Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 54, views: 13.572 •
Submitter: theguyofdoom

De overheid heeft de dienst voor het digitaal controleren van de identiteit van burgers, DigiD, weer online gezet. De dienst ging woensdagochtend offline vanwege een 'ernstig' beveiligingslek in Ruby On Rails, dat gebruikt wordt voor DigiD.

DigiD is na bijna een dag downtime donderdag weer beschikbaar. Burgers konden in die tijd nergens inloggen met DigiD, dat onder meer wordt gebruikt voor identificatie bij gemeenten en andere overheden. DigiD moest offline om de patch voor het beveilingslek uit te rollen en te testen voordat gebruikers de dienst weer zouden gebruiken. "We willen het zekere voor het onzekere nemen", zei Michel Groeneveld, woordvoerder van overheids-ict-dienst Logius, woensdag tegen Tweakers. "Zo willen we misbruik van het lek voorkomen."

Het gaat om twee lekken waarvoor Ruby on Rails dinsdag een patch uitbracht. Volgens het Nationaal Cyber Security Centrum maken die kwetsbaarheden het onder meer mogelijk om authenticatie  te omzeilen, sql-injecties uit te voeren, eigen code op afstand uit te voeren en een denial of service-aanval uit te voeren.

DigiD is in de nacht van dinsdag op woensdag kwetsbaar geweest; de lekken waren toen al bekend, maar DigiD was toen online. Woensdagochtend ging de identificatiedienst offline. 

Reacties (54)

Waarom niet? Wat maakt Ruby in jouw ogen slechter dan PHP of ASP (terwijl ASP ook nog een beetje een verwarrende term is. ASP is al redelijk verouderd en AP != ASP.NET en ASP.NET kan ook weer C# of VB zijn). Het feit dat je niet weet dat RoR een framework is bovenop Ruby geeft aan dat je wellicht niet veel van Ruby weet en daarom vind ik jouw vraag een beetje vreemd.

Ruby en het web-app-framework Ruby on Rails zijn heel volwassen. Het feit dat er zo'n beveiligingslek wordt gevonden heeft te maken met het feit dat er een hele grote groep gebruikers, researchers en beveiligingsexperts dagelijks met de open-source code bezig zijn.

[Reactie gewijzigd door armageddon_2k1 op 10 januari 2013 08:20]

Ben ik nu de enige die vind dat DigiID dit goed heeft aangepakt?

Melding krijgen van een beveiligingslek, offline halen, oplossen en terug online zetten.

En ze hebben niets afgeschoven, ze hebben de fout ook toegegeven en hun excuses aangeboden. Wat zouden ze nog meer moeten doen?
Die BNR conclusie is wel boterzacht. Had kunnen ontdekt worden. Zo lust ik er nog wel een paar. Als je een omvangrijke codebase hebt, dan kun je niet alles even controleren. En als de codebase al ouder is, dan zijn er w.s. ook geen ontwikkelaars die alle ins & outs nog weten. En dan nog: reviews voorkomen echt niet alle fouten. Waar gehakt wordt :-).

Ik vind de conclusie van BNR dus net iets te gemakkelijk. Lijkt meer vanuit journalistieke scoringsdrang geschreven te zijn dan dat we hier over feiten praten. Per definitie zit er in code altijd fouten (zijn vaste getallen voor per 1000 regels). Bij een veel gebruikt framework, dat goed doordacht in elkaar steekt (ik weet niet of dat voor Ruby het geval is), zal het aantal fouten eerder lager dan hoger liggen, vergeleken met eigen verse code.

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Smartphones Privacy Sony Microsoft Apple Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013