Juridische vraag: is SSL verplicht voor contactformulier?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: Op mijn site wil ik een contactformulier toevoegen. Nu las ik dat je dan verplicht een SSL-verbinding (https) toe te passen, dat is nogal een dure grap voor mij. En toen zag ik dat jij op je blog geen SSL-verbinding hanteert, niet bij je contactformulier en niet bij het plaatsen van reacties. Dus mag ik dan concluderen dat het niet hoeft?
Antwoord: Met een contactformulier sturen mensen persoonsgegevens in. De wet eist dat je die persoonsgegevens ‘adequaat’ beveiligt tegen misbruik en ongeautoriseerde toegang (art. 13 Wbp). De wet zegt echter nergens létterlijk dat SSL-beveiliging verplicht is. Sterker nog de wet bepaalt eigenlijk nergens überhaupt letterlijk welke maatregelen genomen moeten worden. Je moet als beheerder/exploitant van een site zelf bepalen welke maatregelen gepast zijn gezien de aard van de informatie en het mogelijk misbruik daarvan. Er zijn wel richtsnoeren van het College bescherming persoonsgegevens maar meer dan wat best practices en een procesaanpak vind je er niet in.
Bij een bestelformulier op een website stuur je allerlei gegevens op waarmee je een juridisch bindende bestelling plaatst, vaak inclusief betaalgegevens (creditcardnummer). Die kunnen worden gesnift en hergebruikt, en dat is wel ernstig genoeg om beveiliging bij het verzenden te vereisen. En dan ligt SSL dus voor de hand.
Maar bij een blogcommentaarformulier? Oké stel iemand zit in hetzelfde internetcafé als jij, monitort het draadloze netwerk en onderschept je naam en reactie. En dan? Dan kan hij ook reageren op mijn blog. En de reactie te weten komen, drie seconden voordat deze online gaat voor de hele wereld. Nou en?
Het enige stukje echt vertrouwelijke informatie is het e-mailadres, dat ik als beheerder wel zie maar de andere reageerders niet. Dat zou een aanvaller kunnen onderscheppen als ik geen SSL inzet, en dan kan hij dat e-mailadres misbruiken. Tsja. Is de kans op misbruik van dat e-mailadres groot genoeg om een SSL verbinding op dat formulier te rechtvaardigen?
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Daarnaast is een emailadres an sich geen persoonsgegeven, tenzij het gekoppeld is aan een naam of adres o.i.d. (of het email adres de naam in zich heeft natuurlijk). Persoonsgegeven is het wanneer je een persoon uniek kunt identificeren, vraag je op het formulier dus ook om een naam o.i.d. dan zit je daar al snel natuurlijk (of opnieuw, wanneer het emailadres de naam bevat).
Arnoud: kleine tikfout "eheerder", laatste §
De laatste keer dat ik zelf zo'n formulier bouwde, deed dat niet meer dan vriendelijk om naam, email adres, onderwerp, en een bericht te vragen (waarvan bij ontbreken alleen adres en bericht een vraag om toch invullen opleveren), wat direct in de info@ box gedeponeerd wordt. Met een melding erbij dat het niet beveiligd is en dat je ook info@ zelf mag mailen, eventueel gebruik makende van pgp/gpg. Dat was overigens een algemeen contactformulier, niet iets waar je vanalles kan bestellen. Daar zijn de eisen anders en daar pas je dan je aanpak op aan.
Dit met de filosofie dat als er mensen (zoals ikzelf) langskomen die geen zin hebben in gedwongen invoer van vele "alvast" dingen die er nauwlijks, of gewoon helemaal niet, toe doen dat je dan of onzin toegeworpen krijgt, of de handel ergens anders naartoe gaat. En het scheelt gegevens waar je dan weer goed op moet passen.
Vuistregel: Gegevens die je niet hebt, daar hoef je niet op te passen, dat scheelt (risico op) gedonder.
Of je doet het via java, waar je dan een java plugin voor nodig hebt. Of je pakt weer een andere plugin, zoals flash. Allemaal niet zonder problemen. En je bent het wiel opnieuw aan het uitvinden. Wat in het geval van crypto dan betekent dat je het vrijwel zeker de eerste tien keer fout gaat doen (een paar keer minder als je eerst een studie cryptologie doet) en dat al die tijd je gebruikers valselijk hopen dat je het goed gedaan hebt.
SSL gebruiken is zeker ook niet perfect, maar heeft vooralsnog een grotere kans om iets wat redelijk werkt op te leveren.
2) Echter, de beveiliging tegen "misbruik en niet-geauthoriseerde-toegang" heeft net zoveel, dan wel niet meer, te maken met de beveiliging van het systeem waar het wordt opgeslagen en verwerkt
Ja! Met een SSL client-certificaat!
SSL beveiliging voor het invullen en verzenden van een online formulier is één ding, iets anders zijn de bevestingingen per email die je vervolgens kan krijgen.
Hier een voorbeeld van een grote energieleverancier, je vult en verzendt wel binnen een beveiligde omgeving maar krijgt vervolgens op het opgegeven mailadres de volgende gegevens in plain tekst per mail toegezonden (lees mee en huiver).
Retour per mail in plain tekst :
- Subject: (bijvoorbeeld een) 'Klacht'
- FormID: ...
- Klantnummer: ...
- Voorletters: ...
- Achternaam: ...
- Geslacht: ...
-Emailadres: ...
- Telefoonnummer: ...
- Leveringsadres :
- Straat: ...
- Huisnummer: ...
- Toevoeging: ...
- Postcode: ...
- Woonplaats: ...
- Dan een kopie-tekst van de volledig gevoerde correspondentie
- Eerder contact: Nee
- Terugbellen
Maandag: (Opgegeven tijden)
Dinsdag: (Opgegeven tijden)
Woensdag: (Opgegeven tijden)
Donderdag: (Opgegeven tijden)
Vrijdag: (Opgegeven tijden)
Bedenk zelf maar wat met deze onderschepte gegevens allemaal kan.
Wijzen op, heeft geen resultaat (of wederom de verzameling gevens in de bevestigingskopie per email).
Er er zijn meer (of best veel?) bedrijven die dit in variant doen (dan heeft die beveiligde ssl webform niet bepaald zin) en niets doen als je ze erop wijst.
Overweeg eens gegevens (bijv passwords) als afbeelding te versturen, tekst-pdf's kunnen ook geautomatiseerd omgezet worden naar platte afbeelding pdf's (tekst misschien iets onscherper).
Denk dus aan je bevestigingen op een verzonden webformulier!
Ook zo'n hosting is wel te betalen hoor maar altijd duurder dan het gratis stukje schijfruimte bij je provider.
Kan een eventuele aanvaller iets met een IP-adres? Dacht het niet. Zeker als het dynamisch is, heb je niks te vrezen. Ze kunnen er weinig tot niets mee.
Hosting kan zelfs gratis. Kijk maar bij tripod bijvoorbeeld. Alleen krijg je dan wat reclame op je webstek.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.