Arno van Aanbodpagina.nl roept een goede vraag op. Hij vraagt zich namelijk af hoe veilig grote handelssites als Speurders.nl en Marktplaats.nl zijn.
In technische termen gaat het over het wel/niet opzetten van een SSL- of TSL-verbinding bij het inloggen.
“Elke beetje webwinkel gaat tegenwoordig veilig met klantgegevens om. Want wanneer er op een site gevoelige informatie ingevuld moet worden, krijg je een ‘slotje’ in je browser. Kwaadwillenden kunnen hierdoor nooit jouw e-mailadres of bankgegevens ‘afluisteren’. (…) Speurders en Marktplaats doen hier niet aan, terwijl juist op die sites dagelijks heel wat e-mailadressen worden ingevuld!”
Dat is een terecht bezwaar, zeker wanneer (ver)koper gebruik maken van een onbeveiligde draadloze internetverbinding. Een slimmerik hoeft bijvoorbeeld enkel Wireshark aan te zetten om inloggevens te kunnen pikken.
Foto: arbron (cc)
Net iets anders: Bij ons kunnen klanten inloggen en een eigen password invoeren. Bij veel mensen zal het waarschijnlijk mogelijk zijn om hun webmail te lezen als ze dezelfde password hanteren…dan zouden andere bedrijven/criminelen in principe ook kunnen. Een website opzetten en dan E-mails met de bijbehorende passwords verzamelen.
Beetje overdreven hoor. Toevallig hebben zij net beveiligde verbinding met SSL-certificaat.
Er zijn nauwelijks websites waar geen betalingen worden verricht met een SSL-cerficaat. En het betaal-gedeelte van Marktplaats werkt gewoon met https-protocol.
Overigens worden wachtwoorden bij Marktplaats en Speurders in ieder geval niet gecodeerd. Het is namelijk mogelijk om je wachtwoord via de site op te vragen waarna deze direct in je mailbox beland.
Nadeel hiervan is dat wanneer kwaadwilligen zouden inbreken in Marktplaats miljoenen wachtwoorden op straat liggen. Bovendien kunnen mensen met tijdelijke toegang dat jouw emailadres het wachtwoord opvragen en inzien.
Ik vind dit eigenlijk een veel belangrijker issue. Wij doen de wachtwoord van onze gebruikers dan ook coderen.
Het gecodeerd opslaan van de wachtwoorden is een goed idee. Nog beter is het om een firewall voor je servers neer te zetten.
Maar terug op de beveiligde verbinding, waarom zou je het niet doen? Het gaat tenslotte om de privé- gegevens van je klanten.
Na het lezen van dit bericht zullen wellicht meer sites volgen, het is een kleine moeite.
[...] AD leest DeKoopman kennelijk goed, want vond in dit item van maandag inspiratie voor een veiligheidsonderzoek onder 20 [...]