quote:

Fout bij controleren van het SSL Certificaat!!
-Wij konden geen verbiding maken met de server

We kunnen geen beveiligde verbinding tot stand brengen met frontpage.fok.nl. Hier kunnen verschillende redenen voor zijn, zoals een server of netwerk storing, maar het is ook mogelijk dat er geen of nog geen beveiligde verbinding aanwezig is.

Wij adviseren u geen vertrouwelijke informatie of persoonsgegevens op deze website achter te laten, aangezien het SSL Certificaat mogelijk is vervalst of onjuist geïnstalleerd is.

Daarom moet je alleen zulke sites gebruiken die gebruik maken van een SSL verbinding, dat zie je aan de extra s achter http: https

wat is er nou wel veilig bij de overheid behalve hun eigen bankrekening

Vind dit weer een typisch gevalletje marketing. De overheid heeft een campagne gelanceerd, laten we daar eens gebruik van maken. Slim hoor, maar of het nou werkelijk waar is wat er allemaal geroepen wordt? Ik zou wel eens willen weten wat er dan mis is met die websites. Niet in detail natuurlijk want dat is niet netjes, maar in grote lijnen. Networking4all scoort mij een beetje te makkelijk op deze manier.

Wat is dat met dat lettertype? Ik zie niks opvallends?

Het is trouwens weer symptomatisch voor onze overheid. Het belerende vingertje, terwijl ze het zelf niet voor elkaar hebben. Ze hadden beter die miljoenen in hun eigen websites kunnen stekken.

quote:

Op maandag 3 augustus 2009 @ 09:10 schreef BekiekUtMoar het volgende:
Wat is dat met dat lettertype? Ik zie niks opvallends?

tis al aangepast

quote:

Voor de consument goed om te weten: op de gratis site www.isdezesiteveilig.nl kunnen alle websites heel eenvoudig getest worden of ze al dan niet veilig zijn.

Mooi staaltje marketing. Het enige wat er getest wordt is de kwaliteit van encryptie als jij met die site verbonden bent. De honderden andere manieren waarop het later toch nog mis kan gaan (als de site gewoon gehacked wordt bijvoorbeeld) worden niet meegenomen.

Helemaal niet "veilig", maar veilig tegen een enkele specifieke aanval

Dat wordt weer veel werkgelegenheid in de IT de komende jaren, ik bedoel decennia.

Inderdaad reclame, en ze controleren niet eens of bovenliggende CA certificaten nog MD5 of zelfs nog MD2 zijn!!!!

Zouden ze zelf ook nog certificaten (laten) uitgeven onder CA's met deze verouderde hashes: zou leuke blamage zijn.

dit is zoooooo'n bullshit..

Tuurlijk, een gemeente die gebruik maakt van digid moet gebruik maken van een ssl certificaat, maar heel digid wil niet met gemeenten samenwerken die hier geen gebruik van maken. Echter een ministerie site waar mensen informatie kunnen opvragen hoeft echt geen gebruik te maken van een ssl certificaat. Ook de site van de belastingdienst, waarin alleen informatie wordt verstrekt hoeft hier geen gebruik van te maken.

De overheid weet dit ook al en dit is gewoon een marketing actie van networking4all. Zij zijn verkoper van ssl certificaten en hopen hiermee een beetje extra winst te krijgen. Dit hele bericht is gewoon een grote reclame en iedereen trapt erin.

quote:

Op maandag 3 augustus 2009 @ 09:17 schreef Omegium het volgende:

[..]

Mooi staaltje marketing. Het enige wat er getest wordt is de kwaliteit van encryptie als jij met die site verbonden bent.

Ja, precies

Als ze het nou tenminste nog hadden getest tegen de OWASP top 10, had je er nog iets van kunnen zeggen. Zoals eerder genoemd, SSL certificaten zijn leuk, maar als de applicatie alsnog gevoelig is voor bijv. XSS of SQL injectie ben je alsnog zuur.

En SSL certificaten heb je ook nog in meerdere gradaties, je koopt ze al vanaf een paar tientjes; wil je echt zeker stellen dat een website ook daadwerkelijk legitiem is, zit je aan de duurdere van enkele honderden euro's vast (maar ook dat is een schijntje natuurlijk voor de overheid). Enkele weken terug was er een leuke Netwerk uitzending over de beveiliging van websites van banken en overheid: KLIK

In hoeverre zijn bedrijven en de overheid in een tijd dat op duizenden plaatsen persoons- en bedrijfsgegevens zijn geregistreerd deze te beschermen? Het aantal databestanden dat publieke en private instellingen gebruiken is de laatste jaren explosief gestegen. Overal laten we sporen na doordat onze persoonsgegevens in databanken worden opgeslagen. Publieke instanties als de Belastingdienst, gemeenten, het kadaster, justitie, rechtbanken, sociale uitvoeringsinstellingen, rijksdienstwegverkeer en de kamer van koophandel verwerken allemaal uw gegevens. Maar ook private instanties als werkgevers, Bureau kredietregistratie, energie, telecommunicatie, bank en verzekeringsbedrijven.

Persoonsgegevens zijn waardevol doordat ze een bron van informatie vormen over een persoon. Ze vertellen wat uw huidig en voormalig woonadres is, wie uw huidig of voormalig werkgever is, wie uw energieleverancier is, wat voor uitkering u ontvangt en hoeveel, of u een strafblad heeft, of u vastgoed heeft, in wat voor auto u rijd, waar en hoe laat u pinde, aan wie u geld overmaakt en met wie u regelmatig belt.

Kun je nog anoniem zijn in een tijd waarin alle grenzen vervaagd zijn?

Een 'bron aanboren' is iemand bij een instantie weten te vinden die je steeds weer informatie kan geven zonder dat hij iets in de gaten heeft. De waarde van goede bronnen is groot zegt Michel; "Politie en justitie roepen al jaren over het koppelen van databanken met gegevens om zo sneller de juiste informatie te kunnen krijgen. Maar anderen en ik waren al jaren bezig met het koppelen van die bestanden, alleen niet rechtstreeks maar door gewoon van de ene instantie naar de andere te bellen."
http://www.michelkraay.nl/telefonisch-rechercheren.php

Net zo gemakkelijk als Michel belt naar gemeenten, banken, uitkeringsinstellingen of sociale uitvoeringsinstellingen, zo doet hij ook navraag bij politie instanties. Bij de Centrale Recherche Informatie (CRI) in Zoetermeer verzamelt hij informatie uit het zogeheten VIS, verificatie informatie systeem. De medewerkers kunnen er selecteren op burgerservicenummer of rijbewijsnummer en vervolgens vertellen of iemand gezocht wordt voor een misdrijf en door welk land om uitlevering gevraagd word. Het VIS is ook gekoppeld aan het NSIS, het Nationaal Schengen informatie systeem, Daarin staat informatie over vreemdelingen die geen toegang mogen krijgen tot Nederland of die gezocht worden door de autoriteiten. De andere Schengen-landen kunnen ook bij dit systeem. Zelfs gevangenissen laten informatie ontsnappen. Michel belde ook met penitentiaire inrichtingen, huizen van bewaring. Soms gewoon om te vragen of een persoon nog vast zat, soms om gegevens over diens strafblad te krijgen. Ook hier kende hij het jargon. IV staat voor invrijheidsstelling, de datum waarop iemand is vrijgelaten. Ook geven de instellingen adresgegevens vrij. Bij detenties in het buitenland belde Michel gewoon met het ministerie van Buitenlandse Zaken.

Het Justitieel Documentatie Systeem geeft het justitiële verleden van personen. Het belangrijkste systeem is de VIPS, de Verwijs Index Personen, waarin strafbladinformatie wordt uitgewisseld tussen de verschillende onderdelen die bij het strafrecht zijn betrokken. Daar belde Michel ook voor. De VIP-informatie verwijst onder meer naar systemen van het OM, Dienst Justitiële Inrichtingen en het Centraal Justitieel Incassobureau in Almelo. Ook via internet kunnen Justitiemedewerkers het VIP raadplegen. "Jargon bij het CJIB is of iemand geconverteerd is, of hij zijn straf of boete heeft betaald." Ook politiemedewerkers laten aan de telefoon informatie los. Zo belde Michel wel eens met de meldkamer met de vraag 'of ze even een kentekennummer konden nazien'. Namen van systemen die als hij de politie aan de lijn had liet vallen waren HKS en DIA. HKS is het landelijke Herkenningsdienstsysteem waarin de politie sinds 1986 alle gegevens over verdachten registreert. Het HKS is overigens ook weer gekoppeld aan vele andere databases, zoals het Sociaal Statistisch Bestand (SSB) van het CBS, met daarin de registers van onder meer de Belastingdienst, de uitkeringsinstanties, de Informatie Beheergroep en Gemeentelijke basisadministratie. Bedrijfsprocessensystemen van de politie (BPS). Bij de Marechaussee in Schiphol checkt Michel welke paspoortnummers mensen hebben en vice versa. Ook bij Interpol/Europol slaagde hij erin om na te gaan over een persoon op een internationale opsporingslijst stond.


http://www.michelkraay.nl/telefonisch-rechercheren.php

Fout bij controleren van het SSL Certificaat!!
Wij konden geen verbiding maken met de server

Misschien moeten ze Nederlands leren???

De overheid is zo log en verschuilt zich achter hun eigen apparaat dat dit soort dingen mij niks verbazen.
en dan nog, het zal waarschijnlijk verboden worden om te testen of ze veilig zijn, en de overheid gaat weer rustig slapen..

Thee iemand ?

Het is zoals anderen ook al zeggen slimme marketing, dit onderzoek. Het is wel een heel simpel onderzoek, aangezien het lijkt of er vooral gekeken wordt naar formulieren die verstuurd worden zonder https verbinding. Maar hoewel de kans dat iets dergelijks echt misbruikt wordt niet zo groot is, zit er is wel een kern van waarheid in het hele verhaal. Waarom gebruikt een site als de SVB.nl niet gewoon zijn (al werkende) https server voor het contact formulier? Het had ze veel imago schade kunnen besparen.

quote:

Websites overheid onveilig

Daarom zet ik ook altijd een helm op als ik naar deze sites ga.

quote:

Op maandag 3 augustus 2009 @ 09:01 schreef flexino het volgende:
Daarom moet je alleen zulke sites gebruiken die gebruik maken van een SSL verbinding, dat zie je aan de extra s achter http: https

Zelf SSL valt te omzeilen....

http://www.security.nl/ar(...)liging_websites.html

Networking4all is een SSL-boer die hiermee probeert publiciteit te krijgen. Net of de veiligheid van een website enkel af zou hangen van of er een SSL-versleutelde verbinding mee is. Zelfs op de genoemde sites wordt, zodra je moet inloggen, keurig gebruik gemaakt van SSL.

De 'check' die zij aanbiedne op hun site geeft ook alleen maar aan of een site SSL gebruikt. Pft.

lalala:

Volgens Joost Pol van Certified Secure zijn SSL-certificaten belangrijk, maar wordt het geschetste gevaar dat vanwege het ontbreken van een certificaat eenvoudig vertrouwelijke gegevens te bemachtigen zijn, ernstig overdreven. "Het installeren van een SSL-certificaat is geen enkele garantie dat criminelen er niet met je gegevens vandoor gaan." Het grootste gevaar schuilt in fouten in de applicatie zelf, kwetsbaarheden als SQL-injectie en cross-site scripting zijn nog altijd dé achilleshiel van de meest websites.

Pol vindt het jammer dat de media zich in dit geval niet kritischer heeft opgesteld en van een mug een olifant maakt. "Waarom zou je moeilijk doen door netwerkverkeer te onderscheppen, als je ook via één eenvoudig commando een hele database kunt leeghalen." Certified Secure adviseert bedrijven en overheidsinstanties vooral in de beveiliging van de webapplicatie zelf te investeren. Pol raadt verder iedereen aan de gratis webapplication scan checklist te downloaden, in plaats van geld te investeren in een vals gevoel van veiligheid.

bron: http://security.nl/artike(...)HTTPS%22_Update.html

in andere woorden: reclame