Webapplicatie gebruikt geen https

Dat ligt eraan. Een webapp die wel https gebruikt is ook niet per definitie veilig. Https is slechts 1 van de componenten van security. Wat is het voor site? Gaat er gevoelige data over de verbinding? Is het erg als het verkeer tussen browser en site afgeluisterd kan worden?

quote:

Op woensdag 30 januari 2019 10:08 schreef Xperia het volgende:
Beste Fokkers,

Een vraagje, is een webapplicatie met een http link die tevens alleen te benaderen is binnen het netwerk van dat bedrijf veilig? Dus de link is vanaf buitenaf niet te bereiken.

Een applicatie is niet meer of minder veilig als hij https gebruikt....

Wat wel veiliger is, is dat het verkeer tussen de gebruiker en de applicatie niet zomaar onderschept kan worden...
Dat kan natuurlijk ook binnen een bedrijfsnetwerk in zekere zin een 'risico' opleveren.

Als die applicatie bv persoonlijke accounts en verschillen in berechtigingen heeft kun je ervan uitgaan dat die gebruiker een 'gesloten' verbinding zal nodig hebben en je eigenlijk niet wilt dat iemand binnen hetzelfde netwerk (persoon maar mogelijk ook een andere applicatie, al dan niet malware) inzicht zou kunnen krijgen in de gegevens die een andere gebruiker daarmee uitwisselt, aangezien die gegevens mogelijk een bepaalde vertrouwelijkheid hebben.

quote:

Op woensdag 30 januari 2019 10:23 schreef Xperia het volgende:

[..]

Daar worden de betalingen aan het bedrijf gecontroleerd. Ja er gaan wel gevoelige informatie over de verbinding. Ja het is wel erg als er afgeluisterd wordt. Nogmaals, de link is alleen binnen het netwerk te benaderen

Dan kan de communicatie met de site dus binnen het netwerk afgeluisterd worden, en wellicht met wat meer moeite niet alleen afgeluisterd maar ook aangepast worden. Vertrouw je iedereen binnen het netwerk volledig? Hoe goed is het netwerk beveiligd? Wat is de reden dat er geen https gebruikt wordt?

quote:

Op woensdag 30 januari 2019 10:23 schreef Xperia het volgende:

[..]

Daar worden de betalingen aan het bedrijf gecontroleerd. Ja er gaan wel gevoelige informatie over de verbinding. Ja het is wel erg als er afgeluisterd wordt. Nogmaals, de link is alleen binnen het netwerk te benaderen

Dat het alleen binnen het netwerk te benaderen is, zegt niet zoveel. Gevoelige informatie verstuur je in regel altijd over https, hoewel het lastig is om er een definitief antwoord op te geven als we niet je situatie precies weten. Maar in regel geldt: intern of openbaar netwerk, het liefste alles over https, tenzij er zwaarwegende argumenten zijn om het juist via HTTP te doen, omdat https een vals gevoel van veiligheid zal geven (zie redenatie apt get)

quote:

Op woensdag 30 januari 2019 10:25 schreef Xperia het volgende:

[..]

wellicht een belangrijke puntje, het betreft wel een VPN netwerk.

bedoel je dat je via vpn inlogt op je netwerk?
dus ook van een remote locatie binnen dit netwerk kunt inloggen?

dat maakt het nog steeds niet zo dat je applicaties die je binnen dit netwerk gebruikt 'veilig' kunt benaderen, de versleuteling houd nl. op bij de vpn-server via welke je binnenkomt.

vergelijk het bv met de vraag of het slim is winterbanden te gebruiken als je de weg opgaat terwijl het sneeuwt... en iemand meld dat hij een deel van de route via een tunnel rijd, en in die tunnel de sneeuw niet valt..... punt is echter dat niet zijn hele werkroute door die tunnel gaat, enkel een deel.

quote:

Op woensdag 30 januari 2019 10:23 schreef Xperia het volgende:

[..]

Daar worden de betalingen aan het bedrijf gecontroleerd. Ja er gaan wel gevoelige informatie over de verbinding. Ja het is wel erg als er afgeluisterd wordt. Nogmaals, de link is alleen binnen het netwerk te benaderen

Daar zou ik dan maar eens een AVG audit op los laten

Nee dit is in principe niet veilig maar hangt wel van de applicatie af.
Het belangrijkste gevaar zouden XSS lekken kunnen zijn of javascript includes van sites die bijvoorbeeld compromised zijn.

Overigens kun je tegenwoordig gratis goedgekeurde SSL certificaten krijgen via Letsencrypt.