Sinds geruime tijd ben ik via mijn werk bij Conrad Electronic lid van de werkgroep Fraude & Veiligheid en gisteren was er sinds lange tijd weer een vergadering. Tijdens de vergadering kwam het al dan niet verplicht stellen van SSL ter sprake n.a.v. een onderzoek van Networking4all. Dit voerde tot een interessante discussie, wat verder voerde dan alleen het verplicht stellen van het via SSL versleutelen van persoonlijke en betaalgegevens.Veilig?

Persoonlijk ben ik van mening dat elk zichzelf respecterende webwinkel het bestelproces (persoonlijke- en betaalgegevens) via SSL (Secure Sockets Layer – klik op SSL voor een uitleg in Wikipedia) en een geldig SSL-certificaat zou moeten coderen. Aan de ene kant ter bescherming van de privacy van je klanten en aan de andere kant ook als extra vertrouwen, waardoor je klanten niet afschrikt tijdens het bestelproces. Echter vooral kleinere webwinkels willen de kosten van een SSL-certificaat graag besparen en betalingen via iDEAL zijn standaard al beveiligd, doordat ze bij de banken zelf plaatsvinden. Zij vinden dit dan afdoende beveiliging…

Maar wat bijna iedereen vergeet (of misschien zelfs voor lief neemt) is dat zo goed als alle webwinkels een bestelbevestiging per e-mail sturen na binenkomst van een bestelling. Deze e-mailbevestiging wordt echter zonder enkele vorm van beveiliging verzonden, want beveiligde e-mail wordt bijna niet ingezet door “gewone” gebruikers. In de orderbevestiging staan dan vaak alle gegevens, zoals adres, afleveradres, betaalwijze, etc. Enkele webwinkels schijnen het zelfs helemaal bont te maken door ook gegevens als een bankrekening in de e-mail te vermelden.

Dus alle moeite van het coderen ten spijt, gaan alle gegevens naderhand alsnog onbeveiligd over het internet en dit is op het moment algemeen geaccepteerd. Klanten worden zelfs vaak boos als een gedetailleerde orderbevestiging uitblijft. Dit is eventueel op te lossen door de orderbevestiging alleen beschikbaar te stellen achter een inlog, maar dat zorgt dan weer voor irritaties, want niet iedereen wil een inlog aanmaken of inloggen alleen voor het bekijken van de orderbevestiging.

Ik ben benieuwd wat hier in de toekomst uit voort komt…

No Comments »