De laatste tijd is er steeds meer aandacht voor beveiliging op internet. Helaas zijn er nog steeds websites die niet de meest basale beveiliging op orde hebben. Soms goedwillende hobbyisten die het wiel zelf willen uitvinden, soms ook onkundige 'professionals'...
Mijn meest recentste voorbeeld: http://www.hartveiligwonen.nl/
Het doel van de site: het bijeen brengen van mensen die sneller dan de ambulance met reanimatie kunnen beginnen omdat ze toevallig in de buurt zijn. Tot zo ver een nobel doel.
Nadat ik mij had aangemeld met naam, email-adres, telefoon nummer en woon locatie had ik niet verwacht dat ik een email kreeg met daarin in platte tekst mijn account-naam en mijn wachtwoord. Het wachtwoord had ik minimaal in een apart bericht verwacht, liefst vanaf de inlog pagina onder 'wachtwoord vergeten'.
Maar wat ik daarna aantref heeft bij mij meteen alle vlaggen op rood gezet:
- inloggen vanaf de http:// site met gebruikers naam en wachtwoord. Dat zou minimaal met een knop, liefst automatisch naar de https:// site moeten gaan
- Na inloggen op de http:// site blijft de hele sessie http:// verkeer.
- Bij de profiel gegevens, op de http:// site, staat mijn wachtwoord in leesbare tekst
- het wachtwoord is in 1 keer aan te passen, waar je het normaal 2 keer moet invullen (en het niet leesbaar 'echoot')
Verder heb ik de site nog niet bekeken maar ik vrees het ergste.
Mijn dilemma is dat ik deze site/organisatie wel een warm hart toe draag, maar de beveiliging van de website is wel een probleem. Hoe/wie/wat/waar kan daar wat aan gedaan worden zodat de site wordt verbeterd?
Hoe gaan tweakers met dit soort dilema's om?
Of is er ergens op internet een schandpaal voor websites met ruimte voor verbetering?
Mijn meest recentste voorbeeld: http://www.hartveiligwonen.nl/
Het doel van de site: het bijeen brengen van mensen die sneller dan de ambulance met reanimatie kunnen beginnen omdat ze toevallig in de buurt zijn. Tot zo ver een nobel doel.
Nadat ik mij had aangemeld met naam, email-adres, telefoon nummer en woon locatie had ik niet verwacht dat ik een email kreeg met daarin in platte tekst mijn account-naam en mijn wachtwoord. Het wachtwoord had ik minimaal in een apart bericht verwacht, liefst vanaf de inlog pagina onder 'wachtwoord vergeten'.
Maar wat ik daarna aantref heeft bij mij meteen alle vlaggen op rood gezet:
- inloggen vanaf de http:// site met gebruikers naam en wachtwoord. Dat zou minimaal met een knop, liefst automatisch naar de https:// site moeten gaan
- Na inloggen op de http:// site blijft de hele sessie http:// verkeer.
- Bij de profiel gegevens, op de http:// site, staat mijn wachtwoord in leesbare tekst
- het wachtwoord is in 1 keer aan te passen, waar je het normaal 2 keer moet invullen (en het niet leesbaar 'echoot')
Verder heb ik de site nog niet bekeken maar ik vrees het ergste.
Mijn dilemma is dat ik deze site/organisatie wel een warm hart toe draag, maar de beveiliging van de website is wel een probleem. Hoe/wie/wat/waar kan daar wat aan gedaan worden zodat de site wordt verbeterd?
Hoe gaan tweakers met dit soort dilema's om?
Of is er ergens op internet een schandpaal voor websites met ruimte voor verbetering?
/u/310759/crop5a8fa260a4c33_cropped.png?f=community)
:strip_icc():strip_exif()/u/15283/pinkypimp.jpg?f=community)
:strip_exif()/u/145304/nick.gif?f=community)
:strip_icc():strip_exif()/u/53213/crop57ace20969734.jpeg?f=community)
:strip_icc():strip_exif()/u/184432/crop5666ef06248fb_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/53288/icon.jpg?f=community){kind=icon}
:strip_icc():strip_exif()/u/86747/gonzo60.jpg?f=community)
:strip_icc():strip_exif()/u/156227/joschka.jpg?f=community)