Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief
hacker beveiliging security

De gevaren door het Ruby on Rails-lek

14 januari 2013 - 14:52OpinieCloud & Infrastructuur
Winfred Peereboom
Winfred Peereboom

Onlangs werd DigiD offline gehaald vanwege een probleem in het onderliggende ontwikkelplatform. Zelf werd ik niet verrast door dit lek in het Ruby on Rails-framework. Hoewel open source frameworks in mijn optiek net zo betrouwbaar zijn als ‘betaalde’ frameworks, worden hier gewoon ontwikkelfouten gemaakt. Dat de overheid gebruik maakt van open source fameworks en dan specifiek voor DigiD, kan je ter discussie stellen. Hier wil ik echter niet nader op in gaan. Wel wil ik de focus leggen op de gevaren die hierbij ontstaan.

De problemen die bij DigiD hebben waarschijnlijk betrekking op het lek dat 2 januari 2013 gevonden is. Ruby on Rails heeft de mogelijkheid om zogeheten ‘magic functions’ te gebruiken, zodat je eenvoudig kan zoeken naar specifieke data in de database. Dit kan ontwikkelwerk vereenvoudigen en de code duidelijker maken.

Toch is het zo dat op deze manier op een zeer laag niveau van de applicatie veranderingen plaats kunnen vinden. Concreet komt dit neer op het aanpassen en ophalen van gegevens uit de database. Het gevaar voor de eindgebruiker is dan simpelweg dat zijn gegevens op straat komen te liggen. De hacker zal nog best wat moeite moeten doen om encryptie van wachtwoorden en dergelijke te ontrafelen, maar de basale gebruikersinformatie is beschikbaar en aanpasbaar.

Partners die gebruikmaken van DigiD-integratie, zoals Werk.nl, hebben hier ook direct last van. Hun dienst is afhankelijk van de inlogprocedure en check bij DigiD. Het is voor mij een blackbox in hoeverre er data tussen de systemen van Werk.nl, Belastingdienst en anderen richting DigiD er eventueel ook beschikbaar zijn.

Aangezien het een hele basale fout in het framework is, hebben veel partijen hier last van. Vooral als deze partijen de applicatie aan het boze internet beschikbaar stellen. Ik adviseer dan ook iedereen om de Ruby on Rails-installatie zo snel mogelijk te patchen met de security update.

Winfred Peereboom
Projectmanager & teamlead development
De Persgroep

Meer over

DigiDEncryptieHackingOpensourcePatchesRuby (on Rails)

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Beveiliging begint bij de Server

    Waarom lifecycle-denken cruciaal is voor IT-security

    Computable.nl

    Bouw de AI-organisatie niet op los zand

    Wat is de afweging tussen zelf bouwen of het benutten van cloud?

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Meer lezen

    Computable.nl
    ActueelCloud & Infrastructuur

    ‘Dienst gebouwd op Ruby on Rails moet offline’

    Computable.nl
    ActueelCloud & Infrastructuur

    Logius haalt DigiD offline na lek in Ruby on Rails

    Computable.nl
    ActueelCloud & Infrastructuur

    ‘Maatwerksoftware deed DigiD de das om’

    Computable.nl
    ActueelCloud & Infrastructuur

    ‘Lek Ruby on Rails snel dicht door open source’

    Hacking
    ActueelCloud & Infrastructuur

    NCSC waarschuwt voor lek in Joomla add-on

    OpinieOverheid

    Onverklaarbare platformkeuzes bij de overheid?

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Ontdek de toekomst van IT-support en m...

    Op 16 september 2025 vindt in de Jaarbeurs in Utrecht een gloednieuw event plaats dat volledig is gericht op IT-professionals:...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine
    • Topics

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs