Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
werk.nl: geen https
UWV houdt zich niet alleen niet aan de wet door IP-adressen van bezoekers te verzamelen - en te analyseren in een poging fraude op te sporen; de beheerders lappen al jaren geldende verplichtingen voor de beveiliging van overheidswebsites (en met name de beveiliging en privacy van bezoekers) aan hun laars, waarvan een deel sinds 1 juli wettelijk verplicht is.
Eerder schreef ik in https://security.nl/posting/802243 (met veel uitleg over o.a.HSTS) al dat uwv.nl niet aan de WDO (Wet Digitale Overheid) voldoet, maar verder onderzoek vanmiddag wees uit dat het nog veel erger gesteld is met deze overheidspartij (met vermoedelijk zeer veel "klanten" die volledig afhankelijk zijn van deze partij).
werk.nl
1) https://werk.nl is onbereikbaar: de server ondersteunt geen https (bewijs: [1]). Via http://werk.nl kun je de server wel benaderen - mits je niet "https only" in jouw browser hebt aangezet (hetgeen lang niet alle browsers ondersteunen en default uit staat). Dit betekent sowieso dat de verbinding gekaapt kan worden, maar ook dat "iedereen onderweg" kan zien met welke browser (en andere privacy-gevoelige gegevens) je die site bezoekt. Nb. volgens https://crt.sh/?Identity=werk.nl&match== is er nooit een certificaat voor aangevraagd.
https://www.werk.nl laat vervolgens nog meer steken vallen:
2) https://www.werk.nl is niet bereikbaar via IPv6 [2].
3) https://www.werk.nl: "Your web server does not offer securely configured X-Frame-Options" [3].
4) https://www.werk.nl: "Your web server does not offer X-Content-Type-Options" [4].
5) https://www.werk.nl: "Your web server does not offer Content-Security-Policy (CSP), or does offer CSP with certain insecure settings" [5]
6) https://www.werk.nl: "Your web server does not offer Referrer-Policy" [6].
7) https://www.werk.nl: "Your web server does not offer a security.txt file in the right location, it could not be retrieved, or its content is not syntactically valid" [7]. Een "security.txt" bestand is verplicht sinds 25 mei [8].
digid.werk.nl
9) Ook hier is vanalles niet in orde [9]. Zo is geen OCSP-stapling waardoor ook de certificaatverstrekker, onder bepaalde omstandigheden, jouw IP- adres kan loggen als je inlogt met DigiD op deze site. Deze site verstuurt ook geen HSTS-header, en vergelijkbare gebreken gelden als voor https://www.uwv.nl. Onbegrijpelijk dat zij door de tests van Logius komen.
uwv.nl
10) https://uwv.nl was eerder dit jaar onbereikbaar [10] (terwijl de http variant wel werkte), maar dit is -in tegenstelling tot werk.nl- onderussen gefixed.
11) http://uwv.nl stuurt, als jouw http-verbinding niet gekaapt wordt, direct door [11] naar https://www.uwv.nl. Daardoor komt jouw browser niet "langs" https://uwv.nl waardoor een mogelijk door die site verzonden HSTS header niet door jouw browser wordt geregistreerd.
12) https://uwv.nl verstuurt geen HSTS-header [12]. De omleiding genoemd bij 3) zou dus sowieso geen zin hebben.
https://www.uwv.nl krijgt een absurd hoge score (100%) van internet.nl, want ook de volgende zaken gaan fout:
13) https://www.uwv.nl stuurt geen CSP-header [13].
14) https://www.uwv.nl heeft geen Referrer Policy [14].
15) https://www.uwv.nl heeft geen "security.txt" [15] (zie [8]).
Conclusie
Zoals ik op tweakers.net schreef [16] (met aanvullende links en uitleg):
M.b.t. de WDO, uit [17]:
Referenties
N.b. het is mogelijk dat uw browser, na het klikken op een link met een hekje ('#') erin, u niet meteen naar de juiste plek in de pagina stuurt. Het verversen van de pagina verhelpt dat normaal gesproken.
[1] https://internet.nl/site/werk.nl/2215082/#control-panel-7
[2] https://internet.nl/site/www.werk.nl/2215149/#control-panel-4
[3] https://internet.nl/site/www.werk.nl/2215149/#control-panel-27
[4] https://internet.nl/site/www.werk.nl/2215149/#control-panel-28
[5] https://internet.nl/site/www.werk.nl/2215149/#control-panel-29
[6] https://internet.nl/site/www.werk.nl/2215149/#control-panel-30
[7] https://internet.nl/site/www.werk.nl/2215149/#control-panel-31
[8] https://www.digitaltrustcenter.nl/nieuws/securitytxt-verplicht-voor-overheid
[9] https://internet.nl/site/digid.werk.nl/2215213
[10] https://www.security.nl/posting/793171/HTTPS+en+HSTS+straks+wettelijk+verplicht+voor+overheidsorganisaties#posting793201
[11] https://internet.nl/site/uwv.nl/2214912/#control-panel-8
[12] https://internet.nl/site/uwv.nl/2214912/#control-panel-10
[13] https://internet.nl/site/www.uwv.nl/2214927/#control-panel-29
[14] https://internet.nl/site/www.uwv.nl/2214927/#control-panel-30
[15] https://internet.nl/site/www.uwv.nl/2214927/#control-panel-31
[16] https://tweakers.net/nieuws/211794/uwv-verzamelde-jarenlang-onrechtmatig-gegevens-van-websitebezoekers.html?showReaction=18956980#r_18956980
[17] https://zoek.officielebekendmakingen.nl/stb-2023-179.html
Edit 19:30: nummering gecorrigeerd
Edit 19:59 Eerste zin gecorrigeerd
Eerder schreef ik in https://security.nl/posting/802243 (met veel uitleg over o.a.HSTS) al dat uwv.nl niet aan de WDO (Wet Digitale Overheid) voldoet, maar verder onderzoek vanmiddag wees uit dat het nog veel erger gesteld is met deze overheidspartij (met vermoedelijk zeer veel "klanten" die volledig afhankelijk zijn van deze partij).
werk.nl
1) https://werk.nl is onbereikbaar: de server ondersteunt geen https (bewijs: [1]). Via http://werk.nl kun je de server wel benaderen - mits je niet "https only" in jouw browser hebt aangezet (hetgeen lang niet alle browsers ondersteunen en default uit staat). Dit betekent sowieso dat de verbinding gekaapt kan worden, maar ook dat "iedereen onderweg" kan zien met welke browser (en andere privacy-gevoelige gegevens) je die site bezoekt. Nb. volgens https://crt.sh/?Identity=werk.nl&match== is er nooit een certificaat voor aangevraagd.
https://www.werk.nl laat vervolgens nog meer steken vallen:
2) https://www.werk.nl is niet bereikbaar via IPv6 [2].
3) https://www.werk.nl: "Your web server does not offer securely configured X-Frame-Options" [3].
4) https://www.werk.nl: "Your web server does not offer X-Content-Type-Options" [4].
5) https://www.werk.nl: "Your web server does not offer Content-Security-Policy (CSP), or does offer CSP with certain insecure settings" [5]
6) https://www.werk.nl: "Your web server does not offer Referrer-Policy" [6].
7) https://www.werk.nl: "Your web server does not offer a security.txt file in the right location, it could not be retrieved, or its content is not syntactically valid" [7]. Een "security.txt" bestand is verplicht sinds 25 mei [8].
digid.werk.nl
9) Ook hier is vanalles niet in orde [9]. Zo is geen OCSP-stapling waardoor ook de certificaatverstrekker, onder bepaalde omstandigheden, jouw IP- adres kan loggen als je inlogt met DigiD op deze site. Deze site verstuurt ook geen HSTS-header, en vergelijkbare gebreken gelden als voor https://www.uwv.nl. Onbegrijpelijk dat zij door de tests van Logius komen.
uwv.nl
10) https://uwv.nl was eerder dit jaar onbereikbaar [10] (terwijl de http variant wel werkte), maar dit is -in tegenstelling tot werk.nl- onderussen gefixed.
