image

Onderzoek: Veel overheidssites nog altijd zonder https

donderdag 1 december 2016, 09:52 door Redactie, 9 reacties

Een groot aantal websites van de Nederlandse overheid gebruikt nog altijd geen https-verbinding om het verkeer van en naar bezoekers te versleutelen. Dat meldt de Open State Foundation op basis van eigen onderzoek onder 1816 onderzochte domeinen.

Van alle websites van de Rijksoverheid, gemeenten, provincies en gemeenschappelijke regelingen, heeft 44% een https-verbinding. Van de 797 overheidswebsites met een https-verbinding zijn er 108 niet correct geconfigureerd waardoor bezoekers alsnog risico’s kunnen lopen. Van alle gemeentelijke websites heeft 55% een correct geconfigureerde https-verbinding en van de twaalf provincies hebben vijf provincies een correct geconfigureerde https-verbinding.

De websites van de provincies Friesland, Limburg, Drenthe, Groningen en Zuid-Holland hebben helemaal geen https-verbinding. Van de 348 websites van gemeenschappelijke regelingen hebben 75 domeinen een https-verbinding, maar daarvan is een derde niet goed geconfigureerd. Ook zijn de websites van Nederlandse ambassades in landen waar basale mensenrechten worden geschonden, waaronder Afghanistan, China, Egypte en Saoedi Arabië, niet beveiligd met een goed functionerende https-verbinding.

Reacties (9)
01-12-2016, 10:06 door Anoniem
Rellen en aandachttrekkerij van een Palestijn die de voorman van de Electronic Intifada was. Het is hem iig gelukt: aandacht heeft'ie! Wat is dan het beveiligingsrisico ? Baggerverhaal
01-12-2016, 11:15 door Anoniem
Door Anoniem: Rellen en aandachttrekkerij van een Palestijn die de voorman van de Electronic Intifada was. Het is hem iig gelukt: aandacht heeft'ie! Wat is dan het beveiligingsrisico ? Baggerverhaal
Het beveiligingsrisico is onderhand redelijk evident?
01-12-2016, 11:26 door Anoniem
Door Anoniem:
Door Anoniem: Rellen en aandachttrekkerij van een Palestijn die de voorman van de Electronic Intifada was. Het is hem iig gelukt: aandacht heeft'ie! Wat is dan het beveiligingsrisico ? Baggerverhaal
Het beveiligingsrisico is onderhand redelijk evident?
Slechts voor een deel lijkt me... toon dan iig aan, middels een Resppnsible Disclosure, wat er precies aan de hand is ipv een Mediaoffensief: wie is daarmee geholpen?
01-12-2016, 11:36 door Anoniem
Wat nou bagger verhaal, jij bent zeker zo'n type die niks te verbergen heeft en alles over een open verbinding doet.

Blijkbaar test men helemaal geen websites die aan Internet worden gehangen. Wat mij betreft kan dat gewoon niet, voor geen enkele website. Als je goed test en serieus naar de opmerkingen kijkt dan zouden alle websites deze beveiligings issues helemaal niet hebben.

Ik durf zelfs te stellen dat het aan internet hangen van ongeteste en slecht beveiligde websites een serieus vergrijp is, het moet gewoon eens afgelopen zijn met dat amateurisme en de manier waarop websites van de overheid online gezet worden waarbij onze privacy ten grabbel wordt gegooid.
01-12-2016, 11:39 door Anoniem
Als ik alles is zo nakijk is de scan ook niet heel zorgvuldig gedaan van sommige sites. Ik zie een aantal er tussen staan waarvan word gezegt dat ze GEEN https hebben. Maar als je er op http naar toe gaat word je toch degelijk gelijk geridirect naar de https versie. Er draait dus alleen een redirect op http en dat tellen ze al als compleet onveilig.

Zie er ook inderdaad een helehoop die er een potje van maken maar toch zitten er heel wat foutieve info tussen. Als je het dan goed wil doen doe het dan wel zorgvuldig.
01-12-2016, 12:31 door Anoniem
Onderzoek van niets. Er wordt geen eens gekeken of er op de betreffende sites publieke informatie staat of dat er moet worden ingelogd en er vertrouwelijke informatie staat. Ook staan er sites die wel SSL hebben gemarkeerd als of ze geen SSL hebben. Klopt dus helemaal niets van.
01-12-2016, 12:57 door Anoniem
Door Anoniem: Onderzoek van niets. Er wordt geen eens gekeken of er op de betreffende sites publieke informatie staat of dat er moet worden ingelogd en er vertrouwelijke informatie staat. Ook staan er sites die wel SSL hebben gemarkeerd als of ze geen SSL hebben. Klopt dus helemaal niets van.

Een site met publieke informatie vol statische content kun je met https beveiligen omdat dat wat meer de privacy van de bezoeker waarborgt.

Maar om het nou als onveilig te bestempelen als er geen https op zit, dat gaat me toch veel te ver.

Iets meer uitleg waarom iets dan zo onveilig is, zou wel netjes zijn (mensen lopen onnodige risicos. Ja, leuk, welke risicos dan en zijn ze echt onnodig? Bovendien, als je je website te veilig maakt dan kan weer niet iedereen er bij (er zijn ook nog steeds mensen met minder moderne browsers) en dan is het ook weer niet goed.
01-12-2016, 15:34 door Anoniem
Door Anoniem: Rellen en aandachttrekkerij van een Palestijn die de voorman van de Electronic Intifada was. Het is hem iig gelukt: aandacht heeft'ie! Wat is dan het beveiligingsrisico ? Baggerverhaal

Reacties die het palestijnse conflict aangaan, gaan over de opstelling van Israel naar palestijnen, of reacties waar Turkije en het gedrag van haar president en haar partij worden aangehaald worden al heel lang vrij consequent niet geplaatst of weer verwijderd.

Waarom wordt een reactie als deze dan wel geplaatst?

De argumentatie waarom de constatering minder van waarde zou kunnen zijn heeft niet per definitie te maken met de afkomst van de man.
Het lijkt er sterker op dat dit bericht slechts een kapstok is om publiek karaktermoord op deze man te plegen door iemand die zich kennelijk in 'een zeker ander politiek spectrum bevindt'.

Waarom is dit geplaatst?
En nog iets anders algemeens, waarom wordt bij verwijdering van een post nooit de reactie erop met de quote erin verwijderd?
Dat is halfslachtig beleid.

Allemaal geen security.nl discussie waardig dat soort reacties te plaatsen die slechts een ander dooel hebben dan een security discussie doel.
02-12-2016, 09:39 door Anoniem
Door Anoniem:
Door Anoniem: Rellen en aandachttrekkerij van een Palestijn die de voorman van de Electronic Intifada was. Het is hem iig gelukt: aandacht heeft'ie! Wat is dan het beveiligingsrisico ? Baggerverhaal

Reacties die het palestijnse conflict aangaan, gaan over de opstelling van Israel naar palestijnen, of reacties waar Turkije en het gedrag van haar president en haar partij worden aangehaald worden al heel lang vrij consequent niet geplaatst of weer verwijderd.

Waarom wordt een reactie als deze dan wel geplaatst?

Allemaal geen security.nl discussie waardig dat soort reacties te plaatsen die slechts een ander dooel hebben dan een security discussie doel.

Ik vraag me ook af waarom anonieme reacties dan zo nodig gescand moeten worden voor plaatsing, als trollen en andere ellende evengoed geplaatst worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.