Angst voor inbreuk op privacy met web services stijgt

Op ZDNet is te lezen dat de angst voor de schending van privacy via web services in steeds grotere mate aanwezig is. Vooral digitale paspoorten en andere elektronische betaalsystemen moeten het ontgelden. Volgens security-experts staan deze technieken nog in hun kinderschoenen, maar doordat veel bedrijven willen profiteren van de huidige online servicesmarkt liggen hier grote mogelijkheden voor kwaadwillende computerexperts. Het is namelijk zo dat producten onvoldoende getest worden alvorens men deze services lanceert.

De hele discussie rondom deze web services wordt aangewakkerd doordat veel grote bedrijven in de computerindustrie - zoals AOL Time Warner en Microsoft - een grote toekomst zien in het distribueren van informatie in zogenoemde "authentication technologies"; systemen waarmee men geautomatiseerd gebruik kan maken van services variërend van communicatie tot online betalingen. De onrust die op dit moment onder de internetgebruikers heerst is volgens ZDNet dan ook de reden geweest voor Microsoft om een gedeelte van haar .NET-plannen te veranderen:

Those concerns are part of the reason that Microsoft is rethinking its consumer Web services plan, called .Net My Services. The plan originally called for Microsoft to serve as the primary host for consumers' private information, but potential partners and privacy advocates criticized that idea because of Microsoft's frequent security problems with its products and Web sites.

"If banks expose their financial services as Web services, it means the entire chain has to be secure all the way from the client to the registry to the back end," said Ravi Balakrishnan, who represented a Fortune 100 technology company in several organizations dealing with Web service standards organizations. "How can a bank trust a Web service is not creating a weak link into its systems at any point along the way?"

IT-banen

Reacties (32)

Beaves 4 mei 2002 16:16

edit:

[quote]

The plan originally called for Microsoft to serve as the primary host for consumers' private information, but potential partners and privacy advocates criticized that idea because of Microsoft's frequent security problems with its products and Web sites.

[/quote]
Ik vind het raar dat MS in het begin dacht dat mensen wel MS als "primary host" zouden gebruiken, want MS had zelf ook al wel kunnen nagaan dat de meeste mensen Microsoft en vooral Windows, IE en Outlook, niet als de meest veilige software te boek vinden staan.

Ze hadden beter eerst kunnen proberen om van dat imago af te komen voordat ze dit soort dingen hadden gelanceerd.

"How can a bank trust a Web service is not creating a weak link into its systems at any point along the way?"

Door goed en uitgebreid te testen is het mogelijk om voor 90% zeker te zijn dat de dienst veilig is, maar aangezien het programmeren, onderhouden en implementeren van dit soort diensten altijd (nou ja, voor de nabije toekomst) mensenwerk zal blijven, kun je als bank of ander bedrijf nooit zeker weten of de "web service" 100% veilig is.

En ook al is de koppeling tussen bank en de web service 100% veilig, dan nog is zo dat je als bank niet weet met wie je te maken hebt. Ik kan me als Pietje puck voordoen en in diens naam overschrijvingen o.i.d. doen zonder dat de bank te weten kan komen of ik ook echt Pietje ben. Natuurlijk kan je dat aan de kant van de gebruiker beveiligen, maar dan nog, alles is te "hacken".

Dat is denk ik de grootste angst van de meeste mensen die nu nog niets via internet willen regelen, ze hebben (soms terecht) dat persoonlijke zaken op internet niet veilig genoeg zijn.

cc bcc @Beaves • 5 mei 2002 00:55

Ik vind het raar dat MS in het begin dacht dat mensen wel MS als "primary host" zouden gebruiken, want MS had zelf ook al wel kunnen nagaan dat de meeste mensen Microsoft en vooral Windows, IE en Outlook, niet als de meest veilige software te boek vinden staan.

