10 augustus 2011

Geen goed gevoel over beveiliging nieuwe website Gemeentearchief Rotterdam

Vandaag (10 augustus 2011) is de vernieuwde website van het Gemeentearchief Rotterdam (GAR) live gegaan. Ik zag de aankondiging vanmorgen via Twitter langskomen en wilde gelijk een blik werpen. Helaas, alleen een timeout en dus lege pagina. Vanavond gaf de site wel thuis, tijd voor een eerste blik.

Nieuw uiterlijk, nieuw adres?

gar-home

Het eerste wat me opviel toen ik het vertrouwde www.gemeentearchief.rotterdam.nl in de adresbalk van mijn browser intypte was het feit dat ik werd doorverwezen naar gemeentearchiefrotterdam.deventit.nl. Deventit is volgens de colofon één van de partijen betrokken bij de site, naast archiefontsluiting hebben zij dus denk ik ook de hosting voor hun rekening genomen. Als GAR zou ik graag mijn eigen domeinnaam hebben (en houden) en niet slechts een subdomein van een leverancier… Als gebruiker doet het mij fronsen.

De vormgeving ziet er goed uit. Eerste actie die ik altijd onderneem is het zoeken op Coret. Resultaten zien er goed uit, maar ja, het gaat om een nieuwe website en er zijn - voor zo ver ik kan beoordelen - geen extra bronnen beschikbaar gekomen. Naast de mijn bekende foto’s van fotograaf Coret waren er een twintigtal resultaten in de Digitale stamboom. Wat hierbij opviel  is dat de resultaten deels worden getoond in de website, maar zodra je er op klikt opent er – onaangekondigd - een nieuw venster naar http://rotterdam.digitalestamboom.nl (zonder enige kop of voettekst of logo), enige desoriëntatie tot gevolg hebbende.

Nieuw onderdeel: Mijn Archief… of Mijn Dossier?

Eén onderdeel (rechtsboven in de website) trok vrij snel mijn aandacht: Mijn Archief.

Welkom bij Mijn Archief. Mijn Archief is uw eigen, afgeschermde stukje op onze website. Hier kunt u de resultaten van uw zoekacties opslaan, bekijken en bewerken.

Komende tijd zullen we de website en Mijn Archief verder ontwikkelen. Nieuwe functionaliteiten zullen beschikbaar komen in Mijn Archief, zoals de mogelijkheid om stukken voor uw bezoek te reserveren.

Even tussendoor: Mijn Archief en ook de Chat is alleen beschikbaar in het Nederlands. Jammer.

Het registratie scherm bevat erg veel invulvelden, gelukkig zijn er maar enkele verplicht. Als snel kreeg ik een e-mail ter bevestiging van mijn registratie. Toe viel mijn mond open.

gar-reg

Ik dacht dat ik mij had geregistreerd voor Mijn Archief, maar de onderwerpregel blijkt dat dit Mijn Dossier heet. Dit zal wel de oude naam zijn, want naast dossiers kun je in Mijn Archief ook Zoekvragen opslaan (daarover later meer).

Ik verwachte een e-mail van het gemeentearchief, maar het e-mail adres webcaregar@gmail.com kwam niet gelijk vertrouwenswaardig over, te meer daar Gmail mij ook een waarschuwing gaf. Maar ja, met wat goede wil kun je het adres van het Webcare (moderne term voor dienstverlening richting publiek via Internet) team van het GAR herkennen.

Van de inhoud van het e-mail bericht werd ik niet blij en dat is een understatement: ik zag mijn eigen gebruikersnaam èn wachtwoord (in bovenstaande schermafdruk zwart gemaakt)! Dit is een zeer zorgwekkende situatie. Het betekent dat het GAR mijn wachtwoord onversleuteld heeft opgeslagen in hun database en dit ook nog, tezamen met gebruikersnaam, via een onveilig medium als e-mail opstuurt. Een ieder die deze mail toevallig ziet kan dus inloggen met mijn gegevens, alles op een presenteerblaadje. Ik gebruik altijd een ander wachtwoord voor andere sites (moet u ook doen!), maar velen gebruiken hetzelfde wachtwoord voor meerdere sites, wat het onveilig omgaan met wachtwoorden door het GAR nog ernstiger maakt.

Wachtwoord overal zichtbaar

Het login scherm toont de gebruikelijke Gebruikersnaam en Wachtwoord velden en een vinkje om je gebruikersnaam op je computer op te slaan (in een cookie). Na het inloggen (waarbij ik het vinkje had aangezet om gebruikersnaam te onthouden) was ik benieuwd of de gebruikersnaam inderdaad was opgeslagen. De meeste eenvoudige manier om te kijken welke cookies een site heeft opgeslagen op je computer is door javascript:alert(document.cookie) in te typen in de adresbalk van de browser. Mijn mond viel voor een tweede keer open.

gar-cookie

Wat blijkt? Niet alleen de gebruikersnaam (_garUsername) maar ook mijn wachtwoord (_garPassword) is opgeslagen!! Een ieder die toegang heeft tot uw computer kan eenvoudig uw cookies bekijken en op deze manier zowel de gebruikersnaam als het wachtwoord lezen. Ik hoop dat het GAR geen computers heeft in de studiezaal met deze website, want deze werkwijze is helemaal funest op openbare computers! Je kunt dan eenvoudig de gebruikersnaam en wachtwoord van de vorige gebruiker naar boven toveren.

Op het Inloggen scherm ook een vertrouwd Wachtwoord vergeten? link. In de hoop dat hier wel security best-practices zijn gehanteerd klik ik hier op. Op basis van de ingevoerde gebruikersnaam (maar zonder extra beveilig als Captcha) werd mij een e-mail toegestuurd. Door de ervaringen tot nu toe viel mijn mond niet meer open, maar helaas deed dit bericht mijn vertrouwen in de website weer niet goed.

gar-ww

Het e-mail adres herkende ik nu wel. Maar wie of wat is Atlantis 5 nu weer in de onderwerpregel? En ook hier weer de Mijn dossier term en ja hoor: in plain-text mijn wachtwoord. Zucht.

Wees voorzichtig met beveiliging te doorgronden

Nieuwsgierig naar wat in “onder de moterkap” aantrof bekeek ik de broncode (HTML) van de site. Wat ik hier aantrof was onder andere een webservice die gebruikt wordt voor bijvoorbeeld de Wachtwoord vergeten? functie. Deze openbare webservice biedt echter meer functies, onder andere met namen als AddUrlExterneBron, DeleteDocument en GetGebruiker. Nu is de lijn tussen beveiliging beoordelen en hacken (wat bij wet verboden is) een dunne, dus voor mij was nu wel het moment gekomen om te stoppen. Je zou toch niet zonder enige beveiliging documenten kunnen verwijderen of gebruikers kunnen opvragen?

Mijn zoekvragen

Nog even rondklikkende in de Mijn Archief functionaliteit kwam ik op de Uw zoekvragen pagina. Ook hier kreeg het vertrouwen in de site weer een knauw.

gar-zoekvragen

Ik was hier nog nooit geweest en toch waren er al twee zoekvragen in Mijn zoekvragen… Ik kan ze niet weghalen of bewerken van zijn door een andere gebruiker aangemaakt…

Nog een login?

Een onderdeel in de website dat ik nog niet kende was de Wenskaartenshop. Deze service wordt afgenomen van een derde partij, duidelijk zichtbaar in het adres waar je heen wordt gestuurd: gemeentearchief.sendasmile.com In deze shop kun je dus wenskaarten kopen, er moeten betalingen worden gedaan. Daarvoor moeten we nu dus Sendasmile en niet het GAR vertrouwen. Gelukkig heeft Sensasmile ook een eigen registratie en login functie die op het eerste oog wel voldoet aan security best-practices. Ja, je leest het goed, de login gegevens van het GAR kun je hier niet gebruiken…

Conclusie en advies

De beveiliging van de nieuwe site van het GAR is ver beneden de maat. Het zijn niet mijn bankgegevens die ik er bewaar maar de wijze waarop de beveiliging nu in geïmplementeerd kan gewoon niet. Als gebruiker heb ik geen vertrouwen in de website van het GAR.

Vaak geef ik in dit soort blogpostings ook advies hoe het wel moet. Dit maal volsta ik met de mededeling dat het GAR contact met mij kan opnemen. Verantwoordelijke leveranciers: schaam je.

Advies voor bezoekers: laat het Mijn Archief nog maar even links liggen totdat de beveiliging op orde is!