image

Extra beveiligingsmaatregelen voor StemWijzer

maandag 6 februari 2017, 14:03 door Redactie, 10 reacties

De makers van de vandaag gelanceerde StemWijzer hebben extra beveiligingsmaatregelen genomen. Dat heeft Eddy Habben Jansen, directeur van ProDemos, tegenover de Telegraaf laten weten. Via de StemWijzer kunnen mensen hun politieke voorkeur laten testen.

Volgens ProDemos is de StemWijzer de meest gebruikte stemhulp in verkiezingstijd. "We hebben na de berichtgeving over hackers die de politiek willen beïnvloeden specialisten extra laten kijken naar de beveiliging. We hebben ook extra maatregelen genomen”, zegt Jansen. Dit moet voorkomen dat mensen een verkeerd stemadvies krijgen. Om wat voor maatregelen het precies gaat laat Jansen niet weten.

Tijdens de vorige Tweede Kamerverkiezingen in 2012 werd de StemWijzer door 4,85 miljoen gebruikers volledig ingevuld. Het grootste deel deed dit via de website. Onlangs werd ook de Privacy Stemwijzer gelanceerd waarbij de privacystandpunten van de verschillende partijen centraal staan.

Reacties (10)
06-02-2017, 14:14 door Hans van Eijsden - Bijgewerkt: 06-02-2017, 14:16
De website draait een stokoude Nginx-versie, 1.6.2, zonder HTTP/2, met RSA 2048 TLS i.p.v. ECC (ECDSA) en de DH-parameters zijn ook 1024 i.p.v. 4096 bits. Dat kan dus veel veiliger en bovendien efficiënter: nu is het een simpele Wordpress-site die ze met WP-Super-Cache proberen snel te houden.. op PHP-niveau, in plaats van keurig via Nginx-FastCGI-Cache i.c.m. Redis Page Cache en Redis Object Cache, zoals je anno 2017 zou mogen verwachten.

De score op internet.nl is helemaal om te huilen: https://internet.nl/site/www.stemwijzer.nl/results
"Verbinding niet/onvoldoende beveiligd (TLS)
Helaas; de cryptografische bescherming van TLS op de website is afwezig of niet sterk genoeg, of niet alles is correct ingesteld. Verbindingen van bezoekers zouden kunnen worden afgeluisterd of aangepast door kwaadwillenden. Vraag je hosting provider om TLS aan te zetten of de problemen in de configuratie op te lossen."

Verder gaf WP-Scan nogal een opmerkelijke uitkomst: http://pastebin.com/GBhmqVJF

Beveiliging? Is maar relatief. Aan de verbindingskant in ieder geval niet voldoende en dus zwak.
06-02-2017, 14:45 door Anoniem
https://www.ssllabs.com/ssltest/analyze.html?d=stemwijzer.nl

Een B.... dat noemen ze extra beveiligd? ;)
06-02-2017, 14:50 door Anoniem
@Hans: En dan te bedenken dat deze club per jaar (!!!) schijnbaar ruim 4 miljoen euro aan subsidie opstrijkt. Een eenvoudige survey/questionnaire-applicatie die inderdaad op een ouwe bak draait die dus niet onderhouden is. Dan ga je je toch afvragen waar die subsidie naar toe gaat...
06-02-2017, 15:40 door Anoniem
...het houdt niet op, niet vanzelf...
06-02-2017, 18:33 door Anoniem
Privacy Winnaar : StemWijzer

Privacy Verliezer : Privacy Stemwijzer

Hoewel de site van stemwijzer op dit moment zeer traag is is zij te bezoeken met privacy Firefox browser Torbrowser.
De aangekondigde security maatregelen bestaan dus niet het dom blokkeren van privacy bewuste gebruikers en dat is zeer complimenterens waardig.
Daarnaast maakt stemwijzer gebruik van de diensten van cloudflare maar blokkeert zij wederom niet met tussenkomst van cloudflare privacy bewuste gebruikers.
Veel site eigenaren met een nonchalante houding nemen niet de moeite de instellingen van het cloudflare filter serieus door te nemen en blokkeren dom uit desinteresse en gemakzucht.

2 x complimenten voor Stemwijzer.
(aan de 3e kan worden gewerkt)

Grote afgang voor de zogenaamde Privacy Stemwijzer dat wel bijzonder dom blokkeert en dat niet te bezoeken is voor privacy bewuste gebruikers!

Stemwijzer kan nog aan haar security bijschaven zoals hier geopperd, het is in ieder geval beter dan helemaal niet bereikbaar zijn om dat je een aanhanger bent van selectieve internet blokkades.

Selectieve domme internet blokkades horen thuis is landen waar het wat minder gesteld in met de (stem)vrijheid.
Privacy stemwijzer heeft een ander belang dan waar ze voor zegt te staan.
Omdat dat niet helder is ka je beter stemwijzer bezoeken met gebruik van een anonimiserende privacy techniek zodat je de test kan doen en toch je privacy behoudt.

Stemwijzer is de morele en praktische winner voor wie stemadvies wil en de eigen verantwoordelijkheid heeft genomen zelf voor haar privacy configuraties zorg te dragen.
Stemwijzer heeft wel respect voor privacy geïnteresseerden waar Privacy Stemwijzer stemwijzer dat heel duidelijk niet heeft.

Laat je niet misleiden door een kleurig label, labels zijn voor de marketing maar zeggen steeds vaker niets over de inhoud en wat er achter schuilt.
Zo kan iets zonder label soms beter zijn dan iets dat zich modieus afficheert met..
06-02-2017, 20:27 door Anoniem
check ook even hoeveel trackers er mee gluren bij een "persoonlijk advies " waarbij ip gebruik aan google wordt doorgestuurd..dagelijks kost tegenwoordig, had niet anders verwacht van een "stemwijzer" wel anders gehoopt..
06-02-2017, 20:44 door Anoniem
Extra beveiling?

Nu heb ik al veel sites beveiligd, maar kan me even niets voorstellen hierbij.
Of zouden ze gewoon een pen-test, WAF, ddos wasser etc bedoelen. Maatregelen die je gewoon altijd al had moeten nemen maar waar je nu je businesscase eindelijk rond kreeg.

Mag ik oproepen alles open source te maken? Dan hosten we het allemaal en kun je verifiëren of het nog klopt.
07-02-2017, 07:53 door Anoniem
alsof die beveiliging wat boeit:

http://politiek.tpo.nl/column/kwalijk-stemwijzers-betaald-dubieuze-miljardair-george-soros

zo zie je maar weer, niets is wat het lijkt.
07-02-2017, 10:32 door SecGuru_OTX
En dan nu dit:

http://www.nu.nl/internet/4448514/totaaluitslag-stemwijzer-was-tijd-in-zien.html

Ik ben benieuwd welke security "experts" er extra aan hebben meegewerkt.
09-02-2017, 09:51 door Anoniem
Ok Russen, hacken maar!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.