Computable.nl
  • Thema’s
    • Carrière
    • IT Strategy & Governance
    • Cloud & Infrastructure
    • Data & AI
    • Security & Risk
    • Software & Development
    • Digitale werkplek
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Awards
    • Computable Awards
    • Nieuws
    • Winnaars
    • Partner worden
    • Inzendingen
    • De jury en experts
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Magazine
    • Magazine
    • Adverteren in het magazine
  • Nieuwsbrief

Home » IT Strategy & Governance

Offline werken maakt webapplicaties onveilig

23 februari 2009 - 11:07ActueelIT Strategy & Governance

Webapplicaties die klanten offline door laten werken, zijn onvoldoende beveiligd tegen database-aanvallen via SQL-injecties op de computer van de klant. Dit probleem kan bijvoorbeeld opduiken zodra iPhones en Android-toestellen hun gebruikers offline toegang bieden tot Gmail.

Webapplicaties die gegevens lokaal opslaan om de klant de gelegenheid geven ook offline door te kunnen werken, brengen overmoedde beveiligingsrisico’s met zich mee. Dat demonstreerde ‘beveiligingsevangelist’ Michael Sutton vorige week op beveiligingsconferentie Black Hat in Washington.

Sutton liet zien hoe aanvallers toegang kunnen krijgen tot lokaal opgeslagen betaalgegevens van gebruikers van Paymo.biz. Het beveiligingslek binnen deze online betaalmethode is inmiddels gerepareerd, maar volgens Sutton ligt een soortgelijk gevaar op de loer bij een groeiend aantal sites.

SQL-injectie
Het probleem wordt veroorzaakt doordat een toenemend aantal webapplicaties klanten toestaat om lokaal gegevens op te slaan, zodat ze offline door kunnen blijven werken.

Voorbeelden van browseropslagtechnieken die dit gevaar met zich meebrengen zijn (Google) Gears, en de databaseopslagfunctionaliteit in een toekomstige versie van het html-protocol (HTML5). Zowel Gears als HTML5-databaseopslag staan webapplicaties toe om inhoud lokaal op te slaan in relationele databanken, door gebruik te maken van het SQLite databaseformaat.

Sutton schrijft hierover op een weblog: "Dat biedt krachtige functionaliteit doordat webapplicaties nu offline kunnen worden gebruikt, zoals dat onlangs bij Gmail is gebeurd. Tegelijkertijd biedt het mogelijkheden voor nieuwe aanvallen omdat opgeslagen gegevens nu kunnen worden benaderd op de desktop en niet alleen op de server. Omdat we van doen hebben met een relationele databank, kun je je afvragen: is SQL-injectie mogelijk aan de kant van de klant? Helaas is het antwoord op die vraag ‘ja’."

iPhone en Android
Volgens Sutton zijn dit soort aanvallen niet puur theoretisch. "Het is relatief eenvoudig te doen, door het algemeen voorkomen van XSS (cross-site scripting)-kwetsbaarheden." Volgens Sutton wordt de kans op problemen bovendien alleen maar groter, want er komen steeds meer webapplicaties op basis van Gears. Gebruik van HTML5-databankopslag zal ook niet lang meer op zich laten wachten. Zo gaan de iPhone en Android-gebaseerde toestellen offline toegang tot Gmail bieden via het gebruik van de nieuwe versie van dit internetprotocol.

 

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Videobeveiliging naar de cloud

    Ontwikkelingen in videobeveiliging en cloud-gebaseerde securityplatformen

    Computable.nl

    Route naar digitale autonomie en soevereiniteit

    Van A(merikaans) naar Beter. Complexiteit zit niet in de nieuwe locatie, maar de weg er naar toe.

    Computable.nl

    Comeback? Private Cloud heroverwogen.

    Waarom regie, security en controle opnieuw centraal staan

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Awards-nominaties

    Pijl naar rechts icoon

    Check Point

    Nadia van Beelen (Sales Associate, Check Point Technologies)
    Pijl naar rechts icoon

    ForceFusion

    Amber Quist (Cyber security specialist, ForceFusion)
    Pijl naar rechts icoon

    Hyperfox

    Vereenvoudiging bestelproces bij Duplast, specialist in voedselverpakkingen (Duplast en Hyperfox)
    Pijl naar rechts icoon

    Prodek Solutions BV

    Compleet pakket voor digitale aansturing duurzame energie bij Odura (Odura en Prodek Solutions)
    Pijl naar rechts icoon

    Norday

    Hyper-gepersonaliseerde cultuurpodcasts die nieuwe bezoekers vaker laten terugkomen via Wondercast (Norday en het Rotterdams Philharmonisch Orkest)
    Alle inzendingen
    Pijl naar rechts icoon

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    Cloud & Infrastructure

    Yielder bouwt aan de volgende fase: pe...

    Yielder ondersteunt organisaties over de volle breedte van hun digitale omgeving. Van werkplek en connectiviteit tot cloud en security. De organisatie heeft een vijftiental regionale specialisten samen in één groep...

    Meer persberichten

    Meer lezen

    IT Strategy & Governance

    Nederland derde op EU-innovatieranglijst

    Soevereiniteit

    Toezichthouders pleiten voor versnelling digitale autonomie

    IT Strategy & Governance

    Betrouwbare Ai? 7 criteria voor verantwoord gebruik

    IT Strategy & Governance

    Nederland krijgt agentschap voor disruptieve innovaties naar voorbeeld van Darpa

    Encryption

    Je cryptowallet is misschien minder anoniem dan je denkt

    Phishing

    Rol Arie van Bellen bij ECP uitgekleed

    ...

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Computable Awards
    • Magazine
    • Ontvang Computable e-Magazine
    • Cybersec e-Magazine
    • Topics
    • Phishing
    • Ransomware
    • NEN 7510

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten
    • Blogwire

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2026 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs