Column: Even afrekenen alstublieft!
Wat is het grootste gevaar als je iets bestelt op Internet? Natuurlijk, de legioenen hackers die aan de andere kant van de telefoonlijn op de loer liggen om onmiddelijk elk voorbijkomend creditcardnummer te onderscheppen en de bijbehorende rekeningen te plunderen. Ik vraag me dan altijd af of die mensen niks beters te doen hebben.
Natuurlijk is het in theorie mogelijk dat iemand mijn netwerkverbinding kan aftappen en zo de datapakketten met mijn credit-card gegevens te pakken kan krijgen, maar de kans dat die iemand mij net zit te tappen terwijl ik een boek bestel bij Amazon lijkt mij vrij klein. En dan nog. Het uit zo'n transmissie vissen van de creditcard gegevens is ook bepaald geen sinecure.
Maar goed, hackers zijn ook niet gek, dus dat zal ze ongetwijfeld lukken. Dan grijpen we maar naar de bekende tegenmaatregelen: SSL, 128-bits sleutels, digitale certificaten en meer van dat fraais. Geen hacker die door mijn 128-bits secure HTTP verbinding heen komt en er zo met mijn credit card vandoor gaat. Dat hoeft 'ie ook helemaal niet. Hij hackt gewoon de server van die zaak waar ik wat koop en neemt de hele lijst met nummers van alle klanten mee.
De beveiliging bij veel webwinkels is namelijk behoorlijk slecht. De creditcardgegevens die men van klanten ontvangt, wordt ergens in een database opgeslagen, zodat later de rekening kan worden ge�nd. Punt daarbij is dat de webserver dus bij die database moet kunnen, en dat maakt de database kwetsbaar voor iemand die de webserver weet te hacken. En lukt dat, dan kun je eenvoudigweg alle gegevens in een keer overnemen. Veel aantrekkelijker dus dan al die losse gebruikers aflopen in de hoop dat er eentje een creditcardnummer zonder SSL opstuurt.
Helaas gaat bij de meeste artikelen over beveiliging het vooral over dat laatste. Dit creeert bij de gemiddelde gebruiker echter precies het verkeerde gevoel: de hackers liggen bij mij op de loer en als ik nu maar de boel encrypt, komt alles goed. Het belangrijkste punt is echter dat de zwakste schakel niet die verbinding is, maar die opslag aan de andere kant. Webwinkels zouden eens moeten ophouden met te roepen "Wij zijn veilig want uw gegevens gaan over 128-bits SSL" en beginnen te adverteren met "Wij zijn veilig want onze database is niet te benaderen vanaf Internet."
Dit artikel verscheen eerder in Netkwesties.
