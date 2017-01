SafeShops is een belangenvereniging voor webshops actief in België. De resultaten van hun beveiligingsonderzoek werden vandaag gepresenteerd tijdens het SafeShops Café in Antwerpen. Samen met de beveiligingsexperts van Better Access onderzocht SafeShops 406 Belgische webshops op diverse aspecten van hun digitale beveiliging.

Het ging om een passieve beveiligingstest. Dat betekent dat er niet werd geprobeerd om effectief in te breken in de website, wat overigens illegaal zou zijn. In de plaats maakte Better Access gebruik van algemeen beschikbare analysetools voor het beoordelen van het beveiligingsniveau van een webshop.

Encryptie

Volgens Jan Guldentops van Better Access, die de uitkomst van de test presenteerde, is SSL de hoeksteen van beveiliging voor webshops. Met een SSL-certificaat kan de communicatie tussen de webshop en de webshopbezoeker immers volledig versleuteld gebeuren. Met andere woorden: de uitgewisselde gegevens zijn onleesbaar in het geval iemand ze onderweg zou kunnen onderscheppen, de zogenaamde man-in-the-middle aanval. Dat is met name belangrijk bij het uitvoeren van betalingen.

Voor een webshop lijken de implementatie van SSL en https dan ook een absolute must. Toch blijkt anders uit de cijfers die Guldentops toonde. Uit de tests die Better Access uitvoerde bij iets meer dan 400 Belgische webshops, blijkt dat 20,2 procent helemaal geen gebruikmaakt van SSL.

Foute SSL

“Nog erger dan géén SSL is echter een slechte SSL”, aldus Guldentops. En ook daar loopt het mis, met liefst 35,22 procent van de webshops die een ‘foute’ SSL-implementatie hebben. Dat kan zijn omwille dat het certificaat niet meer geldig is, het certificaat self-signed is, of het een veiligheidsscore van C of slechter krijgt. Voor dat laatste zette Better Access trouwens de Qualys SSL-test in, iets wat overigens iedereen gratis zelf kan doen via de website van Qualys.

Uiteindelijk kreeg slechts 44,58 procent van de geteste webshops een goed rapport wat betreft hun SSL-certificaat.

Naast SSL bekeek Better Labs ook de beveiliging tegen phishing-mails, en de softwareversie waarop het webplatform draaide.