Thuiswinkel.org wil webwinkels laten testen op lekken

Thuiswinkel.org wil webwinkels laten controleren op sql-injection- en xss-lekken met behulp van kant-en-klare tools. Binnen twee tot drie weken moeten de tests zijn afgerond. Dan zou ook blijken aan welke eisen de webwinkels moeten voldoen.

Thuiswinkel.org, de organisatie achter het gelijknamige keurmerk voor webwinkels, wil haar leden door externe partijen laten testen op de beveiliging van hun websites. Aan de hand daarvan wordt bepaald of een webwinkel het keurmerk mag behouden. Directeur Wijnand Jongen benadrukt wel dat het niet zeker is dat de kant-en-klare tools daarvoor ook daadwerkelijk worden ingezet, omdat de leden de maatregel nog moeten goedkeuren.

De bedoeling is dat de huidige eisen waaraan aangesloten webwinkels ten minste moeten voldoen, zoals een ssl-certificaat, worden aangevuld met beveiligingseisen. De eisen omvatten enkele basale beveiligingsmaatregelen tegen sql-injection en cross site scripting. De precieze voorwaarden staan voorlopig niet vast, omdat die 'enige zorgvuldigheid vergen'. "Een concept moet zo snel mogelijk klaarliggen, naar verwachting binnen twee tot drie weken", laat Jongen desgevraagd weten.

Thuiswinkels die onveilig blijken en over een aantal weken niet aan de uiteindelijke eisen voldoen, lopen het risico geschorst te worden of zelfs helemaal te worden geroyeerd. Hoewel een deel van de consumenten denkt dat een webwinkel met het keurmerk veilig is, hoeft dat volgens Jongen niet zo te zijn. Hij noemt het 'onmogelijk' om webwinkels als veilig te bestempelen. "De veiligheidseisen veranderen de hele tijd. Binnen korte tijd kunnen er andere kwetsbaarheden zijn."

Behalve de beveiligingseisen wil Thuiswinkel.org samen met veiligheidsdeskundigen ook een wiki met veiligheidsadviezen publiceren. Daarin komen onder meer richtlijnen te staan voor het minimaliseren van persoonlijke informatie van klanten, zoals medische gegevens. Daarmee hoopt de organisatie naar eigen zeggen 'awareness' bij haar leden te creëren.

De maatregelen volgen onder andere na de ontdekking door een 17-jarige student vorige week. Hij vond in twee dagen tijd beveiligingslekken in 160 webwinkels met het Thuiswinkel.org-certificaat. De gevonden kwetsbaarheden waren hoofdzakelijk cross site scripting-lekken, waarmee cookies konden worden achterhaald en malafide code kon worden uitgevoerd. Onder andere Baby-Dump.nl en Kabeltje.com bleken kwetsbaarheden te bevatten.

IT-banen

Reacties (29)

Gamemaniak 10 november 2011 15:35

Ik snap niet dat kwetbaarheden zoals SQL injectie nog zo vaak voorkomen. Dit valt toch gewoon te voorkomen door gebruik te maken van bijvoorbeeld een framework die dit standaard opvangt.

gnu @Gamemaniak • 10 november 2011 15:42

Ja, de meest recente versie van het framework wellicht wel.
Maar als een website 5 jaar geleden ontwikkeld is en nog steeds qua functionaliteit voldoet zal het framework zelf niet zomaar geupdate worden.
Sterker nog, voor een flinke versie upgrade van t framework zal een site waarschijnlijk compleet of grotendeels herschreven moeten worden, en dat kost pegels.

Pixxel 10 november 2011 15:39

Ik heb bij dergelijke certificaten altijd een beetje een tweeledig gevoel. Allereerst natuurlijk positief, het is goed dat in dit geval dus webshops aan bepaalde standaarden voldoen die verifieerbaar zijn. Maar aan de andere kant zijn het er inmiddels zoveel dat ik door de bomen het bos niet meer zie: Alles moet tegenwoordig voorzien zijn van een label, keurmerk, certificaat enzovoorts.

Wat betreft het aanscherpen van de eisen van het Thuiswinkel label vind ik het volgende een beetje vreemd. Er is toch nationale regelgeving die bepaalde eisen stelt aan het zorgvuldig omspringen met persoonlijke gegevens (de wet 'bescherming persoonsgegevens') bijvoorbeeld, waarom is het dan ineens de taak van thuiswinkel.org om daadwerkelijke naleving van die wet in hun label te includeren?

mddd @Pixxel • 10 november 2011 17:19

Op de vraag aan het einde van je post: in wet- en regelgeving worden eisen meestal niet concreet gemaakt. Er is dus eerder zoiets als 'de gegevens moeten beschermd worden op een niveau dat past bij de gevoeligheid van die gegevens'. Het is duidelijk, dat dat niveau voor een bank anders zal zijn dan voor een forum over jonge katjes.

Persoonlijk denk ik dat deze aanpak trouwens goed is, want het is een slecht plan als de overheid concrete technische eisen gaat stellen. Dan gaan vanzelf ze achter de zaken aanlopen en heb je in feite nog niets aan die regels. Dan zouden we nu regels hebben met 'je moet je wachtwoord md5 encrypten' terwijl we inmiddels alweer een paar stappen verder zijn.

In mijn beleving is het dus een goede zaak als een keurmerk de regelgeving vertaalt naar een concrete set eisen en tests, die op het niveau liggen dat voor de specifieke situatie relevant is. Een winkel zal dus bijvoorbeeld niet vatbaar moeten zijn voor XSS maar hoeft ook weer niet perse een multi-factor authenticatie te hebben die voor een bank wél verplicht zou moeten zijn.

Anoniem: 13087 10 november 2011 15:26

Als er een kant en klare tool is om dit te doen, dan lijkt me dat sowieso geen slecht plan. Aan de andere kant kun je dan ook denken, "waarom hebben de ontwikkelaars van die winkel dat niet gedaan?"

Ik kan me echter inderdaad ook voorstellen dat het stellen van goede eisen (en het bewijzen dat je winkel veilig is) een bijna onmogelijke taak is. Dat iemand er _nu_ niet in kan komen wil niet zeggen dat dat over een week niet alsnog lukt op een manier die nog niet ontdekt is...

serhat @Anoniem: 13087 • 10 november 2011 15:39

Er zijn meerdere soorten tooling hiervoor. Je kan inderdaad een URL aangeven en het tooltje in kwestie gaat dan als een gek van alles uitproberen. Wel met de context in het achterhoofd: Als in, hij ziet enkele tekstvelden, hier gaat hij checken of er SQL injection mee kan worden uitgevoerd. Of XSS d.m.v. get parameters o.a. die je mee kan geven aan een pagina.

Een andere is daarentegen weer dat het de source code scant. Hiermee doet het niks met tekstvelden en dergelijke vaak, maar kijkt het naar of bepaalde gegevensstromen die potentieel niet veilig zijn (request/cookies/header info en dergelijke) niet zomaar klakkeloos overgenomen worden in een query/padnaam etc etc.

Ik heb een gebruikt die het laatste deed. Dit was een commercieel product en duur dat het was. Ook kwamen er genoeg false positives uit, al is dat jammergenoeg vrij moeilijk te behelpen.

Vaak komt het door 2 dingen: Geen tijd/geld/aandacht vanuit het project, te duur om er op grote schaal iets mee te doen. Mijn ervaring is: programmeurs hebben security-aware zijn, houden hier al vanaf het begin goed rekening mee. Hierdoor kost het nauwelijks tot weinig extra tijd.

[EDIT]
@Time002.. Die zijn er zeker wel.. even googlen, want de meeste tools zijn specifiek voor een taal (mits het source code scant).. wat ik zo snel vind
+ PHP Security Scanner (Opensource)
-- Scant je HD met PHP bestanden op mogelijke bugs
ook een website vol met tools, zowel betaald als gratis tools.. dus even goed lezen:
http://sectools.org/tag/web-scanners/

Ik heb zelf toen Fortify tooling gebruikt, maar dat is betaald.

[Reactie gewijzigd door serhat op 24 juli 2024 22:32]

Timo002 @serhat • 10 november 2011 15:54

Zijn er gratis tools beschikbaar die dit kunnen testen? Heb voor privé gebruik wel eens websites gemaakt zonder echt te letten op security. Ben wel benieuwd met dat wat ik gedaan heb of daarmee nog enige veiligheid gehaald heb.

TweakOverflow

@Timo002 • 10 november 2011 16:32

Ik ben daar zelf ook wel erg benieuwd naar

tes_shavon @Timo002 • 10 november 2011 16:45

ik denk dat als jij de URL van de website even opneemt in je bericht, dat er genoeg tweakers zijn die dat met veel plezier voor je testen

Timo002 @tes_shavon • 11 november 2011 10:49

Haha! Dat is ook een optie!

tweaker2010 @Anoniem: 13087 • 10 november 2011 15:35

Ik kan me echter inderdaad ook voorstellen dat het stellen van goede eisen (en het bewijzen dat je winkel veilig is) een bijna onmogelijke taak is. Dat iemand er _nu_ niet in kan komen wil niet zeggen dat dat over een week niet alsnog lukt op een manier die nog niet ontdekt is...

Klopt, het nut van Thuiswinkel.org is hiermee ook uitgespeeld, wat over blijft is schijnveiligheid.
De directeur noemt het namelijk onmogelijk om webwinkels als veilig te bestempelen.

digital-IMEI @tweaker2010 • 10 november 2011 15:48

Veiligheid is hier een dubbel begrip.

Je hebt de veiligheid dat er niet stiekem iemand zit mee te luisteren/lezen terwijl jij een internet bestelling plaatst danwel de database van de website leeg plundert inclusief jouw gegevens.

Daarnaast heb je de veiligheid dat je je bestelde producten ook daadwerkelijk geleverd krijgt zodra jij je centjes aan een webshop toevertrouwd.

Het begrip veiligheid waar Dhr Jongen is het eerste.

Hoewel niets ooit 100% veilig is (op het verbreken van je internetverbinding na) kun je wel de veiligheid op alle vlakken zo groot mogelijk maken, dat is waar mijn inziens het Thuiswinkel keurmerk voor staat.

Eagle Creek

@Anoniem: 13087 • 10 november 2011 15:33

"waarom hebben de ontwikkelaars van die winkel dat niet gedaan?"

Omdat ontwikkelaars over het algemeen niet meer doen dan waar zij opdracht voor hebben gekregen (lees: voor betaald krijgen door de opdrachtgever). En die kijkt vaak meer naar functionaliteit dan naar veiligheid, omdat veel ondernemers veiligheid zien als een kostenpost.

(dat laatste kent overigens wel wat een omslag de laatste jaren, maar is op zichzelf natuurlijk een bekend fenomeen. Brandblussers kosten geld, maar hoe vaak heb je ze nu nodig. Als je daar op kunt besparen (lees: als de wet ze niet verplicht zou stellen c.q. de verzekering er geen korting voor zou geven), zullen veel ondernemers dat doen)

[Reactie gewijzigd door Eagle Creek op 24 juli 2024 22:32]

wootah

@Eagle Creek • 10 november 2011 15:40

Omdat ontwikkelaars over het algemeen niet meer doen dan waar zij opdracht voor hebben gekregen (lees: voor betaald krijgen door de opdrachtgever). En die kijkt vaak meer naar functionaliteit dan naar veiligheid, omdat veel ondernemers veiligheid zien als een kostenpost.

Mja en op zo'n moment moet je als ontwikkelaar in springen en het dringend advies geven om basis testen uit te voeren op het systeem om te checken of het wel veilig is...
Als een web developer maak je namelijk niet alleen een product voor je baas, maar ook voor de klanten van je baas, die moeten er van uit kunnen gaan dat het tot op zeker hoogte veilig is.

Ik vind persoonlijk dat het je taak is als ontwikkelaar zulk advies te geven.