11) http://uwv.nl stuurt, als jouw http-verbinding niet gekaapt wordt, direct door [11] naar https://www.uwv.nl. Daardoor komt jouw browser niet "langs" https://uwv.nl waardoor een mogelijk door die site verzonden HSTS header niet door jouw browser wordt geregistreerd.
12) https://uwv.nl verstuurt geen HSTS-header [12]. De omleiding genoemd bij 3) zou dus sowieso geen zin hebben.
https://www.uwv.nl krijgt een absurd hoge score (100%) van internet.nl, want ook de volgende zaken gaan fout:
13) https://www.uwv.nl stuurt geen CSP-header [13].
14) https://www.uwv.nl heeft geen Referrer Policy [14].
15) https://www.uwv.nl heeft geen "security.txt" [15] (zie [8]).
Conclusie
Zoals ik op tweakers.net schreef [16] (met aanvullende links en uitleg):
Je kunt er over discussiëren hoe belangrijk dit allemaal is, maar feit is dat het UWV zich niet aan de wet houdt - terwijl zij dit wel eist van haar "klanten".
[...] de overheid staat, in de praktijk, boven haar eigen wetten. En dan verbaasd doen als het vertrouwen van de burger in de overheid maar blijft afnemen.
Ik peins er overigens niet over om dit soort wanbeheer via CVD (Coordinated Vulnerability Disclosure) aan te kaarten. Het gaat hier om "best practices" die al zeer vele jaren gelden. Ik heb niet de illusie dat, als verantwoordelijke en andere medewerkers van UWV geen nieuws lezen en lak hebben aan de wet, zij naar mij zullen luisteren (je kunt je afvragen hoe deze partij en haar beheerders verder met uw gegevens omgaan). Is de overheid wel toe aan "digitaal gaan" met dit soort eenvoudig op te sporen blunders?[...] de overheid staat, in de praktijk, boven haar eigen wetten. En dan verbaasd doen als het vertrouwen van de burger in de overheid maar blijft afnemen.
M.b.t. de WDO, uit [17]:
8. Inwerkingtreding
Dit besluit treedt in werking op 1 juli 2023 en heeft onmiddellijke werking. Aangezien bestuursorganen zichzelf eerder hebben verbonden aan de streefbeeldafspraak om vóór 2019 te voldoen aan de standaarden, en gelet op de ontwikkelingen genoemd in paragraaf 4, is er geen noodzaak voor overgangsrecht.
Het gaat hier dus niet meer om "nauwelijks te vinden kwetsbaarheden", maar om wanbeheer en lak hebben aan burgers. M i. is Full Disclosure hier volledig op z'n plaats.Dit besluit treedt in werking op 1 juli 2023 en heeft onmiddellijke werking. Aangezien bestuursorganen zichzelf eerder hebben verbonden aan de streefbeeldafspraak om vóór 2019 te voldoen aan de standaarden, en gelet op de ontwikkelingen genoemd in paragraaf 4, is er geen noodzaak voor overgangsrecht.
Referenties
N.b. het is mogelijk dat uw browser, na het klikken op een link met een hekje ('#') erin, u niet meteen naar de juiste plek in de pagina stuurt. Het verversen van de pagina verhelpt dat normaal gesproken.
[1] https://internet.nl/site/werk.nl/2215082/#control-panel-7
[2] https://internet.nl/site/www.werk.nl/2215149/#control-panel-4
[3] https://internet.nl/site/www.werk.nl/2215149/#control-panel-27
[4] https://internet.nl/site/www.werk.nl/2215149/#control-panel-28
[5] https://internet.nl/site/www.werk.nl/2215149/#control-panel-29
[6] https://internet.nl/site/www.werk.nl/2215149/#control-panel-30
[7] https://internet.nl/site/www.werk.nl/2215149/#control-panel-31
[8] https://www.digitaltrustcenter.nl/nieuws/securitytxt-verplicht-voor-overheid
[9] https://internet.nl/site/digid.werk.nl/2215213
[10] https://www.security.nl/posting/793171/HTTPS+en+HSTS+straks+wettelijk+verplicht+voor+overheidsorganisaties#posting793201
[11] https://internet.nl/site/uwv.nl/2214912/#control-panel-8
[12] https://internet.nl/site/uwv.nl/2214912/#control-panel-10
[13] https://internet.nl/site/www.uwv.nl/2214927/#control-panel-29
[14] https://internet.nl/site/www.uwv.nl/2214927/#control-panel-30
[15] https://internet.nl/site/www.uwv.nl/2214927/#control-panel-31
[16] https://tweakers.net/nieuws/211794/uwv-verzamelde-jarenlang-onrechtmatig-gegevens-van-websitebezoekers.html?showReaction=18956980#r_18956980
[17] https://zoek.officielebekendmakingen.nl/stb-2023-179.html
Edit 19:30: nummering gecorrigeerd
Edit 19:59 Eerste zin gecorrigeerd
Reacties (32)
16-07-2023, 20:49 door
Anoniem
Voor mij hierdoor nog eens benadrukt geworden hoe belangrijk het beginnen met www….. is.
Website’ s zijn beter niet te vertrouwen, zoals uit je bijdrage aan tweekers staat.
Bedankt Erik.
Noob
Website’ s zijn beter niet te vertrouwen, zoals uit je bijdrage aan tweekers staat.
Bedankt Erik.
Noob
16-07-2023, 21:10 door
Anoniem
De Belastingdienst had lange tijd ook moeite om door te verwijzen naar https://www.belastingdienst.nl/
internet.nl beloont sites met ontbrekende onderdelen door die niet mee te nemen in de beoordeling. Ik vind dat geen goede manier van scoren, want die krijgen dan min of meer ten onrechte een beloning. Een web- & mailserver die ik heb beveiligd scoort echt op alle punten. Eigenlijk nog beter, want internet.nl tests kunnen nog veel uitgebreider.
Opvallend veel sites/mail servers missen onderdelent. Misschien moeten ze maar eens een "fully secured" award of zoiets gaan uitdelen voor servers die echt volledig voldoen aan alle geteste onderdelen.
internet.nl beloont sites met ontbrekende onderdelen door die niet mee te nemen in de beoordeling. Ik vind dat geen goede manier van scoren, want die krijgen dan min of meer ten onrechte een beloning. Een web- & mailserver die ik heb beveiligd scoort echt op alle punten. Eigenlijk nog beter, want internet.nl tests kunnen nog veel uitgebreider.
Opvallend veel sites/mail servers missen onderdelent. Misschien moeten ze maar eens een "fully secured" award of zoiets gaan uitdelen voor servers die echt volledig voldoen aan alle geteste onderdelen.
16-07-2023, 22:26 door
Anoniem
Wat is de reden voor die www. ervoor?
Heb ik nooit gesnapt.
Iemand hier een goede uitleg voor?
Heb ik nooit gesnapt.
Iemand hier een goede uitleg voor?
16-07-2023, 22:58 door
Anoniem
Door Anoniem: Voor mij hierdoor nog eens benadrukt geworden hoe belangrijk het beginnen met www….. is.
Website’ s zijn beter niet te vertrouwen, zoals uit je bijdrage aan tweekers staat.
Bedankt Erik.
Noob
Website heeft niets te maken met https, dat gaat over de verbinding.Website’ s zijn beter niet te vertrouwen, zoals uit je bijdrage aan tweekers staat.
Bedankt Erik.
Noob
17-07-2023, 05:06 door
Eric-Jan H te D
Om kort te zijn. De wet is een ratjetoe van verwijzingen naar wetten AmvB's en ministeriële regelingen. Met een evenzovele warboel van ingangsdata en overgangstermijnen.
Degene die mij kan aanwijzen dat het UWV zich vanaf 1 juli dwingend aan alle her en der vermelde eisen, aansporingen en adviezen moet houden, verdient een gevulde koek - van de banketbakker -
Degene die mij kan aanwijzen dat het UWV zich vanaf 1 juli dwingend aan alle her en der vermelde eisen, aansporingen en adviezen moet houden, verdient een gevulde koek - van de banketbakker -
17-07-2023, 09:22 door
waterlelie
UWV houdt zich niet alleen niet aan de wet door IP-adressen van bezoekers te verzamelen - en te analyseren in een poging fraude op te sporen; de beheerders lappen al jaren geldende verplichtingen voor de beveiliging van overheidswebsites (en met name de beveiliging en privacy van bezoekers) aan hun laars, waarvan een deel sinds 1 juli wettelijk verplicht is.
