abonnementen ibood.com bol.com Coolblue
pi_184707128
registreer om deze reclame te verbergen
Beste Fokkers,

Een vraagje, is een webapplicatie met een http link die tevens alleen te benaderen is binnen het netwerk van dat bedrijf veilig? Dus de link is vanaf buitenaf niet te bereiken.
pi_184707197
Dat ligt eraan. Een webapp die wel https gebruikt is ook niet per definitie veilig. Https is slechts 1 van de componenten van security. Wat is het voor site? Gaat er gevoelige data over de verbinding? Is het erg als het verkeer tussen browser en site afgeluisterd kan worden?
pi_184707275
quote:
0s.gif Op woensdag 30 januari 2019 10:08 schreef Xperia het volgende:
Beste Fokkers,

Een vraagje, is een webapplicatie met een http link die tevens alleen te benaderen is binnen het netwerk van dat bedrijf veilig? Dus de link is vanaf buitenaf niet te bereiken.
Een applicatie is niet meer of minder veilig als hij https gebruikt....

Wat wel veiliger is, is dat het verkeer tussen de gebruiker en de applicatie niet zomaar onderschept kan worden...
Dat kan natuurlijk ook binnen een bedrijfsnetwerk in zekere zin een 'risico' opleveren.

Als die applicatie bv persoonlijke accounts en verschillen in berechtigingen heeft kun je ervan uitgaan dat die gebruiker een 'gesloten' verbinding zal nodig hebben en je eigenlijk niet wilt dat iemand binnen hetzelfde netwerk (persoon maar mogelijk ook een andere applicatie, al dan niet malware) inzicht zou kunnen krijgen in de gegevens die een andere gebruiker daarmee uitwisselt, aangezien die gegevens mogelijk een bepaalde vertrouwelijkheid hebben.
Der der den Wind der Veränderung spürt, sollte keinen Windschutz sondern eine Windmühle bauen.
pi_184707326
registreer om deze reclame te verbergen
quote:
0s.gif Op woensdag 30 januari 2019 10:14 schreef Farenji het volgende:
Dat ligt eraan. Een webapp die wel https gebruikt is ook niet per definitie veilig. Https is slechts 1 van de componenten van security. Wat is het voor site? Gaat er gevoelige data over de verbinding? Is het erg als het verkeer tussen browser en site afgeluisterd kan worden?
Daar worden de betalingen aan het bedrijf gecontroleerd. Ja er gaan wel gevoelige informatie over de verbinding. Ja het is wel erg als er afgeluisterd wordt. Nogmaals, de link is alleen binnen het netwerk te benaderen
pi_184707355
quote:
0s.gif Op woensdag 30 januari 2019 10:20 schreef RM-rf het volgende:

[..]

Een applicatie is niet meer of minder veilig als hij https gebruikt....

Wat wel veiliger is, is dat het verkeer tussen de gebruiker en de applicatie niet zomaar onderschept kan worden...
Dat kan natuurlijk ook binnen een bedrijfsnetwerk in zekere zin een 'risico' opleveren.

Als die applicatie bv persoonlijke accounts en verschillen in berechtigingen heeft kun je ervan uitgaan dat die gebruiker een 'gesloten' verbinding zal nodig hebben en je eigenlijk niet wilt dat iemand binnen hetzelfde netwerk (persoon maar mogelijk ook een andere applicatie, al dan niet malware) inzicht zou kunnen krijgen in de gegevens die een andere gebruiker daarmee uitwisselt, aangezien die gegevens mogelijk een bepaalde vertrouwelijkheid hebben.
wellicht een belangrijke puntje, het betreft wel een VPN netwerk.
pi_184707386
quote:
0s.gif Op woensdag 30 januari 2019 10:23 schreef Xperia het volgende:

[..]

Daar worden de betalingen aan het bedrijf gecontroleerd. Ja er gaan wel gevoelige informatie over de verbinding. Ja het is wel erg als er afgeluisterd wordt. Nogmaals, de link is alleen binnen het netwerk te benaderen
Dan kan de communicatie met de site dus binnen het netwerk afgeluisterd worden, en wellicht met wat meer moeite niet alleen afgeluisterd maar ook aangepast worden. Vertrouw je iedereen binnen het netwerk volledig? Hoe goed is het netwerk beveiligd? Wat is de reden dat er geen https gebruikt wordt?
  woensdag 30 januari 2019 @ 10:32:09 #7
292596 Faux.
Fan van zichzelf
pi_184707443
registreer om deze reclame te verbergen
quote:
0s.gif Op woensdag 30 januari 2019 10:23 schreef Xperia het volgende:

[..]

Daar worden de betalingen aan het bedrijf gecontroleerd. Ja er gaan wel gevoelige informatie over de verbinding. Ja het is wel erg als er afgeluisterd wordt. Nogmaals, de link is alleen binnen het netwerk te benaderen
Dat het alleen binnen het netwerk te benaderen is, zegt niet zoveel. Gevoelige informatie verstuur je in regel altijd over https, hoewel het lastig is om er een definitief antwoord op te geven als we niet je situatie precies weten. Maar in regel geldt: intern of openbaar netwerk, het liefste alles over https, tenzij er zwaarwegende argumenten zijn om het juist via HTTP te doen, omdat https een vals gevoel van veiligheid zal geven (zie redenatie apt get)
Hier schreef tong80 het volgende:
Faux is een FOK!held, zoals dat vroeger Gellarboy en Brechtje waren. Users die je koestert.
pi_184707569
quote:
0s.gif Op woensdag 30 januari 2019 10:25 schreef Xperia het volgende:

[..]

wellicht een belangrijke puntje, het betreft wel een VPN netwerk.
bedoel je dat je via vpn inlogt op je netwerk?
dus ook van een remote locatie binnen dit netwerk kunt inloggen?

dat maakt het nog steeds niet zo dat je applicaties die je binnen dit netwerk gebruikt 'veilig' kunt benaderen, de versleuteling houd nl. op bij de vpn-server via welke je binnenkomt.

vergelijk het bv met de vraag of het slim is winterbanden te gebruiken als je de weg opgaat terwijl het sneeuwt... en iemand meld dat hij een deel van de route via een tunnel rijd, en in die tunnel de sneeuw niet valt..... punt is echter dat niet zijn hele werkroute door die tunnel gaat, enkel een deel.
Der der den Wind der Veränderung spürt, sollte keinen Windschutz sondern eine Windmühle bauen.
pi_184719967
quote:
0s.gif Op woensdag 30 januari 2019 10:23 schreef Xperia het volgende:

[..]

Daar worden de betalingen aan het bedrijf gecontroleerd. Ja er gaan wel gevoelige informatie over de verbinding. Ja het is wel erg als er afgeluisterd wordt. Nogmaals, de link is alleen binnen het netwerk te benaderen
Daar zou ik dan maar eens een AVG audit op los laten :)
I wished for my computer to be as easy to use as my telephone; my wish has come true because I can no longer figure out how to use my telephone.
pi_184724881
Nee dit is in principe niet veilig maar hangt wel van de applicatie af.
Het belangrijkste gevaar zouden XSS lekken kunnen zijn of javascript includes van sites die bijvoorbeeld compromised zijn.

Overigens kun je tegenwoordig gratis goedgekeurde SSL certificaten krijgen via Letsencrypt.
abonnementen ibood.com bol.com Coolblue
Forum Opties
Forumhop:
Hop naar:
(afkorting, bv 'KLB')