Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 26 reacties
Bron: Webwereld

overheid.nlOndanks het feit dat, met de huidige virusuitbraken, de nadruk steeds meer op beveiliging komt te liggen, zijn veel overheidssites niet goed afgeschermd. Webwereld schrijft dat 85 procent van de webpagina's op een niet veilige manier omgaan met persoonsgegevens. Watchfire, een bedrijf dat gespecialiseerd is in risicobeheer, onderzocht een honderdtal sites. Negentien van de twintig belangrijkste overheidssites voldoen niet aan de standaard van het W3C. Behalve naar de beveiliging is er ook gekeken naar de toegankelijkheid voor gebruikers met een handicap. Ook hier schortte er nog wel het een en ander volgens Bartiméus Accessibility, belangenbehartiger van deze doelgroep. Uit een handmatige controle bleek 95 procent niet te voldoen aan de richtlijnen voor toegankelijkheid van het W3C.

Moderatie-faq Wijzig weergave

Reacties (26)

Zeikt dit artikel nou op niet goed beveiligde sites, of niet w3c-compliant sites!? lijken me 2 hele verschillende dingen...

Het feit dat een site niet w3c compliant is, en daarnaast nog eens niet geschikt is voor bijvoorbeeld slechtzienden, doet toch niets af aan de veiligheid, of snap ik het nu niet helemaal?
Het wordt inderdaad een beetje verkeerd gebracht. De mededeling van de onderzoekers is dat ze onderzocht hebben of de sites wel aan de hedendaagse richtlijnen voldoen. Kortom: dat je er net zo makkelijk door heen moet kunnen bewegen alsof je in een gemeentehuis bent en als je aan de beurt bent ook de juiste discretie krijgt die op dat moment nodig is. Het is door twee organisaties onderzocht, waarbij er een gespecialiseerd is in de veiligheid die geboden moet worden en de ander in de toegankelijkheid.
En nu maar hopen dat dit rapport op het juiste buro terecht komt.
Misschien is de volgende stap die ze kunnen nemen het onderzoeken van de banken.
Dan hebben ze 2 verschillende dingen onderzocht. Is dat fout dan?
tweakers voldoet ook niet aan de eisen.

W3C voorziet in vele standaards waarbij in de eerste plaats voor gehandicapten werken en daarnaast ook voor een betere beveiling zorgen.
Ik vind het eerlijk gezegd een schande dat de overheid nog niet eens weet hoe ze een site in elkaar zetten moeten. Ik bedoel, hoe moeilijk is het nou om je aan de W3C standaarden te conformeren :?

Ik hoop dat hier werkelijk heel vlug een verandering in komt, want 'het zwarte schaap van de overheid' op het internet moet maar eens afgelopen zijn!

Gewoon houden aan de W3C standaarden en wat elementaire dingen regelen op veiligheidsgebied, hoe moeilijk is dat nou...
En mocht er iemand zeggen dat dit zeer moeilijk mocht zijn: heel veel non-overheids sites zijn wel degelijk professioneel te noemen, houden zich aan de W3C standaarden en op veiligheidsgebied scoren ze goed.
Weg met dat amateurisme!
Waarschijnlijk speelt heel sterk mee, dat de betreffende standaarden WAI en P3P niet tot nauwelijks geimplementeerd zijn in browsers: P3P enkel in explorer 6, WAI vereist geen enkele vorm van implementatie, zijn enkel bepaalde advieseringen, die, als ze nagevolgd worden kunnen leiden tot een bepaalde Accesability-rating, een A-status (een triple A-status is het hoogste)

Ik vind de conclusie over 'slechte beveiliging' op basis van W3C-standaards nogal gezocht, vooral (en enkel) politiek gemotiveerd en heel erg makkelijk.
Het is een goedkope methode om snel een onderzoekje te doen, en met een alarmerend resultaat te komen.

Ik ben best voor implementatie van standaarden, en vind dat bij veel opdrachten teveel bepaald wordt door mensen zonder werkelijke kennis hiervan.
maar dit onderzoek is evenzeer nietszeggend hierover, en ik zou ook niet graag aan een project werken geleid door dezelde persoon die daar de standaardisering van overheidssites 'handmatig' heeft zitten te controleren.

edit:
de kritiek op Privacy-veiligheid (dus enkel omgang met 'gevoelige' prive-gegevens) komt van een bedrijf dat een standaard programma aanbiedt om dit te controleren:
'Watchfire' biedt het product 'WebXM' aan.
over de wat hun product controleert betreffende de 'veiligheid':
http://www.watchfire.com/resources/webxm-privacy.pdf

ze controleren bv. of en formulier met de GET methode verstuurd wordt (dat is 'huu, onveilig') of er https-verbindingen gebruikt worden (want een extra certificaatje, dat is hardstikke safe)
Of er een privacy-statement aanwezig is op de pagina met een formulier zelf... etc etc.

* 786562 RM-rf
Ik vind het eerlijk gezegd een schande dat de overheid nog niet eens weet hoe ze een site in elkaar zetten moeten. Ik bedoel, hoe moeilijk is het nou om je aan de W3C standaarden te conformeren
Het is in feite niet de overheid die de daadwerkelijke site bouwt, dat doet het bedrijf die de opdracht krijgt. Dat bedrijf is dus totaal niet bezig met nieuwe ontwikkelingen op de markt zoals dus veiligheid. De overheid is wel laks dat het het product wat ze uiteindelijk krijgen niet controleren op zaken zoals veiligheid, bruikbaarheid, compabiliteit etc. De overheid is daar laks in, het bedrijf wat de site maakt is laks als het op maken van het product aan komt.
De overheid is wel de opdrachtgever en in deze dus ook degene die de specificaties opstelt, als je wel eens gewerkt hebt voor ze weet je dat ze je het zo goed als onmogelijk maken om iets zinnigs te bouwen, niet alleen op het gebied van web development, maar ook andere takken van automatisering...Er beslissen teveel mensen over die geen kaas gegeten hebben van waar ze mee bezig zijn....klinkt bekend bij de overheid nietwaar :Y)
Zelf ben ik webmaster bij een van die vele overheids sites en ik geeft toe dat de websites onder mijn beheer niet voldoen aan de WAI richtlijnen... hoe graag ik dit ook zou willen. Helaas vinden een hoop mensen het veel belangrijker dat de temperatuur of een link naar e-cards op de homepage staat als dat de website toegangelijk is voor mensen met een handicap.

Zoals Beaves zegt worden sites vaak door externe bedrijven gebouwd en iedereen wil voor een dubbeltje op de eerste rang zitten... laat staan dat een gemiddelde ambtenaar ook maar enige idee heeft wat de W3C of WAI is :?... maar zij zijn het die de opdrachten bij externe bedrijven neerlegen.

Helaas leeft internet binnen de organisatie waar ik werk nog niet genoeg... ik hoop daar wel verandering in te kunnen brengen maar dat kost veel tijd en geld. Dit laatste is er vanwege de vele bezuinigingen niet meer. :'(
Ik vind het eerlijk gezegd een schande dat de overheid nog niet eens weet hoe ze een site in elkaar zetten moeten. Ik bedoel, hoe moeilijk is het nou om je aan de W3C standaarden te conformeren

Sterker nog: wij *mogen* voor een grote overheidsklant niet voor een andere browser programmeren; hun werknemers mogen ook geen andere browser als IE gebruiken als ze dat al mogen. Natuurlijk proberen we onze applicaties zo veel mogelijk W3C te houden.
Het is ook om die reden dat we vast zitten aan IIS, MSSQL en ASP. Van twee van de drie is bekend dat het grote risicofactoren zijn.
Weet iemand waar ik de W3C standaarden kan vinden?
Hier misschien?
http://www.w3.org
Of voor de Web Content Accessilibity Guidelines
http://www.w3.org/WAI/
Deze guidelines worden ook beschreven door de stichting drempels weg
http://www.drempelsweg.nl/toegankelijkbouwen/richt/richtlijnen.php3
Teveel grote sites zijn zeer slecht beveiligt. Ik heb voor een bedrijf gewerkt als content manager voor een grote uitgever. Het wachtwoord van het CMS was 3 letters. Daarnet heb ik het getest, en ja hoor net kon ik gewoon nog inloggen in het CMS terwijl ik er 2 jaar geleden heb gewerkt. Sommige bedrijven hebben gewoon geen clue van beveiliging. 3 tekens is voor een hacker ongeveer 1 second werk met een password tester.

Edit: spelling is je vriend.
Mee eens, veel bedrijven hebben geen goede procedures onder andere voor het in dienst treden van mensen en wat er dan allemaal moet worden aangemaakt alsmede ook de procedures als iemand uit dienst gaat, standaard domein logins en een exchange account verdwijnen meestal wel, maar logins op development omgevingen en andere software en servers die minder standaard zijn blijven over het algemeen vrolijk staan...
Na enkele minuten zoeken en paar kliks op de site van amsterdam al een overzicht van de parkeerkaarten aan vragen gevonden.
amsterdam.nl mag je toevoegen aan die 85%
Uhhm een bedrijf gespecialiseerd in risicobeheer zegt dat de site niet w3c standaard is :?
En behalve de beveiliging voldoen ze ook niet voor gehandicapten.

Euh W3C standaarden zijn juist voor compatibiliteit en dus voor gehandicapten en maken naar mijn laatste kennis geen deel uit van beveiliging, geloof dat er hier een paar dingen door elkaar worden gehaald.
Het gaat bij dit verhaal over de W3C Web Content Accessibility guidelines. Er zijn over het algemeen heel weinig sites die voldoen aan deze standaard, zelfs op het laagste niveau (er zijn drie niveaus van conformatie).

Het onderzoek van Watchfire heeft naast de bescherming van de persoonsgegevens ook gekeken naar hoeverre de site de W3C WCAG ondersteund.

Beveiliging en toegankelijkheid zijn twee aparte onderdelen van dit onderzoek. En de hier besproken W3C standaard staat los van het onderzoeksgedeelte naar de beveiliging
Ik was op de bijeenkomst waar Watchfire de resultaten van het 'onderzoek' presenteerde. Zelden een slechter verhaal mogen aanhoren. Tuurlijk, het is altijd beter om bepaalde communicatie over een beveiligde verbinding te laten lopen. Maar het 'slotje' bij een mailformulier als basis gebruiken voor een betoog over gebrek aan veiligheid is zó dun, dat degene die hieraan dergelijke zware conclusies durft te verbinden (en dat gebeurde) niet serieus te nemen is.
Het was niets meer dan een verkooppraatje van die meneer van Watchfire, bedoeld om onzekerheid aan te wakkeren en daarmee de verkoop van een (overigens prima) product te stimuleren.

Het valt me een beetje tegen dat sommige van de posters hier zich niet wat kritischer opstellen. Maar gelukkig is er wel voldoende 'kritische massa' aanwezig ;-)

Het is overigens absoluut niet eenvoudig om volledig aan de W3C-specificaties te voldoen. Ik heb eens gelezen dat de code van maar 0,7 procent van alle HTML-pagina's op het web valideert. Verder is het aantal sites dat aantoonbaar aan alle WCAG prioriteit 1 richtlijnen voldoen een zeldzaamheid. Niet alleen bij de overheid, maar ook daarbuiten.
Ik herinner met dat er een paar maand geleden ook al ergens een nieuwsbericht hiervan is verschenen. Weet alleen zo niet meer waar.

Het lijkt er dus wel op dat de overheden een beetje laks met de gegevens en de beveiliging hiervan omgaan.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True