Niets aan microsoft geeft mij het gevoel dat ze kwaliteit als primair doel hebben. Het gaat allemaal puur om $'s.
Die 200 miljoen dollar die ze besteed hebben aan publiciteit voor windows xp, hadden ze beter aan veiligheid en kwaliteit kunnen besteden. Want, ± 90 % van de computergebruikers koopt het toch wel.
Wat nou als de amerikaanse regering .net passport gaat accepteren als een wetmatig online identiteitsbewijs? Krijgen wij dat dan ook hier in de EU? Behoorlijk scary vind ik.

raptorix @cc bcc • 5 mei 2002 02:25

Wat is dat nou weer voor onzin, zo lust ik er nog wel een paar, al die reclame die de NS maakt kan men beter steken in meer rails, kan ABN amro beter het geld steken in betere beveiliging dan ajax te sponsoren etc.

Sommige mensen snappen gewoon niet dat software altijd wel bugs bevat, zodra je functionaliteit implementeert loop je altijd kans bugs er ook in sluipen, iedereen vraagt zich ook altijd af waarom windows zo veel bugs bevat, nou heel simpel, niet omdat het zo een slecht product is maar omdat het zoveel functionaliteit bevat, of deze functionaliteit altijd aanwezig moet zijn is een andere discussie.

Het is ook niet vreemd dat de meest kale systemen ook het minste aantal security problemen hebben, bijvoorbeeld sommige UNIX varianten die volledig als server OS zijn geschreven.

De enige manier om software veilig te krijgen is het gewoon lang te gebruiken/testen en op die manier de bugs eruit te krijgen, daarnaast is het ook belangrijk dat men software op een structurele manier gaat testen, je ziet nu nog te vaak dat vergelijkbare bugs gewoon weer in nieuwe releases opduiken.

DeBolle

5 mei 2002 00:24

T'is wat lastiger dan wat de term 'privacy' aanduidt. Het oude adagium 'Ik heb niets te verbergen' geldt echt niet meer als je in gedachten houdt wat de mogelijkheden zijn:
- Jouw ziektekostenpremie stijgt want je blijkt regelmatig sigaretten te kopen.
- De belastingdienst wil weten waarom je op 20 maart in Heerlen hebt getankt, terwijl je een zakelijke rit naar Leeuwarden hebt opgegeven.
-Hoe weet Burger King nu dat je het afgelopen jaar twee maal per maand bij McDonalds hebt gegeten?
- Waarom koop je pumps maat 46? Voor jouw vriendin? Jouw vrouw heeft maat 42 ...
- Waarom staan er 300 CD's in jouw kamer, terwijl je in 2001 niet meer dan twee hebt gekocht? Allemaal met de Kerst gekregen?
Dit zijn voorbeelden van wat *nu* door overheid en bedrijven online kan worden verzameld aan informatie. Laat al die informatie nu naar en via een centraal punt lopen en damn! wat een schitterend gratis controlemiddel hebben we gecreeerd!

tweakerbee @DeBolle • 5 mei 2002 00:43

Big Brother is watching you.

Tuurlijk hebben mensen dingen te verbergen. De vraag is of je dat moet respecteren (en dus criminaliteit goedkeuren) of dat je daar wat aan wilt doen.
Ik weet het niet zo goed...

[reactie op Filip]
Goed. Er zullen idd ook niet illegale dingen zijn die mensen willen verbergen, maar het overgrote deel zal gaan om dingen die echt illegaal zijn.
Overigens zit er bij het overspel plegen (want dat wordt gesuggereerd) toch nog wel een ander tintje aan het verhaal dan bijv. de Burger King die ziet dat jij altijd bij MacDonalds eet...

Verwijderd @tweakerbee • 5 mei 2002 02:45

Sinds wanneer is het kopen van schoenen voor je vriendin ipv. voor je vrouw illegaal?

rvdmeent 4 mei 2002 17:10

SOAP is een open standaard, de definitietaal WSDL is ook open. Er zijn ook opensource implementaties en toolkits voor.

Het gaat er eerder om dat SOAP veelal over HTTP gaat, en poort 80 nogal eens open staat bij organisaties om webbrowsen mogelijk te maken.

Het artikel stond eerder al ergens anders. Toen is er in kleine kring ook al over gepraat. Waar het op neer komt, zo is mijn interpretatie, dat men beweert dat SOAP 'less secure' is omdat het van veelgebruikte en succesvolle technologieën (HTTP, XML) gebruik maakt. "Dan moeten er wel fouten inzitten, er kan veel te veel en alles is veel te makkelijk".

Uiteraard is security een issue. Natuurlijk moet er aan privacy gedacht worden. Of SOAP dat impliciet moet oplossen is de vraag -- er kunnen ook access control mechanismes e.d. ontwikkeld worden die *samenwerken* met SOAP, denk bijvoorbeeld aan certificates.

Waar je wellicht naar toe wil is ook firewalls die niet alleen maar naar IP adressen en poort nummertjes kijken, maar ook naar de content. Dat klinkt wel heel eng, maar is niet irreeel als je security serieus wilt nemen.

Verwijderd 4 mei 2002 17:21

En al die mensen die zich zo'n zorgen maken over hun privacy betalen bij de AH etc. gewoon met hun pinpas, gebruiken de kortingskaart, tanken met een pas etc. etc. Het hele privacy gebeuren is allang een achterhaalde discussie.
Volgens mij is het risico op een dodelijk verkeersongeval groter als op fraude met een betaling maar dat schijnt iedereen allang geaccepteerd te hebben als onderdeel van het leven.
Mensen zijn rare beesten.

EfBe 4 mei 2002 17:47

Zucht. ZDNet raaskalt weer eens wat. Webservices zijn black box services. OF ze zijn gratis en dan kan iedereen er gebruik van maken (dus call naar method via SOAP en resultaten terugkrijgen) OF ze zijn niet gratis en dan moet je dus een soort betaal-verificatie systeem inbouwen. (dus inloggen bij webservice A, ID krijg je terug, ID wordt meegegeven aan call van webservice B, die verifieert dat bij webservice A en geeft bij juiste ID de resultaten van call terug. ).

Waar nu deze 'kip zonder kop troll' van ZDNet vandaan komt begrijp ik niet: bij iedere pinbetaling worden gegevens gelogd. Overal worden gegevens bijgehouden, soms noodzakelijk anders kun je geen verficatie doen of de juiste personen wel inloggen of niet.

'Webservices' krijgt zo onterecht een dikke trap in het kruis, terwijl dat onterecht is. Het wordt tijd dat het 'it-journaille' van deze aardkloot zich eens gaat verdiepen in de materie waar ze over raaskallen. Scheelt een hoop onzin waar je je doorheen moet waden PLUS voor consultants/specialisten een hoop tijd want die hoeven dan niet-wetende klanten geen tekst en uitleg te geven dat wat ze lezen in de media allemaal wat overtrokken is.

Verwijderd 4 mei 2002 22:23

Of de angst nu wel of niet terecht is, er zit toch iets positiefs in. Vroeg of laat gaan de meeste mensen toch over op het uitvoeren van financiele transacties via het internet. En, zoals altijd, zijn er handige criminelen die daar misbruik van proberen te maken. Ik denk dat het er inmiddels al een heleboel zijn en het kan geen kwaad de bedrijven te laten merken dat mensen in toenemende mate terughoudend zijn om op deze manier zaken te doen. Die bedrijven zullen dus hun best moeten doen het publiek ervan te overtuigen dat het veilig is en blijft. Bij de start van het internetbankieren zijn er onderweg ook allerlei aanpassingen verricht door alarmerende berichten vanuit de consumentenorganisaties. Daar was in enkele gevallen nog niet optimaal over nagedacht door de banken. Daar waar bedrijven geld ruiken moet je als consument wel alert blijven of het goed geregeld is en helaas is daar niet altijd zicht op, met name de onervaren computergebruikers moeten maar geloven dat het goed zit. Een internationaal keurmerk zou wat mij betreft geen slechte zaak zijn.

