Onderzoek: Veel overheidssites nog altijd zonder https
Een groot aantal websites van de Nederlandse overheid gebruikt nog altijd geen https-verbinding om het verkeer van en naar bezoekers te versleutelen. Dat meldt de Open State Foundation op basis van eigen onderzoek onder 1816 onderzochte domeinen.
Van alle websites van de Rijksoverheid, gemeenten, provincies en gemeenschappelijke regelingen, heeft 44% een https-verbinding. Van de 797 overheidswebsites met een https-verbinding zijn er 108 niet correct geconfigureerd waardoor bezoekers alsnog risico’s kunnen lopen. Van alle gemeentelijke websites heeft 55% een correct geconfigureerde https-verbinding en van de twaalf provincies hebben vijf provincies een correct geconfigureerde https-verbinding.
De websites van de provincies Friesland, Limburg, Drenthe, Groningen en Zuid-Holland hebben helemaal geen https-verbinding. Van de 348 websites van gemeenschappelijke regelingen hebben 75 domeinen een https-verbinding, maar daarvan is een derde niet goed geconfigureerd. Ook zijn de websites van Nederlandse ambassades in landen waar basale mensenrechten worden geschonden, waaronder Afghanistan, China, Egypte en Saoedi Arabië, niet beveiligd met een goed functionerende https-verbinding.
Blijkbaar test men helemaal geen websites die aan Internet worden gehangen. Wat mij betreft kan dat gewoon niet, voor geen enkele website. Als je goed test en serieus naar de opmerkingen kijkt dan zouden alle websites deze beveiligings issues helemaal niet hebben.
Ik durf zelfs te stellen dat het aan internet hangen van ongeteste en slecht beveiligde websites een serieus vergrijp is, het moet gewoon eens afgelopen zijn met dat amateurisme en de manier waarop websites van de overheid online gezet worden waarbij onze privacy ten grabbel wordt gegooid.
Zie er ook inderdaad een helehoop die er een potje van maken maar toch zitten er heel wat foutieve info tussen. Als je het dan goed wil doen doe het dan wel zorgvuldig.
Een site met publieke informatie vol statische content kun je met https beveiligen omdat dat wat meer de privacy van de bezoeker waarborgt.
Maar om het nou als onveilig te bestempelen als er geen https op zit, dat gaat me toch veel te ver.
Iets meer uitleg waarom iets dan zo onveilig is, zou wel netjes zijn (mensen lopen onnodige risicos. Ja, leuk, welke risicos dan en zijn ze echt onnodig? Bovendien, als je je website te veilig maakt dan kan weer niet iedereen er bij (er zijn ook nog steeds mensen met minder moderne browsers) en dan is het ook weer niet goed.
Reacties die het palestijnse conflict aangaan, gaan over de opstelling van Israel naar palestijnen, of reacties waar Turkije en het gedrag van haar president en haar partij worden aangehaald worden al heel lang vrij consequent niet geplaatst of weer verwijderd.
Waarom wordt een reactie als deze dan wel geplaatst?
De argumentatie waarom de constatering minder van waarde zou kunnen zijn heeft niet per definitie te maken met de afkomst van de man.
Het lijkt er sterker op dat dit bericht slechts een kapstok is om publiek karaktermoord op deze man te plegen door iemand die zich kennelijk in 'een zeker ander politiek spectrum bevindt'.
Waarom is dit geplaatst?
En nog iets anders algemeens, waarom wordt bij verwijdering van een post nooit de reactie erop met de quote erin verwijderd?
Dat is halfslachtig beleid.
Allemaal geen security.nl discussie waardig dat soort reacties te plaatsen die slechts een ander dooel hebben dan een security discussie doel.
Reacties die het palestijnse conflict aangaan, gaan over de opstelling van Israel naar palestijnen, of reacties waar Turkije en het gedrag van haar president en haar partij worden aangehaald worden al heel lang vrij consequent niet geplaatst of weer verwijderd.
Waarom wordt een reactie als deze dan wel geplaatst?
Allemaal geen security.nl discussie waardig dat soort reacties te plaatsen die slechts een ander dooel hebben dan een security discussie doel.
Ik vraag me ook af waarom anonieme reacties dan zo nodig gescand moeten worden voor plaatsing, als trollen en andere ellende evengoed geplaatst worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
