Elke werkdag behandelt Computable een onderwerp waarover lezers kunnen discussiëren. Vandaag over het gebrek aan beveiligde verbindingen voor veel sites, ook van onze overheid.
Het gebruik van https om verkeer met websites te beveiligen is in 2015 nog altijd geen gemeengoed. Ook niet bij de overheid, waar toch gevoelige communicatie mee plaatsvindt. Van de 2093 overheidssites gebruiken er slechts 413 stuks (19 procent) https, blijkt uit onderzoek door de Open State Foundation. Bovendien zijn er maar 120 sites van de Nederlandse overheid (5 procent van het totaal) met een geforceerde https-verbinding, zodat bezoekers altijd uitkomen op een beveiligde connectie met de bezochte website. Nu valt er te argumenteren dat niet elke verbinding en niet elke webpagina per sé beveiligd moet worden. Maar houden die argumenten nu nog altijd stand? Wat vind jij?
Zodra er met persoonsgegevens of vergelijkbare zaken wordt gewerkt: https. Maar een doodgewone webpagina met vrij raadpleegbare informatie beveiligen? Ga toch weg!
@Frank: https versleutelt het verkeer. Ook als je een website bezoekt met alleen vrij raadpleegbare informatie kan dat verkeer, dus wát je precies bekijkt op die websites, privacygevoelig zijn.
HTTPS is in eerste instantie ooit bedacht voor E-Commerce. Veelal gingen websites het steeds meer gebruiken met allerhande bedoelingen erachter.
1) Het staat veilig;
2) Het geeft de klant een idee van vertrouwen;
3) Compliancy redenen;
4) Gemak om hele applicaties in HTTPS te pakken ipv een klein stukje (lees simpelere server beheer).
Verder is het gewoon waar denkt men een stuk privacy te waarborgen iz eardropping van een CIA oid…
Bij geen of gedeeltelijke encryptie (https) is er een risico dat een sessie ID onderschept wordt. Hierdoor kan de controle over de gebruikte applicatie overgenomen worden of een Man-in-the-Middle (MITM) attack uitgevoerd worden, zeker als de website via open wifi wordt benaderd.
Er zijn verschillende voorbeelden te noemen, mocht je geïnteresseerd zijn zoek dan eens op Firesheep of Faceniff.
Ook is er goed nieuws te melden m.b.t. de overheid en internetbeveiliging, want i.s.m. Platform Internetstandaarden is vorige week de website internet.nl gelanceerd welke meer bewustwording moet geven over de staat en mogelijkheden van internetbeveiliging.
Beveiliging is meestal een sluitpost van ICT projecten. Vaak is daar geen tijd of geld meer voor. Dwingende wetgeving is de enige optie met sancties en aansprakelijkheid naar de gebruiker.
Dat de overheid laks is met het implementeren van securitymaatregelen is ronduit beschamend. We willen het voortouw nemen op gebied van bestrijden van Cybercrime, dan moet je ook een voorbeeldfunctie gaan bekleden.