Vergelijkingssite OnlineFactureren.net heeft aanbieders van online facturatie en boekhouding getest op de implementatie en configuratie van de HTTP security headers. Slechts 40 van de 108 aanbieders weten een voldoende te behalen.
Vorig jaar schreef ik een vergelijkbaar artikel over de (destijds zeer slechte) implementatie van SSL bij deze partijen. Veel van hen hebben de SSL configuratie naar aanleiding van dat artikel op orde gebracht. Ik hoop met dit artikel ook meer bewustzijn te creƫren over een andere beveiligingstechniek; de HTTP Security Headers.
HTTP security headers controleren het verkeer van websites en kunnen bepaald verkeer weren. Het juist configureren van security headers is een goed middel om hackers buiten de deur te houden om zo de data van de gebruiker te beveiligen. Zo kan o.a. het gebruik van SSL versleuteling worden geforceerd, kunnen cross-site scripting (XSS) aanvallen worden geweerd en kunnen Man-in-The-Middle (MiTM) aanvallen worden uitgesloten.
“Slechts 40 van de 108 aanbieders weten een voldoende te behalen.”
Uit de test blijkt dat het overgrote deel van de aanbieders HTTP security headers onvoldoende heeft geïmplementeerd. Hierdoor zijn deze aanbieders vatbaar voor bovengenoemde aanvallen waarbij persoonsgegevens en data kunnen worden buitgemaakt door derden.
In de lijst hieronder staan de aanbieders met de behaalde score. De waarderingen zijn op basis van een onafhankelijke analyse door SecurityHeaders.io en worden dagelijks automatisch bijgewerkt.
Druk op om het rapport in te zien.
Het grootste deel van aanbieders hebben het implementeren van de HTTP security headers nog niet hoog op de prioriteitenlijst staan, en dat is jammer. Zeker websites die financiële informatie verwerken hebben hierin een hoge verantwoordelijkheid. HTTP security headers zijn eenvoudig te implementeren en geven de gebruikers van online boekhoudsoftware meer zekerheid en beveiliging. Er is dus geen enkele reden om hier geen gebruik van te maken.
Onderstaande websites bieden accurate en technische informatie over de werking en implementatie van HTTP security headers:
https://scotthelme.co.uk/hardening-your-http-response-headers/
https://www.keycdn.com/blog/http-security-headers/
https://blog.appcanary.com/2017/http-security-headers.html
https://www.smashingmagazine.com/2017/04/secure-web-app-http-headers/
https://geekflare.com/http-header-implementation/