Als je je dat afvraagt, waarom leg je dan niet gelijk beter uit waar je het over hebt?

nee sorry geen idee leg uit ik laat me aangifte namelijk doen

Ik niet.

Nope. Totaal geen idee.
En mijn glazen bol is ook defecte momenteel...

De zoekfuntie:

03-05-201615:5511 reacties
Belastingdienst waarschuwt voor e-mail over belastingaangifte
02-03-201610:5210 reacties
Belastingdienst waarschuwt voor mail over belastingaangifte
08-04-200711:4619 reacties
Microsoft ANI patch sloopt elektronische belastingaangifte
12-03-200710:4711 reacties
"Belastingaangifte via Linux onveilig"
13-03-200310:280 reacties
Amerikaanse belastingaangifte programma's niet veilig
21-12-201613:243 reacties
Nederlanders loggen 250 miljoen keer in met DigiD
15-10-201608:3625 reacties
Analist: smartphone voorkomt upgrades oude computers
13-10-201614:3825 reacties
SP tegen 'sleepnet' AIVD en voor opensourcesoftware
28-05-201607:3220 reacties
Blauwe envelop voor toeslagen verdwijnt vanaf 2017
04-05-201616:014 reacties
Belastingdienst waarschuwt voor nieuwe phishingmail
02-05-201609:598 reacties
Sterke stijging van aantal aangiften via Belastingdienst-app
30-04-201617:2913 reacties
5 miljoen Nederlanders activeren account op MijnOverheid
22-04-201615:0231 reacties
Microsoft: nog 100 dagen voor gratis Windows 10-upgrade
31-03-201609:1911 reacties
Politie pakt 17-jarige jongen op wegens DDoS-dreigement
16-03-201611:147 reacties
Wiebes: blauwe envelop blijft voorlopig bestaan
29-02-201610:5224 reacties
Onderzoek: 75% Nederlanders wil aangifteprogramma behouden
27-02-201609:066 reacties
Aanvallen op Amerikaanse Belastingdienst groter dan gedacht
10-02-201613:365 reacties
Britse Belastingdienst waarschuwt voor aangifte via gedeelde pc
26-01-201609:4820 reacties
Ruim 3 miljoen mensen activeren Berichtenbox op MijnOverheid

Daar was ik al bang voor.
Er mag weer iets toegevoegd worden aan de lijst die we al hebben over incidenten met security van belastingdiensten.

Wie aangift doet heeft misschien niet zoveel oog meer voor security, want is gefocussed op andere dingen.
Het gaat hier om een hele basale fout: Mixed content: d.w.z. het gebruik van https en http door elkaar.
Dat houdt in dit geval in, dat de je kon/kan worden afgeluisterd voor wat betreft het hulplijntje wat je aanroept (en dat is nog tot daar aan toe) maar dat je ook kan worden aangevallen waarbij de sessie zou kunnen worden overgenomen of persoonlijke data zou kunnen worden gestolen.

Dit risico liep/loop je alleen als je "meer informatie wilde" over een bepaald onderwerp (klikken op een vraagteken)
Als je dan stug door alle beveiligingswaarschuwingen van je browser heen zou gaan, of met een browser zou werken die niet waarschuwt voor mixed content, dan liep je vorig jaar een risico.
(maar als je besloot de pagina niet te openen om veilig te blijven, dan had je dus geen directe toegang tot hulplijnen vanuit mijn.belastingdienst.nl...)
Hoe kwam dat? De website www.belastingdient.nl had vorig jaar (2016) nog geen certificaat, en kon alleen http aan.
En de hulplijn linkte door naar die onbeschermde (geen https) www.belastingdienst.nl, dus vandaar.

Dit jaar (2017) is het verbetert, maar nog niet alle risico's zijn verdwenen.
www.belastingdienst.nl heeft namelijk een certificaat gekregen, en kan nu https aan. HoiHoiHoi!
Maar helaas is alles nog steeds niet okee:
- in "mijn.belastingdienst.nl" verwijst nl. het linkje achter het vraagteken nog steeds naar een http- i.p.v.een https pagina.
Dit wordt niet voldoende opgelost door HSTS op www.belastingdienst.nl. Om twee redenen:
1. De allereerste aanroep vanuit mijn.belastingdienst.nl naar www.belastingienst.nl is nog in http, en kan nog steeds door een eventuele MITM worden gemanipuleerd. Zo'n aanval kan nog steeds grote gevolgen hebben.
2. Men heeft op www.belastingdienst.nl een max-age=31536000 ingesteld, dus 365 dagen.
Maar het ene jaar kan men op 1 maart aangifte kan doen, en het volgende jaar op 31 augustus.
Dan is die periode dus niet toereikend. Het zou max-age=47520000 moeten zijn, omdat het in "het uiterste geval" kan gebeuren dat men op de 550-ste dag pas weer aangifte doet dan en misschien met een hulplijntje weer www.belastingdienst.nl bezoekt.

Hoe groot het risico is/is geweest is moeilijk in te schatten.
Hopelijk niet heel groot want gelukkig niet alles wat kan gebeurt ook werkelijk,
maar zulke foutjes in websites konden toch eenvoudig vermeden worden.

Gelukkig zijn de help/toelichting dingetjes publieke informatie.
Weiger je de directe link dan kun je dat op een ander manier buiten die invulschermpjes bereiken. Iets meer werk.
Het minste werk is als het compleet is vooringevuld. Dan is het yes yes enter. Bedrijven gebruiken een andere interface met een apart aan te schaffen commercieel programma.

Achteraf had het wel kunnen worden opgelost met een workaround.
Maar de meesten hadden er blijkbaar geen weet van, of misschien zijn sommigen gaan gokken: "zal wel meevallen".
Het is namelijk best wel een gedoe om uit te loggen, en daarna langs digid weer in te loggen.
Dit jaar was het trouwens gemakkelijker op te lossen zonder uitloggen en weer inloggen:
url onder het vraagteken kopieren, daarna pasten in urlbalk van browser en een s achter "http: invoegen. Daarna enter.

Weetal heeft kennelijk nog nooit van integriteit en vooral authenticiteit gehoord.

Beste jongen jaren terug haalde je de gids eerst op met alle vagen en toelichtingen. Tegenwoordig is dat nog steeds slim als het bijzondere gevallen gaat. Die popup toelichting bij de aangifte is niet altijd helder en exact. Een onafhankelijk boekje er naast leggen bijhouden wordt nog steeds aangeraden.

We hebben het over het technisch schakelen in meerdere protocollen met gegevens van een andere datakwalificatie klasse.
Ik heb nooit begrepen waarom men niet controleerbare inhoud uit meerdere bronnen en toegang van buiten tot de lokalen machine zo prachtig vond. Dat zonder een invulling van sessiemanagement Dat is een ontwerpissue Vervolgens wordt er met pleisterwerk getracht een en ander in te perken. Ik kom uit de tijd van terminals. Integriteit authenticiteit van informatie als belangrijkste waardes (denk aan ACID). De ethiek moest en moet je zelf zien in te vullen.

Tegenwoordig is het meer een programmaatje van internet plukken en dat heilig verklaren.
Vervolgens alle waardes ethiek integriteit etc gewoon laten vallen en in een soort newspeak hanteren.

En vooral niet van (kwaadaardige) iframes die worden geinjecteerd over http in een https site. Epic fail.

Typisch dat framen als een persoonlijke aanval.
Duidelijk aangegeven dat er a/ andere en betere manieren zijn om de help popup te vermijden. b/ het om openbare informatie gaat niet dd meer gevoelige invul gegevens.
Maar ja sommige Nerds snappen niet dat je niet altijd de voorgeschreven paden hoeft te volgen. Er zijn 2 paden:
1- Om niet met fouten opgezadeld te worden
2- veilig geachte systemen die toch niet veilig blijken
Ik zou haast zeggen ik voel een connectie met Epic fail linux adepten die niets negatiefs in hun heiligdom wensen te horen. Zou het bericht dat Feijenoord verloren heeft van Excelsior door een MITM veroorzaakt zijn en zijn nu gewoon een feestje aan het vieren? Als ik in complotten zou geloven is het lastig het tegendeel overtuigd te krijgen.

Dat gaat zeker ook op voor Windows adepten, die Sint Microsoft hebben heilig verklaard, en Windows de standaard noemen, of Apple fanaten die OS-X (heet nu Apple OS dacht ik) als perfect zien, en ik ken zelfs een ICT'er die zweert bij Solaris, omdat het niet te kraken is, de rest is bij hem rommel.

Karma, leer dat generaliseren nu eens af a.u.b.

Het moet natuurlijk helemaal niet zo zijn dat burgers het zelf gaan oplossen.
De meeste burgers hebben er de ballen verstand van.
Die lui die de website van mijn.belastingdienst.nl hebben ontworpen, hadden van het begin af aan ervoor moeten zorgen
dat alles in orde is. De meeste gebruikers hebben blind vertrouwd op die applicatie.

Het moet niet gekker worden dat het qua security is gebleken dat het heel bassaal niet goed zat.
Je zou zeggen: dit is zo duidelijk, dat moeten ze toch geweten hebben.
En dan toch die applicatie doodleuk aan miljoenen eenvoudige burgers voorschotelen he.
Dat geeft opeens een hele nieuwe dimensie aan "leuker kunnen we het niet maken".
(wel veiliger)

Ron ik reageer juist op dat generaliseren omdat zoiets afleid -van de aandacht op informatieveiligheid. Zo ken ik iemand die:
- altijd over verboden formaten begint
- als een bepaalde Tools leverancier maar niet betrokken is.
Dat er lokale dienstverleners zijn die de dienst uitmaken dat de eisen conform open standaarden voor cybersecurity genegeerd worden dat ict een kostenpost is dat blijft dan achterwege.

Dat klopt, de Nederlandse wet is er voor iedereen.
Wanneer iets in de Staatscourant is gepubliceerd, is het na 24 uur wettelijk.
Daarbij hebben lagere overheden zich te houden aan wat de Rijksoverheid voorschrijft.
Dat er (nog) geen represaille maatregelen mogelijk zijn, wil niet zeggen dat iets is toegestaan door/voor de lagere overheden.
OpenStandaarden, zoals gepubliceerd door het ForumStandaardisatie zijn nu eenmaal wettelijk vastgesteld.

Kan een overheid, die zich niet aan de wettelijke regels wil houden, van een burger verwachten, dat deze dit wel doet?
Daarbij zijn de overheden er voor de burgers en niet andersom!