Skinkie 4 mei 2002 16:18

Dit blijft natuurlijk altijd actueel voor ieder onderwerp. Even in het achterhoofd houdent dat TMF ook weer "gehacked" is met hun nieuwe systeempje.

Persoonlijk zie ik meer in een opensource oplossing die services op een transparante laag aanbied. Zonder dat er gelijk een concurentie slag komt.

iGadget @Skinkie • 4 mei 2002 20:11

Goed dat je die aanhalingstekens erbij zet, het ontbreken van een beveiligingssysteem kun je namelijk niet echt een hack noemen he

Typisch de manier waarop het _niet_ moet. 'Kom we bouwen een online profielensysteem met persoonsgegevens' - en dan na nog geen dag online te zijn geweest - 'Oh shit we moeten ook nog ervoor zorgen dat je niet makkelijk bij het profiel van iemand anders kan komen... ohja...'
M$ is niet de enige die die fout maakt

cc bcc @Skinkie • 5 mei 2002 02:11

Gepost door Stefan de Konink zaterdag 4 mei 2002 - 16:18

Zo maak je het ze wel erg gemakkelijk stefan.

Verwijderd 4 mei 2002 16:17

Eigenlijk snap ik niet waar iedereen zich zo druk om maakt, iedereen loopt maar te zeuren over privacy... privacy bestaat niet, en zeker niet in de toekomst, maar wat maakt het ook uit? wat maakt het jou uit wat ze van je weten? daar ben ik wel benieuwd naar, want mij maakt het dus echt helemaal niet uit, als ze weten waar ik m'n geld aan uitgeef, of wat ik aan mensen schrijf of wat ik op een dag eet of of of...
zolang ze mij niet gaan vertellen wat ik anders moet gaan doen, maar is het daar dan allemaal om te doen?
Want ik denk dat je daar niet bang voor hoeft te zijn, het is namelijk al langer duidelijk dat als je mensen hun gang laat gaan, ze veel meer geld uit geven dan als je ze gaat vertellen wat ze wel en niet mogen doen, en geld daar gaat het om. Toch?

Of zie ik het nou helemaal verkeerd.
Ik vraag me af waarom mensen zo gesteld zijn op hen privacy

Verwijderd @Verwijderd • 4 mei 2002 17:11

als ze weten waar ik m'n geld aan uitgeef, of wat ik aan mensen schrijf of wat ik op een dag eet of of of...
zolang ze mij niet gaan vertellen wat ik anders moet gaan doen, maar is het daar dan allemaal om te doen?

Dat is nou juist het hele probleem als iedereen alles van je weet weten ze dus ook de minder leuke of goede dingen van je.
En zullen anderen je gaan vertellen wat je moet veranderen.
Kijk maar naar jezelf als jij vind dat iets niet goed is zal je het proberen te verbeteren.
En ik kan me nou juist niet voorstellen dat je geen dingen hebt die je liever niet wilt dat iedereen weet.
Ik noem maar iets je bankpas + pinkode.
Iedereen mag weten dat je een bankpas hebt maar er is maar 1 persoon die je pinkode mag hebben, en dat ben jezelf.
Jij wil echt niet dat iedereen je pinkode kent.
Want dan verbeterd men zomaar je banksaldo naar de 0 euro.

Verwijderd @Verwijderd • 4 mei 2002 20:52

pinkode = pincode

Enne.. je bent ook wel een hele grote boer als je in een formulier op internet je pincode gaat zitten invullen

Asteroid9 @Verwijderd • 6 mei 2002 10:30

Denk in de toekomst!

