Goed werk Eindelijk een deftige SSL verbinding op Belgiumdigital.com. Waarvoor grote dank.
Aankondiging
Collapse
No announcement yet.
Zozo, iemand heeft eindelijk zijn verantwoordelijkheid genomen
Collapse
X
-
-
Re: Zozo, iemand heeft eindelijk zijn verantwoordelijkheid genomen
Na 6 maanden een inbreuk te zijn op GDPR is het niets te vroeg natuurlijk.
-
Re: Zozo, iemand heeft eindelijk zijn verantwoordelijkheid genomen
Oorspronkelijk geplaatst door on4bam Bekijk berichtNa 6 maanden een inbreuk te zijn op GDPR is het niets te vroeg natuurlijk.Waar een wil is, is een weg
---------------------------------
Comment
-
Re: Zozo, iemand heeft eindelijk zijn verantwoordelijkheid genomen
Oorspronkelijk geplaatst door on4bam Bekijk berichtNa 6 maanden een inbreuk te zijn op GDPR is het niets te vroeg natuurlijk.
Comment
-
Re: Zozo, iemand heeft eindelijk zijn verantwoordelijkheid genomen
Oorspronkelijk geplaatst door Spanik Bekijk berichtHeeft voor zover ik weet geen bal met GDPR te maken.
Do I Need an SSL Certificate to Be GDPR Compliant?
The short answer is yes, most websites need an SSL certificate to be GDPR compliant, but it depends on what information your website collects.
Does Your Site Collect Any Information from Your Users?
If your site collects and stores any information from your users then it is a safe bet to have an SSL certificate on your site to protect the user information.
This is because, although the GDPR does not specifically say that every site needs an SSL certificate in order to be GDPR compliant, if your site collects or processes user data then under the GDPR, you have a responsibility as a data controller or a data processor, to keep this information secure and protected, which by having an SSL on your site you are helping to achieve this.
This information could be collected from users via sign-up or contact forms, and could be as simple as a name, email address, or a phone number.
Comment
-
Re: Zozo, iemand heeft eindelijk zijn verantwoordelijkheid genomen
Oorspronkelijk geplaatst door on4bam Bekijk berichtDan moet je alles nog maar eens nalezen
Volgens de aangekaarte tekst dan toch.
GDPR houdt anders ook in dat men geen gegevens mag verzamelen die niet strikt noodzakelijk zijn voor de aangeboden diensten en dat men duidelijk moet aangeven welke info verzameld wordt (na toelating).
Men mag bijvoorbeeld niet om een telefoonnummer of adres vragen indien niet noodzakelijk.
Men mag ook geen inloggegevens bijhouden (ip-adressen of dergelijke) zonder aan te kondigen dat dit gebeurt met akkoord van de gebruiker.
Het kan natuurlijk op een eenvoudige manier opgelost worden voor nieuwe registraties.
Dit algemeen bekeken.Canon EOS Digital
BD0479BE
Comment
-
-
Re: Zozo, iemand heeft eindelijk zijn verantwoordelijkheid genomen
Oorspronkelijk geplaatst door VerSeg Bekijk berichtDan komt het er op neer dat het aangeraden is maar niet verplicht.
Volgens de aangekaarte tekst dan toch.
Comment
-
Re: Zozo, iemand heeft eindelijk zijn verantwoordelijkheid genomen
Oorspronkelijk geplaatst door Rogier Bekijk berichtGoed werk Eindelijk een deftige SSL verbinding op Belgiumdigital.com. Waarvoor grote dank.
This server supports weak Diffie-Hellman (DH) key exchange parameters. Grade capped to B. MORE INFO »
This server does not mitigate the CRIME attack. Grade capped to C.
The server supports only older protocols, but not the current best TLS 1.2. Grade capped to C. MORE INFO »
This server does not support Forward Secrecy with the reference browsers. Grade capped to B. MORE INFO »
This server does not support Authenticated encryption (AEAD) cipher suites. Grade capped to B. MORE INFO »
This server's certificate chain is incomplete. Grade capped to B.
Comment
-
Re: Zozo, iemand heeft eindelijk zijn verantwoordelijkheid genomen
Oorspronkelijk geplaatst door schollaert Bekijk berichtWeinig deftig hoor. Certificaat is op zich in orde, maar de server niet. SSL Labs komt tot een zeer magere C.
Kan Debian Apache 2.2.16 (van 2011!) geen TLS 1.2 aan? Daarvoor moeten blijkbaar aanpassingen gebeuren want standaard is het enkel v1.0.
In elk geval is het met dit certificaat al beter dan geen certificaat.
Comment
-
Re: Zozo, iemand heeft eindelijk zijn verantwoordelijkheid genomen
Oorspronkelijk geplaatst door on4bam Bekijk berichtComodo is zeker betrouwbaar maar vreemd dat er geen chain van keys is (op mijn domein is er een ketting van 3 certificaten, ik heb grade A) en geen TLS1.2.
Kan Debian Apache 2.2.16 (van 2011!) geen TLS 1.2 aan? Daarvoor moeten blijkbaar aanpassingen gebeuren want standaard is het enkel v1.0.
In elk geval is het met dit certificaat al beter dan geen certificaat.
TLS 1.1 is voldoende voor A.
Debian Apache 2.2.16 kan geen TLS 1.2 aan. En geen 1.1
Comment
-
Re: Zozo, iemand heeft eindelijk zijn verantwoordelijkheid genomen
Oorspronkelijk geplaatst door on4bam Bekijk berichtHet is niet verplicht maar je moet de gegevens (bv. login/pass) beveiligen. Zonder SSL doe je dat niet dus, inbreuk GDPR. Wie vroeger via "open" wifi (bv in een hotel) inlogde zag zijn login/paswoord in clear text naar BD gestuurd worden. En ja, onbeveiligde wifi bestaat ook nog (buiten mijn eigen netwerk connecteer ik daarom steeds via VPN).
Natuurlijk is dat allemaal wat eenvoudiger als je ze beveiligt en als ze bij een hack vrijkomen zijn ze (als het goed gedaan is) waardeloos en kan ga je meer krediet van de rechter krijgen als het tot een rechtzaak komt. Maar er is geen enkele verplichting.
Als Belgium Digital bvb een kredietkaart nummer zou vragen om een account aan te maken op het forum dan zijn ze reeds in overtreding, SSL of niet. Want er is geen enkele reden waarom dat nodig zou zijn. Moest ik iets kopen dan is dat wel een gegeven nodig voor de dienst. Maar als ze dat langer bijhouden dan nodig voor de financiële transactie is het weer wel een probleem. Als er echter een wet is die zegt dat de gegevens voor een internetverkoop 5 jaar moeten bijgehouden worden, moeten ze dat 5 jaar bijhouden. Maar geen 6 jaar.
Comment
-
-
Re: Zozo, iemand heeft eindelijk zijn verantwoordelijkheid genomen
Oorspronkelijk geplaatst door Spanik Bekijk berichtNeen, je moet de gegevens niet beveiligen. Je moet de GDPR zelf eens lezen. Het is zoals Verseg schrijft: je mag geen gegevens verzamelen die niet nodig zijn voor de diensten die je aanbiedt, je mag die gegevens niet langer dan nodig bijhouden (tenzij er wettelijke bepalingen zijn die dit eisen), je mag die niet verzamelen zonder (geïnformeerde) toestemming, je mag ze niet aan derden doorgeven zonder toestemming, je moet de gegevens ter inzage geven van de personen van wie je ze hebt en je moet indien gevraagd ze corrigeren.
Natuurlijk is dat allemaal wat eenvoudiger als je ze beveiligt en als ze bij een hack vrijkomen zijn ze (als het goed gedaan is) waardeloos en kan ga je meer krediet van de rechter krijgen als het tot een rechtzaak komt. Maar er is geen enkele verplichting.
Als Belgium Digital bvb een kredietkaart nummer zou vragen om een account aan te maken op het forum dan zijn ze reeds in overtreding, SSL of niet. Want er is geen enkele reden waarom dat nodig zou zijn. Moest ik iets kopen dan is dat wel een gegeven nodig voor de dienst. Maar als ze dat langer bijhouden dan nodig voor de financiële transactie is het weer wel een probleem. Als er echter een wet is die zegt dat de gegevens voor een internetverkoop 5 jaar moeten bijgehouden worden, moeten ze dat 5 jaar bijhouden. Maar geen 6 jaar.
Comment
-
Re: Zozo, iemand heeft eindelijk zijn verantwoordelijkheid genomen
GDPR gaat over idd (o.a.) over het beveiligen van persoonlijke gegevens. Login/paswoord zijn net zo goed persoonlijke gegevens dan naam, telefoonnr enz. Dit over een niet beveiligde connectie laten verlopen wil zeggen dat deze gegevens in clear text kunnen gelezen worden (doe zelf de test met bv. wireshark).
BD bewaart en slaat (minstens) login/paswoord/e-mailadres op en moet deze beveiligen (ik mag hopen dat bv. paswoorden gehasht zijn). Als ze bij het inloggen gewoon leesbaar zijn zijn ze niet beveiligd,hé.
Comment
-
Re: Zozo, iemand heeft eindelijk zijn verantwoordelijkheid genomen
Oorspronkelijk geplaatst door on4bam Bekijk berichtGDPR gaat over idd (o.a.) over het beveiligen van persoonlijke gegevens. Login/paswoord zijn net zo goed persoonlijke gegevens dan naam, telefoonnr enz. Dit over een niet beveiligde connectie laten verlopen wil zeggen dat deze gegevens in clear text kunnen gelezen worden (doe zelf de test met bv. wireshark).
BD bewaart en slaat (minstens) login/paswoord/e-mailadres op en moet deze beveiligen (ik mag hopen dat bv. paswoorden gehasht zijn). Als ze bij het inloggen gewoon leesbaar zijn zijn ze niet beveiligd,hé.
BD komt pas mogelijks in de fout als de gegevens op hun database opgeslagen staan en iemand kan ze onrechtmatig gebruiken zonder dat ze voldoende afgeschermd zijn.
Kleine nuance erin.
Stel dat je via briefwisseling (papier) gegevens naar een bedrijf stuurt ... dan is dat bedrijf pas verantwoordelijk van zodra ze die gegevens ontvangen hebben maar niet voor de al dan niet veilige bezorging ervan.
Er ligt ook een verantwoordelijkheid bij de klant, stuur geen gegevens op een onveilige manier, doet men dat wel dan neemt men zelf dat risico.
Als ik u als handelaar een mail stuur met in de signature mijn persoonlijke gegevens, dan bent u toch niet verantwoordelijk als die gestolen worden voordat ze bij u aankomen?
U mag ze daarna enkel veilig verwerken en er op letten dat ze niet misbruikt worden..Canon EOS Digital
BD0479BE
Comment
-
Re: Zozo, iemand heeft eindelijk zijn verantwoordelijkheid genomen
Oorspronkelijk geplaatst door VerSeg Bekijk berichtAls je via een niet beveiligd netwerk gegevens verstuurt, dan is dat niet de fout van BD.
Comment
Comment