eID-module voor Drupal is onveilig

02/03/10 om 11:00 - Bijgewerkt om 10:59

Bron: Datanews

De eID-module voor Drupal is onveilig en niet conform de privacywet. Dat stelt securityexpert Zion Security.

De eID-module voor Drupal is onveilig en niet conform de privacywet. Dat stelt securityexpert Zion Security.

De Belgische elektronische identiteitskaart biedt heel wat mogelijkheden voor authenticatiedoeleinden en het gebruik ervan wordt dan ook sterk aangemoedigd. De 'Belgian eID Login'-module die door 'coworks_dieter' en medewerkers wordt aangeboden voor de Drupal-omgeving is evenwel onveilig en niet conform de privacy wetgeving, aldus een blogposting van Erwin Geirnaert op de website van Zion Security.

Bondig gesteld maakt de module een ongeoorloofd gebruik van het rijksregisternummer (een inbreuk op de privacy wetgeving), is een deel van het dataverkeer niet versleuteld en wordt het geheel op een onveilige wijze aangewend. Bovendien zou de module zelf ook heel wat bugs bevatten, stelt Erwin Geirnaert, die dan ook ten stelligste afraadt deze module voor productiedoeleinden aan te wenden.

Bijzonder verstoord was Geirnaert dat ook na contact met de auteurs. Die stelden dat er geen probleem was en sloegen blijkbaar ook eventuele hulp af. "Het is een goed initiatief", stelt Geirnaert, "maar zo slecht uitgevoerd en dan nog zo'n reactie." Op de blog klinkt dan ook de teleurstelling door dat "initiatieven als Owasp en SANS Institute Secure Coding zinloos zijn als mensen niet willen veilige code schrijven en de impact van security bugs vergeten."

Lees meer over:

Onze partners