De hele bedoeling van die Passport services is nou eenmaal om een centraal authentificatieproces te scheppen.
Daarmee dient dan ook on-line betaald te worden en wellicht zelfs verplicht met zo'n methode.

De hele commotie draait niet eens zo zeer om privacy mbt. koopgedrag maar meer om gevoelige persoonlijke informatie zoals betalingsgevevens en persoonsgegevens waarmee iemand jouw identiteit zou kunnen faken.

Dus geen pincode in de letterlijke zin van het woord, maar wel een ander web-based betalingssyteem met alle risico's van dien.
En waar zijn we als dat verplicht word, zoals de overwegingen van de US overheid om Passport in te voeren?
Als je ver genoeg doordenkt is daar een heel groot risico aan verbonden!

tweakerbee 4 mei 2002 16:18

De angst voor fraude op Internet is altijd al hoog geweest. Wat de boer niet kent vreet ie niet. Mensen weten niet precies hoe alles werkt, daarom zijn ze er bang voor.
Een handtekening kan ook vervalst worden. Een portemonnaie kan gestolen worden en er wordt ook nog wel eens ingebroken in een huis. Toch hoor je daar niemand moord en brand over schreeuwen. Aan de andere kant: Als er weer eens credit-card fraude via Internet is gepleegd kun je het van alle kanten horen.

Remenic @tweakerbee • 4 mei 2002 19:46

De angst voor fraude op Internet is altijd al hoog geweest. Wat de boer niet kent vreet ie niet.

Ik denk juist dat het omgekeerd is. Wanneer er gepint wordt bij de bank heeft men geen flauw idee wat er precies gebeurd als de code ingedrukt wordt.

Op internet zijn de meesten echter WEL bekend met wat er gebeurd, en daarom zijn de meeste mensen bang voor fraude op het internet. Dit komt hoofdzakelijk door alle fijne spam. Soms krijg ik zelfs spam persoonlijk op mijn naam gestuurd, terwijl ik mij niet kan heugen dat ik mij ooit ergens geregistreerd heb onder mijn echte naam.

Als jij iemand die altijd online dingen koopt verteld wat de risico's zijn, dan denk hij de volgende wel twee keer na voordat hij weer zijn creditcard intikt in z'n browsertje.

Johnny @Remenic • 4 mei 2002 21:54

Ik dacht altijd dat de banken een gesloten netwerk hadden voor betalingsverkeer... het blijkt dat dat gewoon via publikelijke telfoonlijnen gaat. Nog een weetje: geldautomaten lopen gewoon op Windows 98.

cc bcc @Johnny • 5 mei 2002 02:08

geldautomaten lopen gewoon op Windows 98.

Aha!!
Vandaar dat zo vaak een briefje opzit: "Deze pinautomaat is defect"

Verwijderd @tweakerbee • 5 mei 2002 10:16

En om er nog een toe te voegen: creditcard gegevens kunnen bij iedere offline transactie gekopieerd worden om vervolgens voor online transacties misbruikt te worden... (Het kopiëren van een creditcard is nog net iets lastiger, maar kan ook.)
Ik bestel al op het Internet sinds 1996 en ik heb werkelijk nog nooit problemen gehad. [toevoeging] Is niet helemaal waar, een transactie werd ooit geweigerd omdat de creditcardmaatschappij het bedrijf niet veilig genoeg achtte, maar da's natuurlijk geen fraude

[/toevoeging] Volgens mij is een belangrijk gedeelte van het vertrouwen een kwestie van de fraudegevallen goed begrijpen. De CD-sjop van Sjonnie Sjiep (enigerlei overeenkomst met werkelijk bestaande personen berust op puur toeval) moet je nou eenmaal niet vertrouwen en fraudegevallen die daaruit voortvloeien zijn logisch gevolg van... Inbraken bij grote online winkels waarbij creditcard gegevens gestolen worden maken niet uit, dat valt binnen het risico van de creditcardmaatschappij (en als je heel erg pech hebt dan zit er een miniem bedrag eigen risico in)... En als je e-mailadres gejat wordt van een of andere publieke site over tuinieren en je krijgt vervolgens spam van Gardening.com, tsja, dat heeft al helemaal niets meer met privacy te maken... De postbode zou ook een bestand kunnen aanleggen van iedereen die reclame ontvangt van de Neckermann om die gegevens aan de Wehkamp te verkopen, om maar een voorbeeld te noemen.
Voor wat betreft Web Services: de anti-lui hebben duidelijk hun zin gekregen. Er is nog geen enkele Web Service volledig operationeel, maar de lui die al sinds de aankondiging van het fenomeen waarschuwen voor de "gevaren" hebben de consument al duidelijk meer dan genoeg angst ingeboezemd. Ik vertrouw Microsoft erin dat ze een goed platform voor Web Services neer weet te zetten, zeker omdat dat platform voor het belangrijkste gedeelte door een standaardisatieorganisatie gaat. In iets minder mate (juist door gebrek aan standaardisatie), vertrouw ik ook SUN in dat haar Liberty Alliance veilig is en correct omspringt met privacy gevoelige gegevens.
Verder denk ik dat het heel belangrijk wordt dat men de gebruikersovereenkomsten (van Web Services) nou eens wél doorleest, zodat men niet pas na 5 jaar erachter komt dat de mailtjes die via Hotmail verzonden worden eigendom zijn van Microsoft, om er mee te doen wat zij wil, om maar eens iets te noemen....

Verwijderd @tweakerbee • 5 mei 2002 10:36

FF tussendoor... Alleen de grote vissen zijn interresant wat dat betreft, goed... Door een kleintje te vangen kom je bij de grote... Wat heb je nou aan iemand die 300 CD's voor eigen gebruik heeft of aan iemand die die 300 CD's verpatst...?

Ik koop mijn cd-r schijfjes nooit elektronisch, massa's mensen pinnen een tientje euro, dat valt dus nooit te controleren. Bovendien, ik pin mijn geld in andere steden en haal mijn cd-r's op afwisselende locaties en gebruik verschillende merken. Ik koop dus nooit mijn cd-r's waar ik mijn geld ook pin.

En Filip M., dat met die vrouw en burger king, iedereen snapt toch wel dat hij maar een voorbeeld geeft?

LauPro 5 mei 2002 13:57

Ik wil nog even wat zeggen: Ik ben nu bezig met een systeem om inkoopacties te regelen maar daarvoor moet ik aan de gebruiker informatie vragen om zo'n actie goed te laten lopen. En dan ben ik er 1 van de ... Eigenlijk zou ik me moeten aansluiten bij Microsoft's Passport oid. (net zoals eBay)

Verwijderd @LauPro • 6 mei 2002 11:07

eBay

Nee, Ebay heeft een goede trackrecord qua privacy... ik had een speciaal e-mailadres voor ebay aangemaakt (ebay@mijn-domein.com), en werd daar helemaal doodgespamt. Ik dus een pissig mailtje naar e-bay, mailtje terug: "Er wordt aan gewerkt hoor, binnenkort is dat helemaal over", 3 maanden later, nog maar eens een mailtje (ik kreeg nu ca. 10 spammails per dag, en het werd nog steeds meer), ja hoor, antwoord was nog steeds "Er wordt aan gewerkt"... toen maar een mailtje gestuurd: "Verwijder mijn account maar". Toen werd het langzaam minder met spam en op een bepaald moment heb ik dat adres maar verwijderd, zodat de mail gebounced wordt.

Dus: of de beveiliging van Ebay is prut, of ze verkopen zich helemaal scheel aan die adressen. Toch wel jammer, want het was best een leuke site om af toe eens te bieden op wat oude troep^H^H^H^H^H^H^H^H^H leuke hardware.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (32)

Sorteer op:

Weergave: