Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Wat je deelt in Workflowy ligt op straat

 

Computable Expert

Lex Borger
Principal Consultant, I-to-I. Expert van Computable voor het topic Security.

Workflowy is een nieuwe getting things done (gtd)-webapplicatie. Het valt op door zijn minimalistische design en het past daarom precies in de mindset van 'getting things done'. Geen afleidingen, overal bereikbaar - als je een internetverbinding hebt, tenminste. Dus Workflowy heeft al snel een schare fans verzameld die zijn actiepunten in Workflowy inklopt en deze schare lijkt nog steeds te groeien.

Als je even de interface bekijkt dan zie je ook hoe gelikt die is. Het is simpel, snel te leren. Nu de hamvraag: is het veilig? Dat is de vraag die wij als professionals al heel snel stellen. Op zoek naar het antwoord vallen me twee zaken op:
- Er is weinig informatie over de security van Workflowy op de website. Er is een privacy-verklaring, maar dat is niet hetzelfde. Deze verklaring is kort en simpel, maar bevat tegenstrijdigheden. 
-  De gebruikers stellen er ook maar weinig vragen over. Kennelijk is de informatie die ze in Workflowy stoppen niet gevoelig, tenminste - niet voor henzelf. Kijken ze ook verder naar hoe dat zit voor hun bedrijf?

Eerst dan even het technische antwoord: Toegang tot Workflowy krijg je alleen als je een account hebt en na een login. Login blijft geldig op een apparaat als je wilt, middels een cookie. Alle verkeer is beveiligd over https. Dus de basis is er voor communicatie en verwerking. En voor opslag? Waar informatie bewaard wordt zeggen ze niet, wel dat je er van uit moet gaan dat dit niet in Nederland of Europa is.

En dan verdere opties van Workflowy: Informatielijsten kunnen met elkaar gedeeld worden, middels een publieke url. Handig voor project-teams. Maar juist deze use-case heeft dus een onveilige component, er wordt geen toegangsbeveiliging op toegepast! En hiernaar gevraagd geven de ontwikkelaars van Workflowy aan dat dit niet erg is, want het is een random url met veel mogelijkheden. Security by obscurity dus. Een prima maatregel in combinatie met andere, maar op zichzelf nooit toereikend. Alles wat je deelt in Workflowy ligt dus op straat.

Dit geeft me te denken over het algehele security concept...

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4461401). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

Workflowy is de bom. Een tijdje terug ben ik er dieper in gedoken en data wordt versleuteld opgeslagen, ook in de database. Wat je schrijft is inderdaad waar. Iedereen die de link heeft kan de data zien. Bij de betaalde versie kun je echter *wel* een wachtwoord instellen. Dus door te betalen verkrijg je wat meer beveiliging.

Daarnaast moet je kijken naar het concept. Ze hebben iets neergezet wat werkt is aan trein. Nu ze momentum krijgen gaan ze dingen bouwen waar gebruikers om vragen. Ik vind dit *de* manier om te werken. Bouw iets simpels dat werkt, en als er inkomsten of momentum komt zullen investeerders willen investeren (je bewijst immers je propositie) en daarna kun je los om het nog beter te maken.

Niets dan lof dus voor Workflowy, maar ik begrijp je punt, maar als je betaald heb je dit al een beetje opgelost.

Prezi doet het nog "erger". Als je niet betaald kan iedereen je presentaties inzien (en ook vinden met zoektermen).

Ik hoop wel dat Workflowy steeds meer duidelijkheid gaan verschaffen hoe ze met beveiliging omgaan.

En zoals je zelf al suggereert, een weldenkend mens gaat het niet gebruiken om zijn wachtwoorden er in op te slaan :-)

Kleine aanvulling: Iedereen die de link heeft kan de data zien -> dit is alleen voor de lijstjes die je deelt met anderen. Als je niets deelt is het gewoon bewaard achter een username en wachtwoord.

Henri, ik ben het helemaal met je eens dat je simpel moet beginnen en dan geleidelijk en vraaggestuurd uitbouwen. En ik vind de interface inderdaad prachtig. Geprikkeld door jouw reactie heb ik opnieuw gezocht, maar ik kan niet echt nadere informatie vinden over de securityvoordelen van een Pro account. Ook is er geen informatie over de dataopslag. Zelfs als ik aanneem dat data versleuteld is, blijven voor mij de vragen: welke versleuteling, wie heeft de sleutel, waar is de geografische locatie van de opslag?

Dus: lof voor Workflowy's functionaliteit, (nog) niet over de beveiliging. En ik hoop echt op verbetering.

En over Prezi: zij geven heel duidelijk aan dat je informatie met een gratis account publiek getoond wordt. Geen probleem dus, wat mij betreft.

Dag Lex,

Ik heb e-mail contact met Workflowy en zal het resultaat hieruit nog met je delen. Ik heb een pro-account maar kan geen wachtwoord meer instellen op werklijstjes. Het is ook uit de Upcoming Features lijst (daar stond het eerst). Ook is de tekst bij Privacy anders. Hier stond eerst expliciet bij dat data versleuteld werd opgeslagen, nu alleen dat het "secure" is. Het doet wel degelijk vermoeden dat data dus ook niet per gebruiker versleuteld is. Zulke wijzigingen zijn wel een kwalijke zaak, ze hadden hier in ieder geval een e-mail over kunnen sturen. Ook zijn overigens een paar opmaak mogelijkheden verdwenen die ik als "pro" members eerst wel had.

Wordt vervolgd.


WorkFlowy is committed to protecting the security of your information and takes reasonable precautions to protect it. Data transmissions for logged in WorkFlowy users are protected by SSL encryption by default, the same technology used by thousands of leading online services such as banks, email providers and remote backup services. However, Internet data transmissions, whether wired or wireless, cannot be guaranteed to be 100% secure and as a result we cannot give a 100% guarantee of the security of information you transmit to us; accordingly, you acknowledge that you do so at your own risk. Once we receive your data transmission, we make all commercially reasonable efforts to ensure its security on our systems:

Your WorkFlowy password is protected by encryption and only you have access to it;
Your personal information and data stored in our systems is protected by various physical, electronic and procedural safeguards. As a rule, WorkFlowy employees do not monitor or view your personal information or content stored in the WorkFlowy service, but it may be viewed if we learn that our Terms of Service may have been violated and confirmation is required, or we otherwise determine that we have an obligation to review it; and
The WorkFlowy service uses standard SSL encryption to protect data transmissions. However, this is not a guarantee that such data transmissions cannot be accessed, altered or deleted due to firewall or other security software failures.

Sorry voor de spam, maar toch maar even plaatsen voor latere lezers:

Ik was even uitgelogd en heb een bogus account aangemaakt en daar heb ik op Settings gedrukt en op "Pro" daar staat nog wel de belofte van password protected sharing.

Why should you upgrade?
Unlimited Lists
Pro users can make as many lists and items as they want. Non-pro users are limited to 500 per month.
Backup to Dropbox
Never worry about losing your WorkFlowy data. Have full backups automatically uploaded to your Dropbox account every day.
Offline Editing
(Coming soon) Want to use WorkFlowy when you're not online? Go Pro!
Password Protected Collaboration
(Coming soon) Pro users can share parts of their WorkFlowy document to specific people, verified by email address and password.
Theme and Fonts
Pro users get to change the look and feel of WorkFlowy with a library of themes and fonts. Make your WorkFlowy more personal.
Premium Support
We answer emails from Pro members first.

Ik heb een e-mail wisseling met Jesse Patel -een van de twee founders- waarin hij bevestigd dat data niet versleuteld opgeslagen wordt. Dit bevestigd in ieder geval wat je in dit artikel stelt, en het is dus nog iets erger. Toegang tot de database betekent toegang tot alle data. Ik heb het belang onderstreept en ik hoop dat hier nu prioriteit aan gegeven wordt. Ik zou een bedrijf in ieder geval niet adviseren om Workflowy te adopteren.

Mijn allereerste reactie op dit artikel is dus fout. Excuus.

Henri, klasse!

Ik had graag een andere uitkomst gehad, ik hoopte dat het opgelost kon worden met meer informatie vanuit Workflowy.

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×