Vandaag (10 augustus 2011) is de vernieuwde website van het Gemeentearchief Rotterdam (GAR) live gegaan. Ik zag de aankondiging vanmorgen via Twitter langskomen en wilde gelijk een blik werpen. Helaas, alleen een timeout en dus lege pagina. Vanavond gaf de site wel thuis, tijd voor een eerste blik. Nieuw uiterlijk, nieuw adres? 
Het eerste wat me opviel toen ik het vertrouwde www.gemeentearchief.rotterdam.nl in de adresbalk van mijn browser intypte was het feit dat ik werd doorverwezen naar gemeentearchiefrotterdam.deventit.nl. Deventit is volgens de colofon één van de partijen betrokken bij de site, naast archiefontsluiting hebben zij dus denk ik ook de hosting voor hun rekening genomen. Als GAR zou ik graag mijn eigen domeinnaam hebben (en houden) en niet slechts een subdomein van een leverancier… Als gebruiker doet het mij fronsen. De vormgeving ziet er goed uit. Eerste actie die ik altijd onderneem is het zoeken op Coret. Resultaten zien er goed uit, maar ja, het gaat om een nieuwe website en er zijn – voor zo ver ik kan beoordelen – geen extra bronnen beschikbaar gekomen. Naast de mijn bekende foto’s van fotograaf Coret waren er een twintigtal resultaten in de Digitale stamboom. Wat hierbij opviel is dat de resultaten deels worden getoond in de website, maar zodra je er op klikt opent er – onaangekondigd – een nieuw venster naar http://rotterdam.digitalestamboom.nl (zonder enige kop of voettekst of logo), enige desoriëntatie tot gevolg hebbende. Nieuw onderdeel: Mijn Archief… of Mijn Dossier? Eén onderdeel (rechtsboven in de website) trok vrij snel mijn aandacht: Mijn Archief.
Welkom bij Mijn Archief. Mijn Archief is uw eigen, afgeschermde stukje op onze website. Hier kunt u de resultaten van uw zoekacties opslaan, bekijken en bewerken. Komende tijd zullen we de website en Mijn Archief verder ontwikkelen. Nieuwe functionaliteiten zullen beschikbaar komen in Mijn Archief, zoals de mogelijkheid om stukken voor uw bezoek te reserveren.
Even tussendoor: Mijn Archief en ook de Chat is alleen beschikbaar in het Nederlands. Jammer. Het registratie scherm bevat erg veel invulvelden, gelukkig zijn er maar enkele verplicht. Als snel kreeg ik een e-mail ter bevestiging van mijn registratie. Toe viel mijn mond open. 
Ik dacht dat ik mij had geregistreerd voor Mijn Archief, maar de onderwerpregel blijkt dat dit Mijn Dossier heet. Dit zal wel de oude naam zijn, want naast dossiers kun je in Mijn Archief ook Zoekvragen opslaan (daarover later meer). Ik verwachte een e-mail van het gemeentearchief, maar het e-mail adres webcaregar@gmail.com kwam niet gelijk vertrouwenswaardig over, te meer daar Gmail mij ook een waarschuwing gaf. Maar ja, met wat goede wil kun je het adres van het Webcare (moderne term voor dienstverlening richting publiek via Internet) team van het GAR herkennen. Van de inhoud van het e-mail bericht werd ik niet blij en dat is een understatement: ik zag mijn eigen gebruikersnaam èn wachtwoord (in bovenstaande schermafdruk zwart gemaakt)! Dit is een zeer zorgwekkende situatie. Het betekent dat het GAR mijn wachtwoord onversleuteld heeft opgeslagen in hun database en dit ook nog, tezamen met gebruikersnaam, via een onveilig medium als e-mail opstuurt. Een ieder die deze mail toevallig ziet kan dus inloggen met mijn gegevens, alles op een presenteerblaadje. Ik gebruik altijd een ander wachtwoord voor andere sites (moet u ook doen!), maar velen gebruiken hetzelfde wachtwoord voor meerdere sites, wat het onveilig omgaan met wachtwoorden door het GAR nog ernstiger maakt. Wachtwoord overal zichtbaar Het login scherm toont de gebruikelijke Gebruikersnaam en Wachtwoord velden en een vinkje om je gebruikersnaam op je computer op te slaan (in een cookie). Na het inloggen (waarbij ik het vinkje had aangezet om gebruikersnaam te onthouden) was ik benieuwd of de gebruikersnaam inderdaad was opgeslagen. De meeste eenvoudige manier om te kijken welke cookies een site heeft opgeslagen op je computer is door javascript:alert(document.cookie) in te typen in de adresbalk van de browser. Mijn mond viel voor een tweede keer open. 
Wat blijkt? Niet alleen de gebruikersnaam (_garUsername) maar ook mijn wachtwoord (_garPassword) is opgeslagen!! Een ieder die toegang heeft tot uw computer kan eenvoudig uw cookies bekijken en op deze manier zowel de gebruikersnaam als het wachtwoord lezen. Ik hoop dat het GAR geen computers heeft in de studiezaal met deze website, want deze werkwijze is helemaal funest op openbare computers! Je kunt dan eenvoudig de gebruikersnaam en wachtwoord van de vorige gebruiker naar boven toveren. Op het Inloggen scherm ook een vertrouwd Wachtwoord vergeten? link. In de hoop dat hier wel security best-practices zijn gehanteerd klik ik hier op. Op basis van de ingevoerde gebruikersnaam (maar zonder extra beveilig als Captcha) werd mij een e-mail toegestuurd. Door de ervaringen tot nu toe viel mijn mond niet meer open, maar helaas deed dit bericht mijn vertrouwen in de website weer niet goed. 
Het e-mail adres herkende ik nu wel. Maar wie of wat is Atlantis 5 nu weer in de onderwerpregel? En ook hier weer de Mijn dossier term en ja hoor: in plain-text mijn wachtwoord. Zucht. Wees voorzichtig met beveiliging te doorgronden Nieuwsgierig naar wat in “onder de moterkap” aantrof bekeek ik de broncode (HTML) van de site. Wat ik hier aantrof was onder andere een webservice die gebruikt wordt voor bijvoorbeeld de Wachtwoord vergeten? functie. Deze openbare webservice biedt echter meer functies, onder andere met namen als AddUrlExterneBron, DeleteDocument en GetGebruiker. Nu is de lijn tussen beveiliging beoordelen en hacken (wat bij wet verboden is) een dunne, dus voor mij was nu wel het moment gekomen om te stoppen. Je zou toch niet zonder enige beveiliging documenten kunnen verwijderen of gebruikers kunnen opvragen? Mijn zoekvragen Nog even rondklikkende in de Mijn Archief functionaliteit kwam ik op de Uw zoekvragen pagina. Ook hier kreeg het vertrouwen in de site weer een knauw. 
Ik was hier nog nooit geweest en toch waren er al twee zoekvragen in Mijn zoekvragen… Ik kan ze niet weghalen of bewerken van zijn door een andere gebruiker aangemaakt… Nog een login? Een onderdeel in de website dat ik nog niet kende was de Wenskaartenshop. Deze service wordt afgenomen van een derde partij, duidelijk zichtbaar in het adres waar je heen wordt gestuurd: gemeentearchief.sendasmile.com In deze shop kun je dus wenskaarten kopen, er moeten betalingen worden gedaan. Daarvoor moeten we nu dus Sendasmile en niet het GAR vertrouwen. Gelukkig heeft Sensasmile ook een eigen registratie en login functie die op het eerste oog wel voldoet aan security best-practices. Ja, je leest het goed, de login gegevens van het GAR kun je hier niet gebruiken… Conclusie en advies De beveiliging van de nieuwe site van het GAR is ver beneden de maat. Het zijn niet mijn bankgegevens die ik er bewaar maar de wijze waarop de beveiliging nu in geïmplementeerd kan gewoon niet. Als gebruiker heb ik geen vertrouwen in de website van het GAR. Vaak geef ik in dit soort blogpostings ook advies hoe het wel moet. Dit maal volsta ik met de mededeling dat het GAR contact met mij kan opnemen. Verantwoordelijke leveranciers: schaam je. Advies voor bezoekers: laat het Mijn Archief nog maar even links liggen totdat de beveiliging op orde is!
Via Twitter begreep ik al van je dat de beveiliging rammelde, maar dit is wel héél ernstig, Bob. Mij vielen die adressen ook wel op en dat ik mijn wachtwoord in de bevestigingsemail terugvond verbaasde me stevig, maar die blik onder de motorkap van jou slaat alles. Inderdaad zou een leverancier zich hiervoor moeten schamen en ik ben benieuwd naar hun reactie, en naar die van Rotterdam.
Die wenskaartenshop had ik trouwens ook gezien, maar toen ik zag dat je geen gratis ecards kon versturen, was mijn interesse weer weg… Aan inloggen ben ik niet eens meer toegekomen.
Jammer allemaal. En slecht.
Er is een reactie toegezegd, dus afwachten maar…
Geachte heer Coret,
Hartelijk dank voor uw interesse in onze nieuwe website. Wij stellen het zeer op prijs dat u de website kritisch hebt bekeken.
Wij zullen niet schromen om toe te geven dat de website enkele imperfecties heeft. De keuze voor livegang met deze imperfecties is echter zeer bewust gemaakt. Deze keuze is wat ons betreft echter geen slechte keuze. Onze website is in ontwikkeling en zal beter worden, juist door suggesties en opmerkingen die wij van onze bezoekers krijgen. Dit zorgt ervoor dat we uiteindelijk in onze dienstverlening zoveel mogelijk tegemoet kunnen komen aan deze wensen.
Graag willen wij u enkele dingen toelichten naar aanleiding van uw opmerkingen in uw blogbericht:
Nieuw uiterlijk, nieuw adres?
De hosting van onze website is tijdelijk ondergebracht bij Deventit, vanwege de nog in gang zijnde ontwikkeling van het e-depot in samenwerking met Deventit. De omgeving waarbinnen onze oude website draaide, is niet ingericht op een ontwikkeltraject van een dergelijke (grote) omvang. Zodra de ontwikkeling van het e-depot is afgerond, zal de website weer onder de oude url vindbaar zijn.
Zoekresultaten
Op onze nieuwe website zijn geen nieuwe bronnen beschikbaar. De website heeft, naast een nieuw uiterlijk, echter tal van nieuwe onderdelen en functionaliteiten (o.a. encyclopedie, wenskaartenshop, mijn archief, social media) die voorheen niet beschikbaar waren. Overigens heeft Christian van der Ven op zijn blog terecht opgemerkt dat er in de toekomst nog meer nieuwe mogelijkheden op de website zullen komen, waaronder scanning on demand, een wiki en de koppeling met het e-depot. Zoals gezegd, een website in ontwikkeling.
Kleine inconsistenties
Iedere nieuwe website zal kleine inconsistenties bevatten en het is dan ook niet vreemd dat het een ‘work in progress’ is. Bezoekers kunnen inconsequente naamsvermelding (bv. Mijn Archief en Mijn Dossier), naast andere opmerkingen over de website, melden via de speciaal aangebrachte meldknop op de website. Dit soort zaken kunnen na melding dan ook snel worden aangepast. Het webcareteam neemt alle opmerkingen en suggesties zeer serieus en zorgt, indien mogelijk, voor een snelle oplossing.
Beveiliging
Het lijkt er op dat u denkt dat er niet is nagedacht over de beveiliging van de accounts die een bezoeker kan aanmaken op onze website. Hier is enige toelichting van onze kant op zijn plaats: Het wachtwoord wordt niet als plaintext opgeslagen in de database, maar met symmetrische encryptie. U heeft gelijk dat het wachtwoord op een aantal plaatsen. Inclusief e-mail, zichtbaar is als plaintext. Wij gaan de mogelijkheid voor opslaan van wachtwoord en gebruikersnaam tijdelijk uitzetten op de website. In een volgende release zal dit punt zijn opgelost door gebruik te maken van asymmetrische encryptie, zodat het wachtwoord opnieuw moet worden ingesteld en niet meer wordt vrijgegeven.
De door u in de broncode bekeken webservice biedt functionaliteiten per gebruikersgroep. Deze gebruikersgroepen zijn gedefinieerd in de beheerapplicatie en wanneer u in een groep ingedeeld bent die geen rechten op bepaalde functionaliteiten heeft, ziet u deze wel, maar kunt u ze niet gebruiken.
Uiteraard willen wij, los van de door ons te nemen maatregelen, graag met u van gedachten wisselen om de site op het niveau van “security best practice” te krijgen.
Advies voor bezoekers
Het Gemeentearchief Rotterdam staat altijd open voor suggesties om de nieuwe website te verbeteren. Wij willen daarom iedereen adviseren om eventuele opmerkingen of suggesties te melden via de daarvoor bestemde ‘meldknop’ op onze website.
Webcareteam
Gemeentearchief Rotterdam
Update voor gebruikers
De gebruikersnaam en het wachtwoord worden niet meer opgeslagen in een cookie op de computer waar de website wordt geraadpleegd.
Reactie voor GAR
"In een volgende release zal dit punt zijn opgelost door gebruik te maken van asymmetrische encryptie [knip]"
Ik hoop niet dat dit onzin antwoord van jullie leverancier komt…