Onderwerp: Ontwikkelaar verkrijgt toegang tot NS-api voor treintijden

http://tweakers.net/nieuws/73527/ont...eintijden.html

Weer een mooi voorbeeld hoe overheidsgeld verspilt wordt door een slechte implementatie...
Unsecured authenticatie anno 2011... komaan dit mag toch niet meer voorkomen.

Tja dan konden we dat ook doortrekken voor facebook en twitter. Want die gebruikte vroeger ook geen https maar simpele http. Maar het is inderdaad te zot voor woorden dat overheden en openbare bedrijven zo laks met veiligheid om gaan.

Oorspronkelijk geplaatst door beenske

http://tweakers.net/nieuws/73527/ont...eintijden.html

Weer een mooi voorbeeld hoe overheidsgeld verspilt wordt door een slechte implementatie...
Unsecured authenticatie anno 2011... komaan dit mag toch niet meer voorkomen.

Het is altijd aardig prijsschieten op een grote club, maar als ik die thread doorlees en kijk bij de ontdekker is er geen echt groot probleem, en zou SSL vrij weinig toevoegen.

De ergernis zou eerder zijn dat je als app-schrijver weer een password (van de NS-app, niet de telefoongebruiker) moet sniffen om van een Api gebruik te kunnen maken die gewoon open zou moeten zijn.

Want het gaat om een generieke naam/password *van de App*, niet van de telefoongebruiker.

Ja, puur inline sniffen helpt niet meer als ze dat over SSL zouden versturen, maar mogelijkheden genoeg om toch mee te kijken wanneer je de browser en OS omgeving onder controle hebt; Beetje meer moeite.
In die context kan ik ook een bewuste keus van een NS developer nog wel begrijpen als die SSL toevoegen zinloze moeite zou vinden;
't zou natuurlijk ook onwetenheid/laksigheid kunnen zijn, en dan moet je vrezen dat dat ook gebeurt waar het wel kwaad kan, maar in dit geval vind ik de stampei van de stuurlui aan wal niet terecht.