Beveiliging online boekhoudpakketten onvoldoende (deel 2)

Freddie Leeman
Ondernemer, vader en fulltime nerd in hart en nieren. Altijd op zoek naar uitdagingen.
Geschreven op 16-08-2017 om 10:25 - bijgewerkt op 29-09-2020 om 06:21

Vergelijkingssite OnlineFactureren.net heeft aanbieders van online facturatie en boekhouding getest op de implementatie en configuratie van de HTTP security headers. Slechts 43 van de 111 aanbieders weten een voldoende te behalen.

Vorig jaar schreef ik een vergelijkbaar artikel over de (destijds zeer slechte) implementatie van SSL bij deze partijen. Veel van hen hebben de SSL configuratie naar aanleiding van dat artikel op orde gebracht. Ik hoop met dit artikel ook meer bewustzijn te creƫren over een andere beveiligingstechniek; de HTTP Security Headers.

Wat zijn HTTP security headers?

HTTP security headers controleren het verkeer van websites en kunnen bepaald verkeer weren. Het juist configureren van security headers is een goed middel om hackers buiten de deur te houden om zo de data van de gebruiker te beveiligen. Zo kan o.a. het gebruik van SSL versleuteling worden geforceerd, kunnen cross-site scripting (XSS) aanvallen worden geweerd en kunnen Man-in-The-Middle (MiTM) aanvallen worden uitgesloten.

“Slechts 43 van de 111 aanbieders weten een voldoende te behalen.”

Testresultaten

Uit de test blijkt dat het overgrote deel van de aanbieders HTTP security headers onvoldoende heeft geïmplementeerd. Hierdoor zijn deze aanbieders vatbaar voor bovengenoemde aanvallen waarbij persoonsgegevens en data kunnen worden buitgemaakt door derden.

In de lijst hieronder staan de aanbieders met de behaalde score. De waarderingen zijn op basis van een onafhankelijke analyse door SecurityHeaders.io en worden dagelijks automatisch bijgewerkt.

Druk op    om het rapport in te zien.

Conclusie

Het grootste deel van aanbieders hebben het implementeren van de HTTP security headers nog niet hoog op de prioriteitenlijst staan, en dat is jammer. Zeker websites die financiële informatie verwerken hebben hierin een hoge verantwoordelijkheid. HTTP security headers zijn eenvoudig te implementeren en geven de gebruikers van online boekhoudsoftware meer zekerheid en beveiliging. Er is dus geen enkele reden om hier geen gebruik van te maken.

Meer informatie

Onderstaande websites bieden accurate en technische informatie over de werking en implementatie van HTTP security headers:

https://scotthelme.co.uk/hardening-your-http-response-headers/
https://www.keycdn.com/blog/http-security-headers/
https://blog.appcanary.com/2017/http-security-headers.html
https://www.smashingmagazine.com/2017/04/secure-web-app-http-headers/
https://geekflare.com/http-header-implementation/