullen ( na dit gelezen te hebben) hun draadloos wachtwoord exact zo instellen? De overheid zegt dat dit een veilig wachtwoord is toch?
* %67H@3dh--=11=$%hJKq * added to rainbow table/password list :D
27-10-2014, 12:08 door
spatieman
overheid en ICT uber fail.
Ben ik de enige die deze site er als een of andere linkfarm uit vind zien?
27-10-2014, 13:22 door
Briolet
In het hoofdstuk Wifi staat meer onduidelijke taal. Er wordt steeds geschreven dat je WPA als beveiliging moet instellen. Dat moet zijn: minimaal WPA. Er wordt nergens vermeld dat WPA2 een betere keuze is.
Verder lees ik:
Verder lees ik:
Voor WPA in een thuis- of bedrijfsomgeving is het nodig om een wachtwoord (een zogenaamde 'gedeelde sleutel') te gebruiken.
Maar in een bedrijfsomgeving gebruikt je juist geen gedeelde sleutel, maar heeft iedere gebruiker zijn eigen wachtwoord om in te loggen."Ondersteunt slechts 1 cipher suite: TLS_RSA_WITH_RC4_128_SHA"
Ok, leuk om te weten. En leg nu eens uit welk risico men daardoor loopt; welke gevoelige informatie deelt de gebruiker met deze website ?
Ok, leuk om te weten. En leg nu eens uit welk risico men daardoor loopt; welke gevoelige informatie deelt de gebruiker met deze website ?
Gevaarlijk zeg, zwakke encryptie op een website met informatie van de overheid. Het risico bestaat dan dat een crimineel de codering weet te kraken, en mee kan lezen wat er op die website staat. Als alternatief kan hij er natuurlijk ook voor kiezen om zelf de website te bezoeken; dan beschikt hij over dezelfde onpersoonlijke informatie. Moeten verbindingen naar de Postbus51 website voortaan ook extra worden beveiligd ?
Inmidels worden er 3 cipher suites aangeboden:
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
Maar daardoor kunnen windows gebruikers alleen nog naar deze site als ze IE11 op Windows 8.1 hebben. Oudere browsers en OS'en werken niet meer. Wel heel veilig natuurlijk (A+ rating op ssllabs), maar hoe ga je die mensen dan informeren dat ze moeten updaten/upgraden.
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
Maar daardoor kunnen windows gebruikers alleen nog naar deze site als ze IE11 op Windows 8.1 hebben. Oudere browsers en OS'en werken niet meer. Wel heel veilig natuurlijk (A+ rating op ssllabs), maar hoe ga je die mensen dan informeren dat ze moeten updaten/upgraden.
27-10-2014, 14:18 door
[Account Verwijderd]
-
Bijgewerkt: 27-10-2014, 14:22
[Verwijderd]
Door Anoniem 27-10-2014 13:33 uur: Inmidels worden er 3 cipher suites aangeboden:
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
Maar daardoor kunnen windows gebruikers alleen nog naar deze site als ze IE11 op Windows 8.1 hebben. Oudere browsers en OS'en werken niet meer. Wel heel veilig natuurlijk (A+ rating op ssllabs), maar hoe ga je die mensen dan informeren dat ze moeten updaten/upgraden.
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
Maar daardoor kunnen windows gebruikers alleen nog naar deze site als ze IE11 op Windows 8.1 hebben. Oudere browsers en OS'en werken niet meer. Wel heel veilig natuurlijk (A+ rating op ssllabs), maar hoe ga je die mensen dan informeren dat ze moeten updaten/upgraden.
De website kan inmiddels ook weer in ieder geval met Windows 7 en IE11 bezocht worden. (andere Windows versie heb ik niet uitgeprobeerd).
En ik zie dat er gebruik wordt gemaakt van sha256.
Vraag me alleen af of het verstandig is om zo'n groen bolletje met een vinkje te tonen in de adres balk, of dat dit ervoor gaat zorgen dat gebruikers zo'n groen bolletje ook misschien gaan zien als een veilige website.
27-10-2014, 19:02 door
Erik van Straten
Door Anoniem: "Ondersteunt slechts 1 cipher suite: TLS_RSA_WITH_RC4_128_SHA"
Ok, leuk om te weten. En leg nu eens uit welk risico men daardoor loopt; welke gevoelige informatie deelt de gebruiker met deze website ?
Ok, leuk om te weten. En leg nu eens uit welk risico men daardoor loopt; welke gevoelige informatie deelt de gebruiker met deze website ?
Ik kan zo snel niet vinden waar ik mij kan aanmelden en welke gegevens ik dan moet verstrekken. Mocht ik niet met mijn neus kijken, dan zal de volgende functionaliteit vandaag of morgen wel worden toegevoegd; uit https://veiliginternetten.nl/privacy-statement/:
Mocht je je aanmelden voor onze e-mail update dan verwerken wij hiervoor enkel je e-mailadres. Dit e-mailadres wordt alleen gebruikt voor het versturen van de e-mail update.
Niet aan derden
Wij verstrekken je e-mailadres niet aan derden, zonder dat daarvoor een wettelijke grondslag bestaat of zonder dat je hier toestemming voor hebt gegeven.
Volgens de wet
Wij verwerken uitsluitend persoonsgegevens voor zover dat noodzakelijk is voor het geven voor voorlichting en adviezen over veilig internetten en voor zover in overeenstemming met de Wet bescherming persoonsgegevens.
Beveiligd
We hebben ter bescherming van verlies en andere vormen van onrechtmatige verwerking van je persoonsgegevens (e-mailadres) passende technische en organisatorische beveiligingsmaatregelen genomen. De gegevens worden via een veilige verbinding verstuurd en opgeslagen in een beveiligde database.
Niet aan derden
Wij verstrekken je e-mailadres niet aan derden, zonder dat daarvoor een wettelijke grondslag bestaat of zonder dat je hier toestemming voor hebt gegeven.
Volgens de wet
Wij verwerken uitsluitend persoonsgegevens voor zover dat noodzakelijk is voor het geven voor voorlichting en adviezen over veilig internetten en voor zover in overeenstemming met de Wet bescherming persoonsgegevens.
Beveiligd
We hebben ter bescherming van verlies en andere vormen van onrechtmatige verwerking van je persoonsgegevens (e-mailadres) passende technische en organisatorische beveiligingsmaatregelen genomen. De gegevens worden via een veilige verbinding verstuurd en opgeslagen in een beveiligde database.
Door Anoniem: Gevaarlijk zeg, zwakke encryptie op een website met informatie van de overheid. Het risico bestaat dan dat een crimineel de codering weet te kraken, en mee kan lezen wat er op die website staat. Als alternatief kan hij er natuurlijk ook voor kiezen om zelf de website te bezoeken; dan beschikt hij over dezelfde onpersoonlijke informatie. Moeten verbindingen naar de Postbus51 website voortaan ook extra worden beveiligd ?
Door deze reactie, en die van de andere Anoniem (dank voor beide!), weet ik dat het zin heeft om artikelen over deze materie te schrijven (die alles met veilig internetten te maken hebben). Ze hoeven alleen nog maar gelezen en begrepen te worden ;)Door Picasa3:
Weet ik. Maar waarom is dat? Op een gegeven moment is zo'n sitenaam bekend, en dan houdt ie weer op te bestaan? Ik begrijp dat niet. En ik begrijp ook niet waarom (van onze belastingcenten), nog geen 2 weken geleden, de nieuwe website "Alert Online" is gelanceerd (zie https://www.security.nl/posting/366545/Overheid+lanceert+vernieuwde+Alert+Online+website) en nu weer deze. Snap jij dat wel?Door Erik van Straten:
https://www.waarschuwingsdienst.nl/
Die site wordt aan het einde van deze maand opgeheven Erik.https://www.waarschuwingsdienst.nl/
Door Picasa3: De nieuwe site veiliginternetten.nl ondersteunt PFS. SSLv3 wordt niet ondersteund.
Dat zijn toch ook positieve dingen zou ik zeggen.
Zeker, en hoewel het nog erg langzaam gaat, worden steeds meer overheidssites via https ontsloten. En ik vind het ook positief dat RC4 alweer geschrapt is.Dat zijn toch ook positieve dingen zou ik zeggen.
Jammer is wel dat mensen, die dit soort sites opzetten, ofwel geen tijd krijgen om zich vooraf voldoende in de materie te verdiepen, ofwel dat niet interessant vinden (zoals de reageerders hierboven). De initatiefnemers proberen met de site duidelijk het bedrijfsleven aan te spreken (zie bijv. https://veiliginternetten.nl/themes/zakelijk/persoons-en-klantgegevens/); zeker daarom denk ik dat er een voorbeeldfunctie van uit zou moeten gaan.
Naast een lege <title></title> zit er trouwens een mogelijk meer serieuze fout in de site, zichtbaar in elk geval in Firefox 32.2.0 ESR: als ik een willekeurige pagina open verschijnt "het slotje". Klik ik op een willekeurige andere pagina, idem. Echter, als ik dan de backspace toets indruk (of op de "terug"pijl klik) verdwijnt het slotje (en de groene balk [*]) vanwege mixed content (http).
Als ik dan in de pagina rechts-klik en "View page info" kies, zie ik "Connection Partially Encrypted". In de Media tab zie ik dan vervolgens staan:
http://veiliginternetten.nl/static/presentation/images/iOS_bookmark_58x58.png
http://veiliginternetten.nl/static/presentation/images/iOS_bookmark_60x60.png
http://veiliginternetten.nl/static/presentation/images/iOS_bookmark_76x76.png
http://veiliginternetten.nl/static/presentation/images/iOS_bookmark_120x120.png
http://veiliginternetten.nl/static/presentation/images/iOS_bookmark_152x152.png
Ik weet dat "<img src=" items via http relatief ongevaarlijke mixed content vormen, maar of dat ook geldt voor de hier gebruikte "<link rel=" items betwijfel ik.
[*] Niet dat zo'n EV-certificaat nou zo heel veel zegt, want de meeste pagina's laden (naast fonts vanaf https://themes.googleusercontent.com/) Javascript vanaf https://w.usabilla.com/ (momenteel leeg) en https://ajax.googleapis.com/. Geen van die sites gebruikt een EV certificaat.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
