Waarom een http link? Waarom is die pagina, zelfs de hele site, niet via een fatsoenlijk geauthenticeerde https link te bereiken?

Als je op een terrasje met public wifi je aangifte invult en een telefoonnumer zoekt, kan je eenvoudig een vervalste pagina met dure telefoonnummers worden voorgeschoteld.

Erger, als je in http://www.belastingdienst.nl/wps/wcm/connect/nl/home/home (die natuurlijk geen slotje toont) klikt op "Aangifte doen op Mijn Belastingdienst" en niet weet dat je daarmee op https://mijn.belastingdienst.nl/mbd-pmb/ (met slotje) UIT ZOU MOETEN KOMEN maar op een andere URL uitkomt (bijv. http://mijn.belastingdienst.nl/mbd-pmb/ of een aangepaste domainname), en vervolgens jouw DigiD gegevens prijsgeeft, wiens schuld is dat dan?

En als de belastingdienst je dan zelf belt, gaat dat vanaf een afgeschermd nummer. Terugbellen kan op een 088-nummer, dat je belt en waar je vervolgens direct te horen krijgt "dit is de voicemail van 0 6 . . . .". Erg schimmig allemaal.

Jij doet je belastingaangifte ieder jaar vanaf een terrasje over de publieke wifi met een biertje en een uitsmijter erbij?

ach, die kinderen bij de overheid laten de burger compleet vastlopen als je firefox gebruikt als browser...
wij van de belastingdienst raden chrome aan...vertel dat de burger dan direct, sukkels

Ja en dan de uitsmijter ook durven aftrekken als onkosten.

Naast bij terrasjes, staat Nederland vol met openbare WiFi access points - en er komen er steeds meer bij.

Waar op de site van de belastingdienst of DigiD zie jij staan dat ik geen openbare WiFi hotspot, bijv. in de trein, in een hotel, of zelfs op een terrasje, zou mogen gebruiken?

En denk je werkelijk dat doorsnee WiFi gebruikers, die "veiliger" werken doordat zij ervan uitgaan dat zij van een betrouwbaar (niet publiek toegankelijk) access point gebruikmaken, controleren of zij op dat moment daadwerkelijk verbinding hebben met het bedoelde WiFi access point?

En, in het geval dat zij daarwerkelijk een WiFi verbinding hebben met met bedoelde access point, is het nog maar helemaal de vraag is hoe het staat met de beveiliging van dat ding (aan de lopende band blijken deze dingen lek te zijn of een backdoor te hebben). Weet je wat het betekent als een aanvaller controle heeft over de DNS antwoorden die naar jouw PC worden gestuurd?

Dit soort (overheid- maar ook andere) websites, d.w.z. die content aanbieden waarbij er geld "verdiend" kan worden met gespoofde content, en zeker sites waarmee je direct of indirect (zoals DigiD) vertrouwelijke informatie uitwisselt, horen elke pagina op die site via https aan te bieden - zodat je redelijk zeker weet dat je met de juiste communiceert en de informatie niet door derden gemanipuleerd kan worden. Het certificaat hoort daarbij aanvullende informatie te verschaffen, zodat je met redelijke zekerheid weet van welke organisatie de betreffende site is. Die zekerheid neemt toe, met name voor de doorsnee gebruiker, indien de site een EV (Extended Validation) certificaat toepast.

Waarom gebeurt dat dan niet? Wellicht omdat mensen zoals jij verantwoordelijk zijn voor de beveiliging van dit soort websites?

Er zijn hele volksstammen waarbij belastingaangifte doen, alleen inhoudt dat ze 1x de 'OK' button moet indrukken. Eigenlijk geldt dat voor iedereen die met zijn smartphone aangifte doet, omdat je met die app niets kunt invullen.

Wat ik alleen niet snap dat iemand met zo'n standaardaangifte vanaf een terrasje, toch nog de belastingtelefoon zou willen gebruiken.

Ok, ok, rustig maar dames. Waarschijnlijk zit de heer van Straten heus niet echt zijn aangifte te doen op het terras van CentreVille, maar zijn punt begrijp ik wel: een site als die van de fiscus moet gewoon volledig https zijn.

Het buurthuis of de bibliotheek met automaatkoffie zijn niet veiliger!

Het zou ze ook sieren als ze er voor zouden zorgen dat de pagina met contactgegevens zonder Javascript te benaderen zou zijn.

Het is inmiddels een bekend fenomeen, het via 0900-nummers doorschakelen naar goedkopere nummers. Helaas is het niet illegaal en wordt het dus geaccepteerd. Ik herinner me dat een van de eerste http://belastinginformatietelefoon.nl was maar inmiddels zie je ook http://belastingtelefoon.info bovendrijven in Google. Het woord belastingtelefoon is ook geen geregistreerd merk omdat de naam te generiek is, dus iedere fiscaal adviseur zou deze term mogen gebruiken. Maar het blijft voor de leek wel verwarrend allemaal!