Interessant, maar wat doe je met die informatie !!
Stuur het op naar de politieke partijen, want uiteindelijk zijn dat degenen die de ambtenaren aansturen.
Interessant, maar wat doe je met die informatie !!
Stuur het op naar de politieke partijen, want uiteindelijk zijn dat degenen die de ambtenaren aansturen.
17-07-2023, 09:48 door
Anoniem
Door Anoniem: Wat is de reden voor die www. ervoor?
Heb ik nooit gesnapt.
Iemand hier een goede uitleg voor?
Heb ik nooit gesnapt.
Iemand hier een goede uitleg voor?
www is een subdomein dat normaal gesproken gebruikt wordt voor de webserver van het domein.
Het is een beetje een relic uit vervlogen tijden, toen had je bijvoorbeeld ook mail.voorbeeld.com, blog.voorbeeld.com, ftp.voorbeeld.com en dus ook www.voorbeeld.com.
Vroegah moest je specifiek aangeven of je de website of iets anders wilde bezoeken. Tegenwoordig verbindt de webbrower automatisch met de website tenzij je anders aangeeft.
17-07-2023, 11:20 door
Anoniem
@22.58 anoniem.
Hierbij een deel van de uitleg door Erik in tweakers;
Q "...... https://uwv.nl heeft maanden niet gewerkt (was eerder dit jaar alleen bereikbaar via http), en nu dat wel weer werkt stuurt http://uwv.nl direct door naar https://www.uwv.nl - waardoor jouw browser, in elk geval via die route, geen HSTS-header [1] ontvangt voor de domeinnaam uwv.nl.
Dat heeft tot gevolg dat elke keer dat je uwv.nl in de adresbalk van dezelfde browser invoert en op Enter drukt, die verbinding kan worden gekaapt (jouw browser omgeleid kan worden naar een nepwebsite) - tenzij je "https only" in je browser hebt aangezet (wat maar weinig browsers ondersteunen en nergens de default is)."
Hier begreep ik dat de website aanroepen zonder www, tot gevolg kan hebben dat je op http aankomt.
In de 2e zin begrijp ik dat er wel degelijk een het risico is dat de verbinding dan gekaapt ...kan... worden.
Of begrijp ik dit verkeert?
Noob
Hierbij een deel van de uitleg door Erik in tweakers;
Q "...... https://uwv.nl heeft maanden niet gewerkt (was eerder dit jaar alleen bereikbaar via http), en nu dat wel weer werkt stuurt http://uwv.nl direct door naar https://www.uwv.nl - waardoor jouw browser, in elk geval via die route, geen HSTS-header [1] ontvangt voor de domeinnaam uwv.nl.
Dat heeft tot gevolg dat elke keer dat je uwv.nl in de adresbalk van dezelfde browser invoert en op Enter drukt, die verbinding kan worden gekaapt (jouw browser omgeleid kan worden naar een nepwebsite) - tenzij je "https only" in je browser hebt aangezet (wat maar weinig browsers ondersteunen en nergens de default is)."
Hier begreep ik dat de website aanroepen zonder www, tot gevolg kan hebben dat je op http aankomt.
In de 2e zin begrijp ik dat er wel degelijk een het risico is dat de verbinding dan gekaapt ...kan... worden.
Of begrijp ik dit verkeert?
Noob
Door Anoniem: Voor mij hierdoor nog eens benadrukt geworden hoe belangrijk het beginnen met www….. is.
Niet met "www." maar met "https://".Het veiligst is het, als jouw browser dat ondersteunt (Firefox op vermoedelijk alle platformen behalve iOS en iPadOS, en Chrome op vermoedelijk alle platformen), om "https only" (of, Chrome onder iOS-NL: "Altijd beveiligde verbindingen gebruiken") aan te zetten. Daardoor zet de browser zelf https:// vóór elke domeinnaam, maar ook wordt, indien gespecificeerd (bijv. in een link waar je op klikt of een QR-code die je scant), http:// altijd vervangen door https:// (vóórdat de verbinding wordt gemaakt).
[*] Nb. als je dat aanzet in Firefox, zul je deze moeten sluiten en weer opstarten voordat deze instelling effect heeft op http-sites die je nog open hebt of open hebt gehad. Chrome (in elk geval onder Android) werkt iets anders: deze browser "onthoudt" sites waarvoor je, met "https only" aan, toch een http-verbinding hebt toegestaan; die komen op een soort "allow-list" (waardoor er, de volgende keer, niets gevraagd wordt en gewoon via http verbonden wordt). Om dat ongedaan te maken zul je de browser-geschiedenis moeten wissen.
Er zijn ook browsers die, als je geen protocol specificeert (d.w.z. de URL niet met http:// of https:// begint), eerst https:// proberen. Maar dit is schijnveiligheid bij een actieve aanvaller: als https niet werkt (verkeer naar TCP poort 443 wordt geblokkeerd door de aanvaller, in een poging om jouw browser http te laten proberen), vallen die browsers stilletjes automatisch terug naar het meer risicovolle http.
Oftewel, als jouw browser niet klaagt (dat ie geen verbinding kan maken) als je werk.nl of http.badssl.com invoert in de adresbalk en op Enter drukt, gebruik je een onveilige browser.
Als je zo'n onveilige browser gebruikt waarin je "https only" niet kunt afdwingen, tik dan (voor maximale veiligheid) altijd zelf https:// vóóraan elke URL. En wijzig zoveel mogelijk zelf http:// in https://.
Ongeacht of je een veilig ingestelde of een onveilige browser gebruikt: als bijvoorbeeld https://werk.nl niet werkt, probeer dan eerst met "www." ertussen, dus https://www.werk.nl. Vooral bij onbetrouwbare netwerken (zoals public WiFi, bijv. op vakantie) is het m.i. zeer verstandig om elke mogelijke http-verbinding te vermijden.
Door Anoniem: Wat is de reden voor die www. ervoor?
Lang geleden noemde men bijv. security.nl de domeinnaam. Binnen dat domein kun je meerdere hosts hebben, waar vaak losse computers voor werden gebruikt, met hostnames zoals mail.domein.tld en ftp.domein.tld. Met de opkomst van het web werd daar www.domein.tld aan toegevoegd.Oorspronkelijk was www.security.nl de hostname in de zin van FQDN (Full Qualified Domain Name) voor haar http-server. Later kwam daar https://secure.security.nl bij voor https-verbindingen (dat werkt nog steeds, ten dienste van oude URLs op internet die daarmee beginnen). Later (vooral sinds virtualisatie populair werd, https het overnam van http en andere servers -zoals ftp- verdwenen) is dit allemaal door elkaar gaan lopen.
Er bestaan verschillende oplossingen voor de "echte" site:
• security.nl stuurt door naar www.security.nl;
• www.nos.nl stuurt door naar nos.nl;
• Zowel www.alblasserdam.nl als alblasserdam.nl blijven zo afhankelijk van waarmee je begon (waarschijnlijk is er maar 1 echte server, die intern bijhoudt en verder negeert hoe jouw browser "landde").
Door Anoniem:
Ja, mits je de combinatie van authenticatie van de server en versleuteling van de verbinding met specifiek die server bedoelt.Door Anoniem: [...]Website’ s zijn beter niet te vertrouwen, [...]
Website heeft niets te maken met https, dat gaat over de verbinding.De FQDN secure.security.nl was overigens wel enigszins misleidend.
Kortom, zorg dat je altijd https gebruikt; wel of geen "www." boeit niet (als zonder niet werkt probeer je met en vice versa). En, voordat je ook maar iets van een website besluit te vertrouwen: dubbel-check dat de getoonde domeinnaam (de uiteindelijke, na eventueel doorsturen) van de door jou bedoelde organisatie is.
[*] Edit 14:49: deze alinea gewijzigd (Chrome werkt anders dan Firefox).
17-07-2023, 20:45 door
Erik van Straten
Door Anoniem: Opvallend veel sites/mail servers missen onderdelent. Misschien moeten ze maar eens een "fully secured" award of zoiets gaan uitdelen voor servers die echt volledig voldoen aan alle geteste onderdelen.
Prima, maar de score bij gebreken moet flink omlaag.Bijvoorbeeld werk.nl voldoet totaal niet aan de wet, niet aan PTOLU uit 2019 en is waarschijnlijk een zeer druk bezochte website. Die site krijgt een score van 63% (https://internet.nl/site/werk.nl/2215082), minstens een schoolcijfer 6+ dus of, afgerond op halve punten, een 6,5. Dat is een ruime voldoende voor een site die niet aan de wet voldoet.
En www.werk.nl voldoet ook niet aan de wet (geen HSTS vind ik persoonlijk minder erg, dat is sowieso onbetrouwbaar - maar het is natuurlijk niet volgens de regels). Een score van 96% (https://internet.nl/site/www.werk.nl/2215149) is dan volstrekt idioot; dat zou gewoon een onvoldoende moeten zijn.
Overigens ben ik wel onder de indruk van de tests uitgevoerd door internet.nl, en de daarbij gegeven toelichtingen.
Door Eric-Jan H te D: Om kort te zijn. De wet is een ratjetoe van verwijzingen naar wetten AmvB's en ministeriële regelingen. Met een evenzovele warboel van ingangsdata en overgangstermijnen.
Nog korter: welk deel van artikel 2 en 8 in [17] begrijp je niet?Door waterlelie: Interessant, maar wat doe je met die informatie !!
Stuur het op naar de politieke partijen, want uiteindelijk zijn dat degenen die de ambtenaren aansturen.
Prima als politici dit lezen! Als jij denkt dat ze dat gaan doen, stuur hen gerust de link naar deze pagina.Stuur het op naar de politieke partijen, want uiteindelijk zijn dat degenen die de ambtenaren aansturen.
18-07-2023, 08:47 door
Bitje-scheef
Laatst een stuk gelezen op nu.nl over dat UWV onrechtmatig allerlei informatie over mensen verzameld die in de molen van de UWV zitten.
Daar was toch 80% van de reaguranten die dit een prima idee vonden om fraude mee op te sporen. Kwaliteit en relevantie van de informatie deed er niet toe.
Vervolgens kan zo'n (semi) ambtenaar besluiten op basis van de informatie je te korten of op te schorten. Simpelweg omdat deze vindt dat er een buitenlands ip adres in je emailverkeer verschijnt. De weg om de beslissing ongedaan te maken kan wel eens een pittige zijn.
Ik ben normaal ook niet zo snel bang dat informatie misbruikt wordt (gelukkig meestal ook niet), maar hier schrok ik toch wel een beetje van. Mensen vergeten kennelijk snel, de toeslagenaffaire is alweer weggezakt.
Daar was toch 80% van de reaguranten die dit een prima idee vonden om fraude mee op te sporen. Kwaliteit en relevantie van de informatie deed er niet toe.
Vervolgens kan zo'n (semi) ambtenaar besluiten op basis van de informatie je te korten of op te schorten. Simpelweg omdat deze vindt dat er een buitenlands ip adres in je emailverkeer verschijnt. De weg om de beslissing ongedaan te maken kan wel eens een pittige zijn.
Ik ben normaal ook niet zo snel bang dat informatie misbruikt wordt (gelukkig meestal ook niet), maar hier schrok ik toch wel een beetje van. Mensen vergeten kennelijk snel, de toeslagenaffaire is alweer weggezakt.
18-07-2023, 13:24 door
Erik van Straten
M.b.t. "www." voorvoegsels en http i.p.v. https: in https://www.theregister.com/2023/07/17/great_firewall_even_greater/ las ik dat China de Chinese Internet Muur wil versterken, zich baserend op een artikel waarvoor El Reg de volgende link heeft opgenomen:
http://english.www.gov.cn/news/202307/16/content_WS64b3f805c6d0868f4e8ddd2e.html
Oftewel: "www." hoeft niets te zeggen over het soort server; het is gewoon onderdeel van een (als het goed is, wereldwijd unieke) domeinnaam die naar nul of meer IP-adressen kan verwijzen.
Die brakke server krijgt, ondanks zeer veel tekortkomingen, toch nog een score van 44% :
https://internet.nl/site/english.www.gov.cn/2218648
Overigens meldt internet.nl dat er ook een https variant bestaat, waarbij http niet automatisch doorstuurt naar https. Wellicht is dat omdat https gerealiseerd wordt door een proxy in de Chinese Vuurmuur, een apparaat waar de beheerders van de nieuwssite geen weet van hoeven te hebben.
Anyway, deze link werkt dus ook: https://english.www.gov.cn/news/202307/16/content_WS64b3f805c6d0868f4e8ddd2e.html (met een OV certificaat van het Amerikaanse DigiCert).
Wat propa uit die nieuwspagina ("Updated: July 16, 2023 22:00"):
http://english.www.gov.cn/news/202307/16/content_WS64b3f805c6d0868f4e8ddd2e.html
Oftewel: "www." hoeft niets te zeggen over het soort server; het is gewoon onderdeel van een (als het goed is, wereldwijd unieke) domeinnaam die naar nul of meer IP-adressen kan verwijzen.
Die brakke server krijgt, ondanks zeer veel tekortkomingen, toch nog een score van 44% :
https://internet.nl/site/english.www.gov.cn/2218648
Overigens meldt internet.nl dat er ook een https variant bestaat, waarbij http niet automatisch doorstuurt naar https. Wellicht is dat omdat https gerealiseerd wordt door een proxy in de Chinese Vuurmuur, een apparaat waar de beheerders van de nieuwssite geen weet van hoeven te hebben.
Anyway, deze link werkt dus ook: https://english.www.gov.cn/news/202307/16/content_WS64b3f805c6d0868f4e8ddd2e.html (met een OV certificaat van het Amerikaanse DigiCert).
Wat propa uit die nieuwspagina ("Updated: July 16, 2023 22:00"):
Xi added that China has accelerated the efforts to build self-reliance and strength in internet and information technology, the leading role of information technology as a driving force for development has been given full play, the rule of law in cyberspace has been constantly improved, a greater say in international affairs and influence in cyberspace has been gained and strengthened, making a new leap forward in building China into a country with strong cyber strength.
Volgens internet.nl zijn er nog een heel stel leaps nodig voordat er in dat land sprake is van een "leading role" (DES-CBC3-SHA nog ondersteunen "kan beter"). Maar als NL B.V. zo blijft trutten als zij nu doet, sluit ik niet uit dat China ons inhaalt.
18-07-2023, 14:10 door
Anoniem
Door Eric-Jan H te D: Om kort te zijn. De wet is een ratjetoe van verwijzingen naar wetten AmvB's en ministeriële regelingen. Met een evenzovele warboel van ingangsdata en overgangstermijnen.
Degene die mij kan aanwijzen dat het UWV zich vanaf 1 juli dwingend aan alle her en der vermelde eisen, aansporingen en adviezen moet houden, verdient een gevulde koek - van de banketbakker -
Degene die mij kan aanwijzen dat het UWV zich vanaf 1 juli dwingend aan alle her en der vermelde eisen, aansporingen en adviezen moet houden, verdient een gevulde koek - van de banketbakker -
In de basis geef ik je gelijk. Ik ben zelf ook bezig geweest hetzelfde uit te zoeken voor gemeenten en ZBO's.
Maar, ik ga (wat kort door de bocht) proberen de koek te verdienen ;-)
Via artikel 2:1 BW kom je terecht bij artikel 2 "instelling uitvoeringsinstituut werknemersverzekeringen"en dat zegt dat het UWV een rechtspersoon is, krachtens publiekrecht ingesteld. Het is dus een a-orgaan.
Vervolgens zegt het "Besluit beveiligde verbinding met overheidswebsites en -webapplicaties" (https://www.raadvanstate.nl/adviezen/@120648/w04-20-0067) dat a-organen binnen de reikwijdte het het besluit vallen.
18-07-2023, 20:09 door
Anoniem
Door Anoniem:
www is een subdomein dat normaal gesproken gebruikt wordt voor de webserver van het domein.
Het is een beetje een relic uit vervlogen tijden, toen had je bijvoorbeeld ook mail.voorbeeld.com, blog.voorbeeld.com, ftp.voorbeeld.com en dus ook www.voorbeeld.com.
Vroegah moest je specifiek aangeven of je de website of iets anders wilde bezoeken. Tegenwoordig verbindt de webbrower automatisch met de website tenzij je anders aangeeft.
Door Anoniem: Wat is de reden voor die www. ervoor?
Heb ik nooit gesnapt.
Iemand hier een goede uitleg voor?
Heb ik nooit gesnapt.
Iemand hier een goede uitleg voor?
www is een subdomein dat normaal gesproken gebruikt wordt voor de webserver van het domein.
Het is een beetje een relic uit vervlogen tijden, toen had je bijvoorbeeld ook mail.voorbeeld.com, blog.voorbeeld.com, ftp.voorbeeld.com en dus ook www.voorbeeld.com.
Vroegah moest je specifiek aangeven of je de website of iets anders wilde bezoeken. Tegenwoordig verbindt de webbrower automatisch met de website tenzij je anders aangeeft.
Nee dat klopt niet! Het is geen relic uit vervlogen tijden, maar een omissie in DNS.
Je kunt aan DNS wel vragen "wat is het IP adres van deze domeinnaam" maar niet "geef me het adres van de webserver van dit domein".
Als er van allerlei spul draait op een domein, bijvoorbeeld werk.nl, dan zal het IP adres van werk.nl wellicht anders zijn dan van www.werk.nl (en inderdaad, dat is ook zo).
Nu KAN het zijn dat het mogelijk is om op het adres waar werk.nl naar verwijst een kleine webserver te draaien die de gebruikers redirect naar www.werk.nl. Maar het is helemaal niet zeker dat dat kan, en ook niet zeker dat het werkbaar is om dat ook voor https werkend te krijgen, dat hangt er maar vanaf wat er op dat adres zit. Misschien wel een VPN gateway ofzo. Dit soort dingen is vaak bepaald door een lange historie.
Zeker als het gaat over heel algemene domeinnamen, en niet iets als "werkenbijdeoverheid.nl" ofzo waar alleen maar een website en misschien mail achter moet hangen, is er eigenlijk nog steeds geen werkbare oplossing voor dit probleem.
Er is wel gepoogd iets te doen (SRV records) maar dat is buiten een paar niche applicaties geen succes geworden.
Dus Erik kan wel denken "waarom maken jullie dat nou niet even werkend" maar wellicht is dat niet simpel.
Dus nee, www is geen relic en er is geen goede oplossing voor.
Door Anoniem: Nu KAN het zijn dat het mogelijk is om op het adres waar werk.nl naar verwijst een kleine webserver te draaien die de gebruikers redirect naar www.werk.nl. Maar het is helemaal niet zeker dat dat kan, en ook niet zeker dat het werkbaar is om dat ook voor https werkend te krijgen, dat hangt er maar vanaf wat er op dat adres zit. Misschien wel een VPN gateway ofzo. Dit soort dingen is vaak bepaald door een lange historie.
Wat een ongelofelijke onzin.Sowieso draait er nu al op werk.nl "een kleine webserver ... die de gebruikers redirect naar www.werk.nl". Er draait echter alleen een http server op, niet tevens een https server.
De enige -totaal onrealistische- mogelijkheid is dus dat er, jáááren geleden, al "iets anders" draaide op poort 443 van de server met de domeinnaam werk.nl (niet eens de naam van een organisatie, zoals uwv.nl), dat niet onmiddellijk vervangen kon worden door een publiek toegankelijke https server (die niets anders hoeft te doen dan, met een geldige HSTS header, door te sturen naar https://www.werk.nl).
In het vervolgens extreem onwaarschijnlijke scenario dat het, sinds de zeer vele jaren dat https de norm is (en sinds 2019 verplicht is via PTOLU), niet gelukt zou zijn om die service naar een andere domeinnaam te verplaatsen (zoals vpn.werk.nl) had het UWV een radicale stap kunnen nemen, met de keuze uit:
1) Ofwel op http://werk.nl een pagina tonen waarop staat, met een niet-klikbare link, dat men voortaan zelf direct "naar www.werk.nl moet gaan";
2) Ofwel op werk.nl:80 niets meer draaien en overal publiceren dat www.werk.nl de enige juiste domeinnaam is.
Maar dat doet het UWV niet. Bijvoorbeeld uit https://www.werk.nl/werkzoekenden/over-werk-nl/handleiding/sollicitatie-wijziging/index.aspx:
[...]
Sollicitatieactiviteiten doorgeven (met bijlage)
[plaatje]
Geef elke sollicitatieactiviteit apart aan ons door. Dit doet u zo:
1. Ga naar werk.nl en klik rechtsboven op 'Log in met DigiD'.
[...]
Het UWV stuurt burgers dus, willens en wetens, via http naar een pagina waarop men met DigiD moet inloggen.Sollicitatieactiviteiten doorgeven (met bijlage)
[plaatje]
Geef elke sollicitatieactiviteit apart aan ons door. Dit doet u zo:
1. Ga naar werk.nl en klik rechtsboven op 'Log in met DigiD'.
[...]
Met een simpele phishingpagina kunnen cybercriminelen eenvoudig DigiD-login-gegevens van een deel van de werkzoekenden scoren, namelijk van hen waarbij een AITM-aanval mogelijk is en die het niet doorhebben als de domeinnaam in de adresbalk niet exact werk.nl luidt of niet exact op .werk.nl eindigt. En vervolgens, als zij rechtsboven op 'Log in met DigiD' klikken, niet opmerken dat zij op een site uitkomen met een domeinnaam in de adresbalk die niet exact digid.nl luidt of niet exact op .digid.nl eindigt - en dan hun DigiD inloggegevens invullen.
Uit de wet ([17]):
b. een bezoeker wordt doorverwezen naar de HTTPS-versie op de bezochte domeinnaam voordat naar andere domeinnamen wordt doorverwezen overeenkomstig maatregel 5 bij beveiligingsrichtlijn U/WA.05 van de Webapplicatie-richtlijnen; en
c. een HSTS-geldigheidsduur van tenminste twaalf maanden (max-age=31536000) wordt gehanteerd.
c. een HSTS-geldigheidsduur van tenminste twaalf maanden (max-age=31536000) wordt gehanteerd.
Sowieso moet de volgende redirect plaatsvinden:
http://www.werk.nl
v
https://www.werk.nl (met HSTS header)
v
https://www.werk.nl (met HSTS header)
En indien werk.nl via http benaderbaar is, moet dus ook:
http://werk.nl
v
https://werk.nl (met HSTS header)
v
https://www.werk.nl (met HSTS header)
v
https://werk.nl (met HSTS header)
v
https://www.werk.nl (met HSTS header)
Door Anoniem: Dus Erik kan wel denken "waarom maken jullie dat nou niet even werkend" maar wellicht is dat niet simpel.
Het is irrelevant wat Erik denkt, en ook of het simpel is of enorm lastig: sinds 2019 (of eerder) was dit al verplicht, en sinds 1 juli staat het in een wet.
19-07-2023, 06:39 door
Anoniem
Door Anoniem:
In de basis geef ik je gelijk. Ik ben zelf ook bezig geweest hetzelfde uit te zoeken voor gemeenten en ZBO's.
Maar, ik ga (wat kort door de bocht) proberen de koek te verdienen ;-)
Via artikel 2:1 BW kom je terecht bij artikel 2 "instelling uitvoeringsinstituut werknemersverzekeringen"en dat zegt dat het UWV een rechtspersoon is, krachtens publiekrecht ingesteld. Het is dus een a-orgaan.
Vervolgens zegt het "Besluit beveiligde verbinding met overheidswebsites en -webapplicaties" (https://www.raadvanstate.nl/adviezen/@120648/w04-20-0067) dat a-organen binnen de reikwijdte het het besluit vallen.
Door Eric-Jan H te D: Om kort te zijn. De wet is een ratjetoe van verwijzingen naar wetten AmvB's en ministeriële regelingen. Met een evenzovele warboel van ingangsdata en overgangstermijnen.
Degene die mij kan aanwijzen dat het UWV zich vanaf 1 juli dwingend aan alle her en der vermelde eisen, aansporingen en adviezen moet houden, verdient een gevulde koek - van de banketbakker -
Degene die mij kan aanwijzen dat het UWV zich vanaf 1 juli dwingend aan alle her en der vermelde eisen, aansporingen en adviezen moet houden, verdient een gevulde koek - van de banketbakker -
In de basis geef ik je gelijk. Ik ben zelf ook bezig geweest hetzelfde uit te zoeken voor gemeenten en ZBO's.
Maar, ik ga (wat kort door de bocht) proberen de koek te verdienen ;-)
Via artikel 2:1 BW kom je terecht bij artikel 2 "instelling uitvoeringsinstituut werknemersverzekeringen"en dat zegt dat het UWV een rechtspersoon is, krachtens publiekrecht ingesteld. Het is dus een a-orgaan.
Vervolgens zegt het "Besluit beveiligde verbinding met overheidswebsites en -webapplicaties" (https://www.raadvanstate.nl/adviezen/@120648/w04-20-0067) dat a-organen binnen de reikwijdte het het besluit vallen.
Ik zet deze even terug, voor het geval dat er overheen gelezen is.
Niet de plaatser.
19-07-2023, 11:30 door
Erik van Straten
Ik zet deze even terug, voor het geval dat er overheen gelezen is.
Wel de plaatser (en de TS).
Sowieso draait er nu al op werk.nl "een kleine webserver ... die de gebruikers redirect naar www.werk.nl". Er draait echter alleen een http server op, niet tevens een https server.
De enige -totaal onrealistische- mogelijkheid is dus dat er, jáááren geleden, al "iets anders" draaide op poort 443 van de server met de domeinnaam werk.nl (niet eens de naam van een organisatie, zoals uwv.nl), dat niet onmiddellijk vervangen kon worden door een publiek toegankelijke https server (die niets anders hoeft te doen dan, met een geldige HSTS header, door te sturen naar https://www.werk.nl).
In het vervolgens extreem onwaarschijnlijke scenario dat het, sinds de zeer vele jaren dat https de norm is (en sinds 2019 verplicht is via PTOLU), niet gelukt zou zijn om die service naar een andere domeinnaam te verplaatsen (zoals vpn.werk.nl) had het UWV een radicale stap kunnen nemen, met de keuze uit:
1) Ofwel op http://werk.nl een pagina tonen waarop staat, met een niet-klikbare link, dat men voortaan zelf direct "naar www.werk.nl moet gaan";
2) Ofwel op werk.nl:80 niets meer draaien en overal publiceren dat www.werk.nl de enige juiste domeinnaam is.
Maar dat doet het UWV niet. Bijvoorbeeld uit https://www.werk.nl/werkzoekenden/over-werk-nl/handleiding/sollicitatie-wijziging/index.aspx:
Met een simpele phishingpagina kunnen cybercriminelen eenvoudig DigiD-login-gegevens van een deel van de werkzoekenden scoren, namelijk van hen waarbij een AITM-aanval mogelijk is en die het niet doorhebben als de domeinnaam in de adresbalk niet exact werk.nl luidt of niet exact op .werk.nl eindigt. En vervolgens, als zij rechtsboven op 'Log in met DigiD' klikken, niet opmerken dat zij op een site uitkomen met een domeinnaam in de adresbalk die niet exact digid.nl luidt of niet exact op .digid.nl eindigt - en dan hun DigiD inloggegevens invullen.
Uit de wet ([17]):
Sowieso moet de volgende redirect plaatsvinden:
En indien werk.nl via http benaderbaar is, moet dus ook:
Wel de plaatser (en de TS).
Door Anoniem: Nu KAN het zijn dat het mogelijk is om op het adres waar werk.nl naar verwijst een kleine webserver te draaien die de gebruikers redirect naar www.werk.nl. Maar het is helemaal niet zeker dat dat kan, en ook niet zeker dat het werkbaar is om dat ook voor https werkend te krijgen, dat hangt er maar vanaf wat er op dat adres zit. Misschien wel een VPN gateway ofzo. Dit soort dingen is vaak bepaald door een lange historie.
Wat een ongelofelijke onzin.Sowieso draait er nu al op werk.nl "een kleine webserver ... die de gebruikers redirect naar www.werk.nl". Er draait echter alleen een http server op, niet tevens een https server.
De enige -totaal onrealistische- mogelijkheid is dus dat er, jáááren geleden, al "iets anders" draaide op poort 443 van de server met de domeinnaam werk.nl (niet eens de naam van een organisatie, zoals uwv.nl), dat niet onmiddellijk vervangen kon worden door een publiek toegankelijke https server (die niets anders hoeft te doen dan, met een geldige HSTS header, door te sturen naar https://www.werk.nl).
In het vervolgens extreem onwaarschijnlijke scenario dat het, sinds de zeer vele jaren dat https de norm is (en sinds 2019 verplicht is via PTOLU), niet gelukt zou zijn om die service naar een andere domeinnaam te verplaatsen (zoals vpn.werk.nl) had het UWV een radicale stap kunnen nemen, met de keuze uit:
1) Ofwel op http://werk.nl een pagina tonen waarop staat, met een niet-klikbare link, dat men voortaan zelf direct "naar www.werk.nl moet gaan";
2) Ofwel op werk.nl:80 niets meer draaien en overal publiceren dat www.werk.nl de enige juiste domeinnaam is.
Maar dat doet het UWV niet. Bijvoorbeeld uit https://www.werk.nl/werkzoekenden/over-werk-nl/handleiding/sollicitatie-wijziging/index.aspx:
[...]
Sollicitatieactiviteiten doorgeven (met bijlage)
[plaatje]
Geef elke sollicitatieactiviteit apart aan ons door. Dit doet u zo:
1. Ga naar werk.nl en klik rechtsboven op 'Log in met DigiD'.
[...]
Het UWV stuurt burgers dus, willens en wetens, via http naar een pagina waarop men met DigiD moet inloggen.Sollicitatieactiviteiten doorgeven (met bijlage)
[plaatje]
Geef elke sollicitatieactiviteit apart aan ons door. Dit doet u zo:
1. Ga naar werk.nl en klik rechtsboven op 'Log in met DigiD'.
[...]
Met een simpele phishingpagina kunnen cybercriminelen eenvoudig DigiD-login-gegevens van een deel van de werkzoekenden scoren, namelijk van hen waarbij een AITM-aanval mogelijk is en die het niet doorhebben als de domeinnaam in de adresbalk niet exact werk.nl luidt of niet exact op .werk.nl eindigt. En vervolgens, als zij rechtsboven op 'Log in met DigiD' klikken, niet opmerken dat zij op een site uitkomen met een domeinnaam in de adresbalk die niet exact digid.nl luidt of niet exact op .digid.nl eindigt - en dan hun DigiD inloggegevens invullen.
Uit de wet ([17]):
b. een bezoeker wordt doorverwezen naar de HTTPS-versie op de bezochte domeinnaam voordat naar andere domeinnamen wordt doorverwezen overeenkomstig maatregel 5 bij beveiligingsrichtlijn U/WA.05 van de Webapplicatie-richtlijnen; en
c. een HSTS-geldigheidsduur van tenminste twaalf maanden (max-age=31536000) wordt gehanteerd.
c. een HSTS-geldigheidsduur van tenminste twaalf maanden (max-age=31536000) wordt gehanteerd.
Sowieso moet de volgende redirect plaatsvinden:
http://www.werk.nl
v
https://www.werk.nl (met HSTS header)
v
https://www.werk.nl (met HSTS header)
En indien werk.nl via http benaderbaar is, moet dus ook:
http://werk.nl
v
https://werk.nl (met HSTS header)
v
https://www.werk.nl (met HSTS header)
v
https://werk.nl (met HSTS header)
v
https://www.werk.nl (met HSTS header)
Door Anoniem: Dus Erik kan wel denken "waarom maken jullie dat nou niet even werkend" maar wellicht is dat niet simpel.
Het is irrelevant wat Erik denkt, en ook of het simpel is of enorm lastig: sinds 2019 (of eerder) was dit al verplicht, en sinds 1 juli staat het in een wet.
19-07-2023, 11:33 door
Anoniem
Door Erik van Straten:
Sowieso draait er nu al op werk.nl "een kleine webserver ... die de gebruikers redirect naar www.werk.nl". Er draait echter alleen een http server op, niet tevens een https server.
Door Anoniem: Nu KAN het zijn dat het mogelijk is om op het adres waar werk.nl naar verwijst een kleine webserver te draaien die de gebruikers redirect naar www.werk.nl. Maar het is helemaal niet zeker dat dat kan, en ook niet zeker dat het werkbaar is om dat ook voor https werkend te krijgen, dat hangt er maar vanaf wat er op dat adres zit. Misschien wel een VPN gateway ofzo. Dit soort dingen is vaak bepaald door een lange historie.
Wat een ongelofelijke onzin.Sowieso draait er nu al op werk.nl "een kleine webserver ... die de gebruikers redirect naar www.werk.nl". Er draait echter alleen een http server op, niet tevens een https server.
Dat zeg ik. Misschien kan het apparaat wat op het adres werk.nl zit wel helemaal geen https server aanbieden.
Dat weet je toch niet? Of wel? Informeer eens bij de ICT afdeling van UWV wat er op dat adres zit.
Het is inderdaad slordig dat ze "ga naar werk.nl" zeggen maar dat soort publicaties wordt gemaakt door communicatie afdelingen zonder ICT kennis. Al die details die jij oprakelt die zeggen hen niets.
19-07-2023, 17:51 door
Erik van Straten
Door Anoniem: Misschien kan het apparaat wat op het adres werk.nl zit wel helemaal geen https server aanbieden.
TROLL ALERT
21-07-2023, 11:21 door
Anoniem
Ik krijg twee uMatrix-blokkeringen te zien bij www.werk,nl nl. voor uwv.nl en tag2.uwv.nl
Kijk eens hier; https://urlscan.io/result/dd752ff6-0f72-4d85-a149-0053afb15fcf/
Gevalletje BAD Oracle Access Manager? Graag commentaar, Is er sprake van een failed integrity check? (obrar.cgi)
luntrus
Kijk eens hier; https://urlscan.io/result/dd752ff6-0f72-4d85-a149-0053afb15fcf/
Gevalletje BAD Oracle Access Manager? Graag commentaar, Is er sprake van een failed integrity check? (obrar.cgi)
luntrus
21-07-2023, 15:40 door
Anoniem
Door Anoniem: Wat is de reden voor die www. ervoor?
Heb ik nooit gesnapt.
Iemand hier een goede uitleg voor?
Heb ik nooit gesnapt.
Iemand hier een goede uitleg voor?
In de donkere begintijden van het internet was het gebruikelijk om de toepassing / het protocol in de FQDN te gebruiken;
dus: www.mydomain.com - World Wide Web (http/https)
news.mydomain.com - News (nntp)
mail.mydomain.com - Email (pop3 / imap / mapi / etc)
Wel zou duidelijk voor de gebruiker. Tegenwoordig is het echter ook - gelukkig - erg gangbaar om ook op de domeinnaam zelf (zonder www) de website te hosten, maar het 'www' legacy verhaal is blijven hangen; er is verder absoluut geen enkele reden om www. te typen; als een website anno 2023 te beroerd is om fatsoenlijk https in te richten voor zowel met als zonder www., zijn het gewoon luie amateurs.
21-07-2023, 17:11 door
Anoniem
Dat daar nog steeds http wordt gebruikt is een grote schande.
Hier viel ik 20 jaar geleden al over toen UWV nog niet bestond.
Je had toen nog het gemeentelijk arbeidsbureau o.i.d.
Je moest wel alles al zelf vanaf de computer doen, en inderdaad: men gebruikte nog http.
Ik weigerde daar mee te werken, en heb me teruggetrokken.
Er is een potentieel gevaar dat burgers die zo kien zijn om te weten wat er speelt en daarom weigeren het te gebruiken
vervolgens tussen wal en schip belanden. Want dan wordt het lastiger om weer werk te krijgen of een uitkering.
Men wordt dus in feite min of meer door het UWV gedwongen om onveilig (met http dus) te werken.
De meeste mensen begrijpen nog niet half wat voor risico's dat oplevert.
Daarom is het een gigantische schande dat de overheid dit zelfs na 20 jaar nog steeds niet heeft rechtgezet.
Hier viel ik 20 jaar geleden al over toen UWV nog niet bestond.
Je had toen nog het gemeentelijk arbeidsbureau o.i.d.
Je moest wel alles al zelf vanaf de computer doen, en inderdaad: men gebruikte nog http.
Ik weigerde daar mee te werken, en heb me teruggetrokken.
Er is een potentieel gevaar dat burgers die zo kien zijn om te weten wat er speelt en daarom weigeren het te gebruiken
vervolgens tussen wal en schip belanden. Want dan wordt het lastiger om weer werk te krijgen of een uitkering.
Men wordt dus in feite min of meer door het UWV gedwongen om onveilig (met http dus) te werken.
De meeste mensen begrijpen nog niet half wat voor risico's dat oplevert.
Daarom is het een gigantische schande dat de overheid dit zelfs na 20 jaar nog steeds niet heeft rechtgezet.
21-07-2023, 18:41 door
Anoniem
Ik ben niet accoord met deze onzin maar enige tegenkanting zal nooit zichtbaar komen op deze gekleurde site
22-07-2023, 10:27 door
Erik van Straten
Er is iemand wakker geworden bij het UWV: https://werk.nl werkt nu.
Op 21 juli is er een certificaat voor aangevraagd: https://crt.sh/?Identity=werk.nl&match== en kennelijk is dat ook al geïnstalleerd.
Wel triest dat dit zo lang heeft moeten duren. Perfect is het nog niet (ondanks een misleidende "100%" score bovenaan de pagina): https://internet.nl/site/werk.nl/2226273/#siteappsecpriv.
Op 21 juli is er een certificaat voor aangevraagd: https://crt.sh/?Identity=werk.nl&match== en kennelijk is dat ook al geïnstalleerd.
Wel triest dat dit zo lang heeft moeten duren. Perfect is het nog niet (ondanks een misleidende "100%" score bovenaan de pagina): https://internet.nl/site/werk.nl/2226273/#siteappsecpriv.
23-07-2023, 11:17 door
Anoniem
Ik snap niet dat enkele het niet eens zijn met deze discussie. Ik vind het hier open en oprecht over een onderwerp kan worden gewisseld van gedachten en argumenten.
Dit mis ik toch wel op ander sites.
Dit mis ik toch wel op ander sites.
25-07-2023, 13:00 door
_Jeroen_
Door Erik van Straten: Er is iemand wakker geworden bij het UWV: https://werk.nl werkt nu.
Op 21 juli is er een certificaat voor aangevraagd: https://crt.sh/?Identity=werk.nl&match== en kennelijk is dat ook al geïnstalleerd.
Wel triest dat dit zo lang heeft moeten duren. Perfect is het nog niet (ondanks een misleidende "100%" score bovenaan de pagina): https://internet.nl/site/werk.nl/2226273/#siteappsecpriv.
Op 21 juli is er een certificaat voor aangevraagd: https://crt.sh/?Identity=werk.nl&match== en kennelijk is dat ook al geïnstalleerd.
Wel triest dat dit zo lang heeft moeten duren. Perfect is het nog niet (ondanks een misleidende "100%" score bovenaan de pagina): https://internet.nl/site/werk.nl/2226273/#siteappsecpriv.
Beste Erik,
Bedankt voor het starten van dit draadje en de eerdere uitgebreide post over HSTS. Beide artikelen hebben bijgedragen aan een versnelde herinrichting van de portalen UWV.NL en WERK.NL zodat UWV ook op dit punt voldoet aan de Wet digitale overheid (WDO). Hiermee is het internet toch een stukje cyberveiliger geworden en dat heeft altijd de voorkeur boven een 'Leg uit' situatie.
Ik ben betrokken geweest bij de herinrichting en zou graag eens persoonlijk met je kennismaken, dit mag online of fysiek in Amsterdam Sloterdijk. Wat voor jou het beste uitkomt. Ik ben namelijk erg benieuwd naar jouw visie van een perfecte score van 100%. Ik kan je dan uitleggen hoe bepaalde zaken georganiseerd zijn binnen UWV ten aanzien van de beveiliging van de portalen.
Ik laat het initiatief bij jou, maar hoop dat je hiervoor openstaat. Als je een mailtje stuurt naar het CVD e-mail adres van UWV (Kan je vinden op UWV.NL) dan plannen we een afspraak in. Ik zal je dan meteen bijpraten over de security.txt implementatie ;-)
Ik kijk uit naar je e-mail. Groet,
Jeroen
UWV SOC
26-07-2023, 01:06 door
Erik van Straten
@Jeroen: dank voor de terugkoppeling. Ik heb je zojuist een mailtje gestuurd; wellicht tot ziens!
17-08-2023, 13:33 door
Anoniem
Beste Erik,
UWV is een ZBO , zelfstandigbestuursorgaan, en geen overheid. Het valt dus ook niet onder rijksoverheid en derhalve ook niet onder rijksoverheid beleid.
Dus in dat kader ook hoeft men bij het UWV bv ook niet te voldoen aan het rijkscloud beleid! Hoe vindt je dat?
https://www.rijksoverheid.nl/onderwerpen/rijksoverheid/zelfstandige-bestuursorganen
UWV is een ZBO , zelfstandigbestuursorgaan, en geen overheid. Het valt dus ook niet onder rijksoverheid en derhalve ook niet onder rijksoverheid beleid.
Dus in dat kader ook hoeft men bij het UWV bv ook niet te voldoen aan het rijkscloud beleid! Hoe vindt je dat?
https://www.rijksoverheid.nl/onderwerpen/rijksoverheid/zelfstandige-bestuursorganen
17-08-2023, 15:50 door
Erik van Straten
Door laffe anonieme betweter: Beste Erik,
UWV is een ZBO , zelfstandigbestuursorgaan, en geen overheid. Het valt dus ook niet onder rijksoverheid en derhalve ook niet onder rijksoverheid beleid.
Dus in dat kader ook hoeft men bij het UWV bv ook niet te voldoen aan het rijkscloud beleid! Hoe vindt je dat?
https://www.rijksoverheid.nl/onderwerpen/rijksoverheid/zelfstandige-bestuursorganen
Los van dat elke zichzelf (en, niet in de laatste plaats, de security en privacy van hun website(s)-bezoekers) respectende organisatie, https, HSTS op orde zou moeten hebben en "AVG-proof" zou moeten handelen, uit https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/wetgeving/wet-digitale-overheid/:UWV is een ZBO , zelfstandigbestuursorgaan, en geen overheid. Het valt dus ook niet onder rijksoverheid en derhalve ook niet onder rijksoverheid beleid.
Dus in dat kader ook hoeft men bij het UWV bv ook niet te voldoen aan het rijkscloud beleid! Hoe vindt je dat?
https://www.rijksoverheid.nl/onderwerpen/rijksoverheid/zelfstandige-bestuursorganen
Wet digitale overheid
[...]
De eerste tranche (deel) van Wdo gaat over veilig inloggen op dienstverlening bij (semi-) overheidsinstanties, en toepassing van standaarden zoals informatieveiligheidsstandaarden.
[...]
Voor (semi-) overheidsinstanties
De wet gaat over veilig inloggen op dienstverlening bij (semi-) overheidsinstanties. In de Wdo staat welke van deze instanties te maken krijgen met de nieuwe regels voor de toegang tot hun elektronische dienstverlening.
Dit zijn:
• bestuursorganen in de zin van de Awb, zoals gemeenten en uitvoeringsinstanties (UWV, SVB, Belastingdienst, DUO, RDW, etc.);
• aangewezen organisaties als de zorgsector, onderwijsinstellingen en pensioenfondsen
• de rechterlijke macht.
[...]
[...]
De eerste tranche (deel) van Wdo gaat over veilig inloggen op dienstverlening bij (semi-) overheidsinstanties, en toepassing van standaarden zoals informatieveiligheidsstandaarden.
[...]
Voor (semi-) overheidsinstanties
De wet gaat over veilig inloggen op dienstverlening bij (semi-) overheidsinstanties. In de Wdo staat welke van deze instanties te maken krijgen met de nieuwe regels voor de toegang tot hun elektronische dienstverlening.
Dit zijn:
• bestuursorganen in de zin van de Awb, zoals gemeenten en uitvoeringsinstanties (UWV, SVB, Belastingdienst, DUO, RDW, etc.);
• aangewezen organisaties als de zorgsector, onderwijsinstellingen en pensioenfondsen
• de rechterlijke macht.
[...]
17-08-2023, 15:59 door
Erik van Straten
Aan het begin van de middag ben ik op bezoek geweest bij het UWV (na daartoe door "Jeroen" te zijn uitgenodigd, zie een stukje hierboven).
Vanmorgen heb ik nog even de website "werk.nl" (plus redirects) gecheckt en zag dat er zeer veel verbeterd is. Ik heb de medewerkers van het UWV dan ook gecomplimenteerd met de geboekte vooruitgang in een technisch complexe omgeving - ambtelijke molens kunnen wel degelijk snel draaien (dit heb ik op meer plaatsen gezien bij de overheid; er gaat ook heel veel goed, maar dat haalt "het nieuws" niet).
Nogmaals mijn complimenten aan de UWV'ers die zich voor verbetering van privacy en security hebben ingezet, en die dat, zo begreep ik, zullen blijven doen!
Vanmorgen heb ik nog even de website "werk.nl" (plus redirects) gecheckt en zag dat er zeer veel verbeterd is. Ik heb de medewerkers van het UWV dan ook gecomplimenteerd met de geboekte vooruitgang in een technisch complexe omgeving - ambtelijke molens kunnen wel degelijk snel draaien (dit heb ik op meer plaatsen gezien bij de overheid; er gaat ook heel veel goed, maar dat haalt "het nieuws" niet).
Nogmaals mijn complimenten aan de UWV'ers die zich voor verbetering van privacy en security hebben ingezet, en die dat, zo begreep ik, zullen blijven doen!
21-08-2023, 09:42 door
Anoniem
nog eens benadrukt geworden hoe belangrijk het beginnen met www….. is.
Onzin.Neem bijvoorbeeld jullie eigen voorbeeldige voorbeelden:
[1] https://internet.nl/site/werk.nl/2215082/#control-panel-7
[2] https://internet.nl/site/www.werk.nl/2215149/#control-panel-4
[3] https://internet.nl/site/www.werk.nl/2215149/#control-panel-27
[4] https://internet.nl/site/www.werk.nl/2215149/#control-panel-28
[5] https://internet.nl/site/www.werk.nl/2215149/#control-panel-29
[6] https://internet.nl/site/www.werk.nl/2215149/#control-panel-30
[7] https://internet.nl/site/www.werk.nl/2215149/#control-panel-31
[9] https://internet.nl/site/digid.werk.nl/2215213
[11] https://internet.nl/site/uwv.nl/2214912/#control-panel-8
[12] https://internet.nl/site/uwv.nl/2214912/#control-panel-10
[13] https://internet.nl/site/www.uwv.nl/2214927/#control-panel-29
[14] https://internet.nl/site/www.uwv.nl/2214927/#control-panel-30
[15] https://internet.nl/site/www.uwv.nl/2214927/#control-panel-31
Bespeur jij daar enige imperfectie?
08-11-2023, 11:56 door
Anoniem
html mailto: /html
alles opgelost... maak het niet zo complex...
welke kwetsbaarheid ?
alles opgelost... maak het niet zo complex...
welke kwetsbaarheid ?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.