Pathogen @wootah • 10 november 2011 15:55

Ik vind persoonlijk dat dit de taak van een designer is. Of beter nog, iemand binnen je organisatie die zich toespitst op beveiliging.

Als ontwikkelaar hoef je namelijk niet genoeg stem/durf te hebben om dergelijke issues aan te kaarten. Je bent er om te ontwikkelen.
Als je die stem/durf wel hebt, dan is het inderdaad zonde om het niet te zeggen.

wootah

@Pathogen • 10 november 2011 16:23

Ja dat is waar, maar hoe veel web-winkels hebben daar aparte mensen voor...
Ik vind dat je best een opmerking mag plaatsen al jij meent dat het niet veilig genoeg is.

Dat is het zelfde als dat er ontwerpen en blauwdrukken zijn gemaakt voor een gebouw, en dat een bouwvakker iets niet veilig genoeg vind wat de inspecteur wellicht over het hoofd heeft gezien.
Als je iets maakt vallen dat soort dingen sneller op dan dat als je het alleen ontwerpt.

Als uitzondering is dan natuurlijk model driven development, maar zover ik weet is dat niet direct toe te passen op websites

Eagle Creek

@wootah • 10 november 2011 16:08

En dan nog hik je tegen een kernwoord uit jouw stelling aan: advies.
Die kunnen naast iemand neergelegd worden. Uiteindelijk is het de geldschieter die bepaalt.

En als de thuiswinkelorganisatie nu oplegt "voldoe hiervan, anders raak je je certificaat kwijt", zal die manager eerder geneigd zijn er in te investeren, dan wanneer thuiswinkel daar niet om maalt en slechts naar leveringsvoorwaarden en liquiditeit kijkt.

wootah

@Eagle Creek • 10 november 2011 16:25

Dat is waar, met zo'n stelling kunnen de thuiswinkelorganisaties extra druk zetten op bedrijven.
Het is sowieso nodig om je websites goed te testen in tijden van deze defacing praktijken...

J.J.J. Bokma @Eagle Creek • 10 november 2011 18:55

Als je SQL injecties in code prutst, dan ben je geen ontwikkelaar. Natuurlijk kan een ontwikkelaar niet 100% alles testen en veilig afleveren, maar SQL injecties kan je gratis voorkomen door de juiste library te kiezen *en* te begrijpen waarmee je bezig bent.

Maar goed, ik snap dit "testen" allemaal wel, het is vast een makkelijk extra centje voor Thuiswinkel.org.

Anoniem: 404775 @J.J.J. Bokma • 10 november 2011 21:52

nee, voorheen werd er najuist niet getest. dat was pas makkelijk extra centjes verdienen. wel certificaten keurmerken uitdelen en claimen dat privacy en veiligheid bij hun zekerheden behoren, maar niet daadwerkelijk kijken of het wel veilig is.

er zijn inderdaad slechte ontwikkelaars, maar dat waren waarschijnlijk ook de goedkoopste. want daar gaat het toch om? zo goedkoop mogelijk een site maken met de gedachte "als het maar werkt".

[Reactie gewijzigd door Anoniem: 404775 op 24 juli 2024 22:32]

tes_shavon @Anoniem: 13087 • 10 november 2011 15:37

"waarom hebben de ontwikkelaars van die winkel dat niet gedaan?"

Omdat elke eigenaar van een (web)winkel er van uitgaat dat veiligheid een onderdeel is van het product (dat zit er toch standaard in? Niet?), zonder te specificeren hoe en wat. En elke developer maakt daar gebruyik van door zo minimaal mogelijk te coderen.

Het blijft een issue van mentaliteit.Ook in mijn ogen dient een developer gewoon een goed product op te leveren, maar ik snap ook dat hij/zij tijd daarvoor moet inbakken die betaald dient te worden. En als hij/zij dat offreert, doet een ander het voor minder.

geef de keuze aan de klant en die roept iets als "hoe groot is nou de kans dat...".

Het voorbeeld van Eagle Creek is eigenlijk wel een goeie. Haal die brandblusser weg en elke controle ben je de sjaak. Maar op je internetwebsite mag eigenlijk alles...

