Meldknop voor lekke sites
Websites moeten een speciale meldknop plaatsen die consumenten aangetroffen beveiligingsproblemen laat melden, dat wil het Information Security Awareness Forum (ISAF). Volgens het ISAF hebben sommige websites al een knop die gebruikers feedback laat sturen, bijvoorbeeld in het geval van een beveiligingslek, maar dit zijn uitzonderingen. Naast de knop voor het rapporteren van problemen, wil het ISAF dat er ook links naar externe sites komen waar men beveiligingsadvies kan krijgen. Als de organisatie zijn zin krijgt, wordt de knop op alle sites die consumenten bezoeken doorgevoerd, zoals sociale netwerksites en webwinkels.
"De simpelste oplossing is het gebruik van een knop die naar een adviespagina wijst met instructies hoe men de organisatie kan waarschuwen, alsmede generiek advies en contacten", aldus ISAF voorzitter David King. "Dit laat consumenten en gebruikers de website op de hoogte van problemen brengen, en een website een juist antwoord geven, zoals contact opnemen met politie en anti-fraude organisaties."
Clive Longbottom van Quocirca noemt het idee iets teveel van het goede, aangezien de meeste bedrijven al zo'n mechanisme gebruiken. Hij is bang dat als de meldknop er komt, ook andere partijen zo'n knop willen, bijvoorbeeld in het geval van mensen die kleurenblind zijn of als de site niet met een bepaalde standaard overweg kan. "Je krijgt dan op de voorpagina een knoppen-feest. Websites zijn wettelijk verplicht om een contact mogelijkheid te bieden, zoals een webmaster adres. Als mensen zich zorgen maken, kunnen ze dat gebruiken."
die mekkert bijna op alle websites.
En is het volgens de wet echt verplicht om op een website contact mogelijkheden te bieden? Lijkt me sterk, of het moet gaan om juiste details in de domeinregistratie/whois.
Hoe had meneer King gedacht dit af te kunnen dwingen?
Een wet? (Die gaan niet verder dan de grenzen van een land)
Een aansluit voorwaarde voor hosting providers en andere aanbieders van internet koppelingen? (en wat als er eentje niet meewerkt, of wat als hun klanten zich er niet aan houden).
als je niets kunt dwingen dan nemen alleen de organisaties met een hoog beveilgingsbewustzijn deze knop op hun website op. Maar die vormen nu juist niet het grote gevaar.
ach mailen kan altijd naar bla@bla.nl of je mail terug kunt verwachten is nog maar de vraag :D
Zoals Webhosting bedrijf, die zijn verplicht een vestigingsadres, KvK en BTW nummer te vermelden op de website.
Nog een leuke:
http://www.85qm.de/up/BigRedButton.swf
Waar is die "Big red button that does nothing"?
Hier kan ik met me pet niet bij.
Zet het gewoon in plain text onderaan, in de algemene voorwaarden, in de gouden/telefoon gids, of zorg dat het algemeen bekend is, bijvoorbeeld bij het aanschaffen van een internet abonnement.
In de tussentijd kunt u overwegen een emmer onder u beeldscherm te zetten.
Ten eerste weten mensen die beveiligingslekken vinden wel hoe ze contact moeten opnemen. Een beetje een overbodige knop wat dat betreft.
Ten tweede kan je je afvragen of bedrijven die knop willen, want dan moedigen ze mensen aan om de beveiliging van de website te gaan testen.
Ten derde loopt iemand die een lek meldt het risico om aangeklaagd te worden; veel bedrijven zijn hier nu eenmaal niet van gediend.
"... zoals contact opnemen met politie en anti-fraude organisaties."
Bedrijven zullen hier al helemaal niet aan meewerken, want op deze wijze krijgen ze mogelijk negatieve publiciteit / aandacht, waar ze helemaal niet op zitten te wachten. Denkt de ISAF nou werkelijk dat organisaties pro-aktief de middelen gaat bieden om hun beveiligingsproblemen bij externe organisaties aan te melden ?
"Hoe weet de 'gemiddelde' consument of een website lek is?"
Mensen die dat wel weten zijn ook 'consumenten'. Niemand zegt dat de 'gemiddelde consument' dit weet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.