Security op website niveau; Handvol tips

Privacy is al snel afhankelijk van security. Wanneer de security niet in orde is, kan in het geval van een website of informatiesysteem de privacy van bezoekers of klanten snel in het geding komen. In het verlengde van onze privacy-tips, een handvol security-tips.

Tot dusver hebben we in onze blogberichten vooral geïnformeerd over tips & tricks voor websites. Websites en toebehoren (youtube video's, social share mogelijkheden) spreken eenvoudig tot de verbeelding, waarbij tips doorgetrokken kunnen worden naar online oplossingen in het algemeen. Dat dit in praktijk nog zelden goed gaat, toonden we aan middels een onderzoek.

Onze blogberichten met tips en tricks gemist? Lees ze na via onze blog.

Website security maatregelen

De bekendste security maatregel zal TLS (vanouds bekend als SSL) zijn, om een versleutelde verbinding tussen server en bezoeker af te dwingen. Het in de volksmond bekende groene slotje ofwel HTTPS. Zorg dat alle bronnen over HTTPS worden geserveerd, zodat er geen sprake is van Mixed Content. Dit zien we in praktijk vaak mis gaan door inzet van plugins, waarbij plugins aanvullend beeld- of codemateriaal serveren, maar dit niet via HTTPS plaats laat vinden.

Er valt echter meer te doen:

Open source updates en upgrades

Het grote voordeel van open source, is ook direct het nadeel; Middels plugins kan een website veel functionaliteit worden meegegeven, maar niet elke plugin is met zorg geprogrammeerd. Wij schreven reeds eerder over de invloed van open source op de AVG. Kies plugins zorgvuldig uit, lees reviews en update tijdig.

Dit maakt dat de onderhoud van open source websites een arbeidsintensieve klus kan zijn. Kies de juiste partner zodat grote gevolgen voor security voorkomen of adequaat opgelost kunnen worden. Begin deze maand nog werden Wordpress websites geïnfecteerd via een security lek in het Wordpress systeem.

En nota bene door een Wordpress GDPR plugin, bleken Wordpress websites drie weken lang gehacked te worden. Als gevolg is deze plugin op 7 november 2018 uit de Wordpress plugin-aanbod gehaald.

Bron integriteit

Veelal maakt een website gebruik van externe bronnen. Denk aan specifieke lettertypes via Google Fonts, of gebruik van een fotogallerij of reactie-systeem middels JavaScript. Dit kan privacy in de weg staan, maar kan ook op een onvermoed moment invloed hebben op security. Wanneer de server waar een externe bron staat, zelf slachtoffer wordt van cybercriminaliteit, is het een peuleschil om alle websites die aangesloten zijn ook slachtoffer te laten worden. Bezoekers van websites die gebruik maken van een externe server, kan ineens slachtoffer worden. Hiermee zou een kwaadwillende een virus als een olievlek kunnen laten verspreiden, zonder er veel werk voor te hoeven doen.

Via deze methode zijn bijvoorbeeld creditcard gegevens gestolen. Wij adviseren om die reden gebruik te maken van subresource integrity, of externe bronnen helemaal uit te bannen in geval van intranets of informatie-systemen.

Voorkom tabnabbing

In de basis is het oude internet een serie bronnen/websites die naar elkaar verwijzen. Slechts in dit basis-principe huist tegenwoordig een kwetsbaarheid: tabnabbing. Wanneer er naar een andere pagina wordt verwezen, krijgt de geopende pagina een relatie mee naar de bronpagina. In deze alinea zou het Wikipedia-artikel waar we naar verwijzen, een relatie houden naar deze website. Vanaf dat moment zou Wikipedia middels inzet van kwaadaardige (JavaScript) code, mutaties kunnen doen op de bronpagina (ons artikel). Denk aan de bezoeker doorsturen, of gegevens wijzigen of zelfs uitlezen in het geval van formulieren.

Deze relatie kan echter specifiek worden opgeheven door inzet van een specifiek HTML attribuut. Gebruik hiervoor het rel=noopener attribuut op (externe) links. Zorg dat het systeem dat je gebruikt, website of intranet, dit automatisch toevoegt!

Meer inhoudelijke informatie over Content Security Policy, is op developers.google.com aan te treffen.

Test op kwetsbare bronnen

Een Bootstrap of jQuery toepassing is bijna niet meer weg te denken in het geval van moderne websites. Ook deze kennen, ongeacht externe of interne inzet, soms kwetsbaarheden. Of de kwetsbaarheid uitgebuit kan worden, hangt volledig van het gebruik van de code in. Via een heuse Vulnerability database is na te gaan of een toepassing en versie van de betreffende toepassing kwetsbaarheden kent.

Beveiligde inlog

Menig website heeft een CMS met inlog-omgeving. Eenzelfde is van toepassing op informatiesystemen. Schakel two-factor authenticatie in indien aanwezig, of laat zo een toepassing installeren. Werp blokkades op om brute forcing te bemoeilijken en stel bijvoorbeeld notificaties in wanneer er ingelogd wordt met uw accountgegevens. 

Naast directe inzage in inlogpogingen, succesvol of onsuccesvol, kent onze AVG tooling aanvullend een access-log, waarmee gebruikers en hoofdaccounthouders inzage houden. Daarnaast is aanvullende beveiliging van het account mogelijk bij AVG Cloud Register. Organisaties kunnen bovendien een maximum sessieduur opgeven voor accounthouders. Vergelijk het met schermvergrendeling: mocht iemand vergeten uit te loggen, dan kan hiermee schade beperkt worden.

Zorg bovendien voor sterke wachtwoorden, waarbij het wachtwoord gecombineerd met een salt onomkeerbaar versleuteld opgeslagen worden. Maak desgewenst gebruik van een VPN, zodat er bijvoorbeeld een voor inlogpogingen een ip-adres restrictie opgelegd kan worden. Dit zijn enkele voorbeelden van maatregelen die binnen onze tooling standaard (instelbaar) zijn.

Clickjacking en framebusting

Is er sprake van een webshop, applicatie of ander type omgeving waar interactie en verwerking van (gevoelige) data plaats vindt? Voorkom clickjacking middels framebusting.

Hiermee wordt voorkomen dat je website of applicatie misbruikt kan worden om nietsvermoedende bezoekers op verkeerde links te laten klikken. De Wiki van OWASP kent een overzicht van technische maatregelen.

Privacy onder een vergrootglas

Met de AVG wetgeving ligt privacy onder een vergrootglas. Door onvoldoende technische (security) maatregelen, kan de privacy op de tocht komen te staan, met bijvoorbeeld datalekken als gevolg. Ook bij voldoende security maatregelen kan privacy op bijvoorbeeld een website in het geding komen. Lees onze hands-on blogs over privacy:

  1. Privacy vriendelijke youtube video's
  2. Privacygevoelig: addThis & ShareThis
  3. Privacygevoelig: Twitter & Facebook Widget
  4. PII: track geen persoonlijke data

Conclusie

Security kan zeker voor websites eenvoudig over het hoofd worden gezien, aangezien aan websites minder heftige transacties worden toebedeeld. Toch kan een website eenvoudig en onbewust veel slachtoffers maken van data-diefstal, waarmee de AVG van toepassing wordt.

Hetzelfde is ook van toepassing op online omgevingen die niet onder de noemer "websites" vallen, zoals reserverings- of datingplatformen, portalen voorklanten of patiënten of andere CRM en informatie systemen. Naast de programmatuur onder de motorkap, zouden ook in bovenstaande zaken die zich op de voorgrond afspelen, afgedicht moeten worden.

Vragen, opmerkingen of eigen tips? We horen ze graag. Hulp of second opinion benodigd? Laat het ons weten!