[Reactie gewijzigd door tes_shavon op 24 juli 2024 22:32]

Anoniem: 285410 @Anoniem: 13087 • 10 november 2011 15:37

Probleem is dat bedrijven vaak niet willen betalen voor beveiliging .. en ja helaas kan je van gratis werk niet leven dus doen veel developers geen uitgebreide veiligheidstests

[Reactie gewijzigd door Anoniem: 285410 op 24 juli 2024 22:32]

Anoniem: 174744 10 november 2011 16:33

Iemand enig idee welke kant en klare tools hiervoor gebruikt kunnen worden???

bbob

E-commerce
Privacy

10 november 2011 16:37

Leuk dat ze dat doen maar het stelt niets voor.

Lekker in webwinkelsoftware net als andere software worden keer op keer ontdekt. D.w.z vandaag testen ze het en is het goed over 2 weken is er een nieuw lek en hup de website heeft een probleem.

Als ze al testen doe het dan regelmatig. Vraag van je leden bewijs dat ze software update, ja ook standaard webwinkelsoftware heeft updates nodig.

Maar ja uiteindelijk blijft het software en lekken zullen er altijd blijven. Zaak is alleen dat standaard zaken als admin als gebruiksnaam niet gebruikt worden ennog wat andere zaken die je voor beveiliging moet doen.

Anoniem: 430476 @bbob • 10 november 2011 18:55

Van geen enkel vliegtuig kan je garanderen dat het alleen naar beneden komt als dat gewenst is. Toch wordt het door alle reizigers gewaardeerd dat er de uiterste best voor wordt gedaan om het in de lucht te houden.

Voor webwinkels, vliegtuigen en dijken geldt overal hetzelfde. 100% veilig bestaat niet. Die wetenschap ontslaat je nog niet om je best te doen. Ook komen er telkens nieuwe lekken, dan ben je nog steeds verplicht de reeds bestaande te dichten. Inderdaad installeer de patches, die zijn er niet voor niets. Doe geen domme dingen met data, zoals het bewaren van plaintext wachtwoorden, of langer dan nodig bewaren van gegevens die je niet mag of hoeft te bewaren (medische gegevens -zoals diëten dat kunnen zijn-, BSN-, paspoortnummers, enz)

Het is dus meer dan lovend dat Thuiswinkel.org daar het stokje oppakt waar de wetgever het laat liggen. De wetgever stelt wel eisen, maar de handhaving is m.i. veel te geruisloos...

Dat Thuiswinkel.org haar leden wat harder laat werken, zou een vanzelfsprekendheid moeten zijn voor alle webwinkels. Het stelt zeker wat voor.

RaceAap 10 november 2011 16:41

Leuk als ze dat gaan doen maar dan zijn ze wel strafbaar bezig.

Ze doen dan nl. een poging tot computer vrede breuk zoals vastgelegd in artikel 138a van het Wetboek Strafrecht.

Tenzij ze alle aangesloten organisatie's om een vrijwaring vragen.

Een dergelijke penetratie test mag dus niet zomaar zonder toestemming uitgevoerd worden en die vrijwaring moet echt geregeld zijn anders is persoon die het voor Thuiswinkel.org uitvoert in overtreding.

Ircghost @RaceAap • 10 november 2011 17:24

Anoniem: 429077 11 november 2011 02:21

En dan blijkt dalijk dat er 'zorgwekkend veel' lekke websites zijn, dat kan ik je nu ook al wel vertellen!

RoelRoel 11 november 2011 17:47

Ow jee, nu moet Thuiswinkel.org ook daadwerkelijk wat doen ipv alleen maar geld binnenharken door zelfbenoemd keurmerk te zijn en gewoon 1% van de omzet van iedere winkel weg te snoepen omdat je er niet bijhoord als je dat keurmerk niet hebt.

Op dit item kan niet meer gereageerd worden.

Thuiswinkel.org wil webwinkels laten testen op lekken

Lees meer

IT-banen

Reacties (29)

Sorteer op:

Weergave: