30 berichten aan het bekijken - 1 tot 30 (van in totaal 34)
  • Q:
    Bijdrager
    Hanhart

    Hoe veilig is e-mail?

    Dag iedereen,

    Zoals sommigen onder julie weten ben ik een filmstudent. Momenteel schrijf ik mijn scenario’s in Celtx, maar ik zou eigenlijk willen overschakelen naar Final Draft. (www.finaldraft.com)

    Final draft kost $249 (€179), maar met studentenkorting is deze, via de officiële website, te krijgen voor $129 (€92). Om deze studentenkorting te krijgen moet je echter een formulier invullen. (http://www.finaldraft.com/mm_media/mm_pdf/special-discount-offer.pdf) Op dit formulier moet je naast je persoonlijke informatie ook je VISA informatie (ik heb VISA ter beschikking) invullen. Dit formulier moet je vervolgens e-mailen, faxen, of versturen via post.

    Je VISA gegevens mailen of opsturen met de post lijkt mij ontzettend dom. Of heb ik het mis? Is e-mail veiliger dan ik denk? Ik ben niet van plan om dit te doen, want het lijkt me te onveilig, maar ik vroeg me af of die gevoel “gerechtvaardigd” is.

    De Apple Store in België vraagt, met studentenkorting, €210. Geen idee waarom.

    Bijdrager
    PvdO

    Met aangetekende post versturen zou een oplossing kunnen zijn, is er nog iets niet in orde dan klaag je het postbedrijf aan voor schending van het briefgeheim.

    Bijdrager
    Hanhart

    Een aangetekende brief is misschien wel een goede oplossing.

    Maar een rechtszaak… Dat is ook weer zo’n gedoe.:razz:

    Bijdrager
    PvdO

    De kans dat dat gebeurt is dan ook wel heul klein, voor zover ik weet. Ik weet niet hoe betrouwbaar de Belgische posterijen zijn, maar dat zal wel goed zitten vermoed ik.

    Bijdrager
    Hanhart

    Yup, dat zit wel goed.:)

    Ik snap alleen het omslachtige systeem van de mensen achter Final Draft niet. Het zou toch veel klantvriendelijker kunnen…

    Bijdrager
    Vinhelper

    Maar hoe bedoel je het?

    Denk je dat je gegevens onderweg naar de verkeerde personen uitlekken, of ben je bang dat Finaldraft gaat zeggen dat ze nooit iets hebben ontvangen?

    In het eerste geval alleen aangetekende post, daar kan vrijwel niets mee misgaan.

    In het tweede geval aangetekende post+mailen+faxen+zelf in de brievenbus duwen. Dan moet je lef hebben als bedrijf om te zeggen dat je het niet hebt ontvangen.:lol:

    Bijdrager
    Hanhart

    Ik ben bang dat de e-mail in de verkeerde handen terechtkomt. Betalen met VISA via bvb Amazon vertrouw ik, omdat het beveiligd is. Een e-mail adres hacken lijkt me, in tegenstelling tot bvb Amazon hacken, simpel. Ik zou keihard balen mochten de VISA gegevens gevonden worden door iemand die het e-mail adres van Final Draft heeft gehackt.

    En zoals jij al zegt, ik ben ook bang voor het uitlekken van de gegevens tijdens het verzenden van de e-mail.

    Het is onwaarschijnlijk, maar toch….

    Bijdrager
    hendrik ijzerbroot

    Dergelijke web formulieren gaan als het goed is via HTTPS. Dit protocol wordt gebruikt voor betalings transacties en beschermd tegen “man-in-the-middle-attacks”.

    Banken echter zullen gevoelige info altijd per gewone (neutrale) brief versturen.
    Als het geen HTTPS is (maar e-Mail zou dat automatisch moeten zijn) moet je maar gebruik maken van de gewone post want zelfs inloggen bij een uitzendbureau gaat via HTTPS….

    Bijdrager
    stavos
    Vinhelper op 08 maart 2011

    In het eerste geval alleen aangetekende post, daar kan vrijwel niets mee misgaan.

    Ik heb ruim 6 jaar bij de post gewerkt en een aangetekende zending is alles behalve zekerheid. Toegegeven, het is beter dan normale post en de ene aangetekende bestelling is de andere niet, maar dat er “vrijwel niets mee mis kan gaan” is echt een fabel. En jah, ik lees ook dat je het woord “vrijwel” gebruikt…

    Bijdrager
    Vinhelper

    Maar zo’n fout is niet zonder gevolgen. Evenals normale post die zwaar beschadigd aankomt.

    Er kan veel misgaan, maar je hoeft er normaal gesproken niet van uit te gaan. Pech kun je altijd hebben.

    Bijdrager
    stavos

    Wat ben je ook weer lekker naief.. Gevolgen naar aanleiding van fouten met een aangetekende bestelling? Hahahaha!! Jij denkt ook dat het verzenden van pakketjes van bijv. bol.com altijd goed gaat? Of dat de subtiel verpakte zending van de Playboy niet opvalt?

    Bijdrager
    Лукас

    En enveloppen waar een nieuwe pincode instaat zijn ook makkelijk te herkennen. Niks of niemand doet iets op de post in een blanke envelop wat niet op standaard post-card formaat is. Behalve banken die ‘niet op willen vallen’. Security by obscurity heet dat en is per definitie erg zwak.

    Bijdrager
    Vinhelper

    @stavos: Whut?

    Ik kan niet zo goed volgen waar je nou naartoe wilt.

    Voor een aangetekende bestelling moet iemand tekenen. Tekent er de verkeerde persoon (of i.i.g. iemand die de juiste ontvanger niet tijdig op de hoogte brengt), is het postbedrijf verantwoordelijk. Raakt het helemaal kwijt, idem dito.

    En ik heb het zelf al een keer gehad: een deel van een bestelling van bol.com is nooit bij mij aangekomen. De TNT heeft toen de boel moeten vergoeden aan bol.com, en bol.com aan mij.

    Tot zover weet ik het. (een vroegere buurman werkte al jaren bij de post) vandaar ook de kennis.

    Bijdrager
    stavos

    Dit neigt weer naar off topic gedrag, maar ik ga het toch uitleggen (PB schijnt ook niet te werken bij Vinhelper..). Misschien dat TS iets aan de uitleg heeft over aangetekende zendingen en daarmee de veiligheid van zijn gegevens, waar het in dit draadje immers over gaat. En daarnaast staan er onder de uitleg ook nog suggesties voor het probleem van TS.

    Vinnie, jouw kennis via die vroegere buurman is incompleet. Het postbedrijf is namelijk lang niet altijd de verantwoordelijke. Wanneer een postbode de wijk ingaat, moet hij ook tekenen voor de ontvangst van een aangetekende bestelling. Daarmee is het postbedrijf zijn verantwoordelijkheid kwijt. De postbode kan op zijn (of haar) beurt weer van die verantwoordelijkheid afkomen door de bestelling op de juiste manier af te leveren, of wanneer dit niet lukt de zending weer in te leveren op het rayon, waarbij er opnieuw getekend wordt voor overdracht.
    Tuurlijk, de postbode werkt voor het postbedrijf, maar omdat er getekend is, ligt de verantwoordelijkheid bij de besteller en niet meer bij het bedrijf. In het geval van waardevolle zendingen is dit ook een wettelijk middel dat gebruikt wordt door een postbedrijf om schade te verhalen of andere stappen te ondernemen. En dat is allemaal weer verzekeringstechnisch een verhaal apart, waar ik nu niet verder op in ga..
    Dat het postbedrijf door veel mensen als verantwoordelijk wordt gezien (en daarmee aansprakelijk), komt alleen maar omdat het bedrijf voor een klant wel benaderbaar is en een individuele postbesteller niet.

    Maar waar mensen werken worden fouten gemaakt. En zo ook bij postbedrijven. Het missen van een (interne) handtekening bij zending overdracht, het tekenen door een onrechtmatige ontvanger, foutieve informatie bij legitimatieplicht, het “verdwijnen” van zendingen of handtekeningformulieren.. Het zijn enkele voorbeelden van (terugkerende) fouten. En helaas (voor de ontvangers) spreek ik (deels) uit ervaring. Overigens zijn dat geen ervaringen die ik met enig eigen belang heb opgedaan..

    Uiteraard is deze uitleg gebaseerd op de Nederlandse postmarkt. Hoe het internationaal is geregeld, weet ik niet.

    Schade is vaak wel te verhalen, dat maakt immers deel uit van de aangetekende bestelling en daar betaal je ook voor. Maar de schade die er is opgelopen is niet altijd volledig te herstellen. En in het geval van TS, waarbij het om persoonsgegevens gaat, kan ik me heel goed voorstellen dat je dan niet op een aangetekende brief gaat vertrouwen. Daarom haak ik ook in op dit draadje.

    @Hanhart;
    Wat eventueel een oplossing zou kunnen zijn, is dit probleem voorleggen aan het bedrijf waar je de software wilt aanschaffen. En daarbij voorstellen om de benodigde gegevens gespreid aan te leveren (meerdere emails, verschillende email adressen, of zelfs deels email/deels fax…). Geen waterdichte oplossing, maar mochten er gegevens ongewenst bij derden belanden, dan betreft dat geen complete informatie. Maar om te zorgen dat alle gegevens correct verwerkt worden voor je bestelling, zal het betreffende bedrijf daar wel over geïnformeerd moeten worden..

    Een andere mogelijkheid is misschien om iemand anders (school / bedrijf / stageplek) de software te laten bestellen en voor te schieten..?

    Bijdrager
    vogel

    Moet die aanschaf met studentenkorting per se via het verzenden van creditcardgegevens via mail? Kan dit niet, zoals eerder aangegeven via een https-protocol in de browser? Ik zou eerlijk gezegd link uitkijken met het verzenden van dit soort gegevens via mail en ook via aangetekende post. Er hoeft ergens in de keten maar een fout te worden gemaakt…

    Bijdrager
    Hanhart

    @ Vogel

    Inderdaad, dat is mijn grootste zorg. Ik snap ook niet dat het niet via de website kan…

    @ Anderen

    Bedankt voor alle informatie.:)

    Bijdrager
    Vinhelper

    Bedankt voor de uitleg.:thumbsup: Ik zie niets offtopic, het gaat toch allemaal over post en mail e.d.?

    Bijdrager
    Afroman

    Hij heeft het over het bord voor je hoofd.

    Bijdrager
    vogel

    Was dat ook per aangetekende post verstuurd? Dan is het deze keer in ieder geval aangekomen!:grin:

    Bijdrager
    michelvdb

    Er bestaat ook zoiets als PGP.

    Bijdrager
    Hanhart
    michelvdb op 08 maart 2011

    Er bestaat ook zoiets als PGP.

    Interessant! Bedankt.

    Bijdrager
    iep
    stavos op 08 maart 2011

    Maar waar mensen werken worden fouten gemaakt. En zo ook bij postbedrijven. Het missen van een (interne) handtekening bij zending overdracht, het tekenen door een onrechtmatige ontvanger, foutieve informatie bij legitimatieplicht, het “verdwijnen” van zendingen of handtekeningformulieren.. Het zijn enkele voorbeelden van (terugkerende) fouten. En helaas (voor de ontvangers) spreek ik (deels) uit ervaring. Overigens zijn dat geen ervaringen die ik met enig eigen belang heb opgedaan..

    Dan ben je denk ik hier zelf degene die het niet helemaal begrijpt. Er is geen waterdichte methode om gegevens te versturen ongeacht welke je ook neemt en dat is ook absoluut niet de bedoeling van de dienst waar we het nu over hebben (helaas een veelvuldig gemaakte fout). Je kunt niet verwachten dat iemand z’n leven geeft om jouw gegevens te beschermen. Als iemand de postbode of de provider een mes op de keel zet en de inhoud van de brief eist zal zo’n iemand terecht voor z’n eigen leven kiezen.

    Post die je aangetekend verstuurt valt onder een aantal voorwaarden waarvan je er nota bene zelf nog eentje verderop in je post noemt! Omdat je een overeenkomst afsluit betekent dat beide partijen zich daar ook aan moeten houden. Bij post gaat dat echter een stuk verder vanwege wetgeving waaraan met name de TNT moet voldoen. Daar gelden dus twee zaken. Het hele idee van dat verhaal is niet om volledig te voorkomen dat je gegevens in de verkeerde handen vallen. Nee, het idee is om dat zo goed en zo kwaad mogelijk tot het minimum te reduceren. Je hebt straf mogelijkheden wanneer het postbedrijf zich niet aan de afspraken houdt maar dat zijn vooral dingen die je toe kunt passen als het kwaad al geschied is. Als daar schade uit ontstaan is er wel zoiets als schadeloosstelling.

    Het stukje over verantwoordelijkheden bekijk je uit de verkeerde hoek en is verder ook niet goed verwoord. De klant doet zaken met TNT, niet met de postbode. Vanuit de klant gezien is de TNT (en dus eenieder die de TNT vertegenwoordig zoals een postbode en een postbezorger) dan ook verantwoordelijk, niet een bepaald individu of functie binnen die organisatie. Juridisch bekeken is de TNT gewoon verantwoordelijk voor de post, immers er is een overeenkomst tussen de klant en de TNT. Daarnaast is er ook nog eens een persoonlijke verantwoordelijkheid. Een postbode moet zich aan de postwet houden, maar hij dient ook een goed werknemer te zijn. Als de werkgever hem iets geeft dat bezorgd moet worden dan moet ie dat wel doen. Ook dat valt onder zijn verantwoordelijkheid. Als hij dat niet doet dan heeft hij het nodige uit te leggen. Dat is overigens niet anders als bij andere bedrijven.

    Schade is vaak wel te verhalen, dat maakt immers deel uit van de aangetekende bestelling en daar betaal je ook voor. Maar de schade die er is opgelopen is niet altijd volledig te herstellen. En in het geval van TS, waarbij het om persoonsgegevens gaat, kan ik me heel goed voorstellen dat je dan niet op een aangetekende brief gaat vertrouwen. Daarom haak ik ook in op dit draadje.

    Zoals gezegd kun je dan geen zaken doen omdat niets te vertrouwen is. Er bestaat geen 100% waterdichtheid bij wat dan ook. Je kunt dat beter roepen dan wat je nu doet, dit is gewoon pure paniekzaaierij en een nogal foutieve/kromme uitleg van de risico’s bij o.a. het aangetekend versturen.

    Het genoemde PGP (lees: pgp/gpg) is daar ook een mooi voorbeeld van, ook dat is dusdanig te misbruiken dat je alsnog berichten kunt decoderen. Dat “web of trust” kent zo zijn zwakheden. Het gebruik van pgp/gpg is vaak ook niet eens mogelijk. Het moet namelijk aan beide kanten geïnstalleerd en gebruikt worden. De kans dat de andere kant je berichten niet kan decoderen is nogal groot. Mail kan standaard niet met pgp/gpg omgaan maar zou dat met een plugin wel kunnen (mits die plugin nog werkt, laatste keer dat ik keek was dat niet het geval). Dan kom je al snel uit bij een alternatief: certificaten. En ja, ook dat kent weer z’n voor- en nadelen (certificaten gesigneerd door een CA die niet bekend is zullen worden geweigerd; het root certificaat van de CA moet dan eerst geïnstalleerd worden).

    Als ik de TS was zou ik contact opnemen met die firma en eens informeren naar alternatieve bestelwijzen. Wellicht dat er via een dealer besteld kan worden die wel gebruik maakt van een webshop die met https werkt of waar je het ding in een fysieke winkel kunt kopen. Mocht dat niet werken dan ben ik vrij snel geneigd om naar de concurrent te stappen (wil vaak ook nog wel eens een handig pressiemiddel zijn). Al dat gedoe met versleutelen is gewoon te lastig.

    Bijdrager
    stavos

    Je bekijkt het hele verhaal als klant van een postbedrijf en legt het ook zo uit. Mijn uitleg is verteld vanuit het oogpunt van een postbode (lees; mijn praktijk ervaring als ex-postbode). Maar het komt op hetzelfde neer.
    En je kunt prachtig beschrijven hoe het allemaal geregeld is en hoe het zou moeten gaan, maar dat betekent niet dat daar in de praktijk niet van afgeweken wordt.. En dat is exact wat ik met mijn uitleg duidelijk wil maken..

    Bijdrager
    vogel

    Allemaal leuk en aardig, en misschien offtopic, maar waarom zou ik als klant dan in hemelsnaam nog aangetekend versturen?

    Bijdrager
    Hailstorm

    Sterker nog, welk zichzelf respecterend bedrijf wil nog schriftelijk cc-gegevens ontvangen?

    On-topic. Standaard e-mail is zo veilig als een open brievenbus. Niet dus.

    Bijdrager
    hendrik ijzerbroot

    En dan dit…..
    Denk je iets goed te doen, wordt je ontslagen…

    Bijdrager
    iep
    vogel op 09 maart 2011

    Allemaal leuk en aardig, en misschien offtopic, maar waarom zou ik als klant dan in hemelsnaam nog aangetekend versturen?

    Vanuit juridisch aspect. Het geeft je een wat zwaarder bewijskracht. Als het mis gaat kun je naar het postbedrijf of de ontvanger wijzen. Voor bepaalde mededelingen e.d. is dat van belang.

    Het versturen van persoonlijke gegevens is echter van een geheel andere orde. Met post wordt al sinds jaar en dag de truc met licht gebruikt: brief tegen het licht houden om de inhoud te kunnen bekijken. Vandaar dat veel enveloppen van binnen zijn gecoat. Dan maakt aangetekend versturen al geen moer uit. Bij e-mail zijn er soortgelijke trucs en bij het gebruik van https ook (je kunt namelijk een man in the middle attack uitvoeren wanneer je de webserver hackt; ssl kent namelijk op dat punt een vulnerability). Een fax valt ook af te tappen en ga zo maar door. Je hebt dan ook niet de keus uit veilig en onveilig maar uit onveilig en minst onveilig. Aan jou de keus.

    @stavos: het lijkt mij nogal logisch om het vanuit klant perspectief te bekijken aangezien het hier om een mogelijke klant gaat. Hoe dat allemaal intern gaat boeit niet. Het gaat om de rechten en plichten die de klant heeft en hoe zinnig ze zijn.

    @hendrik: me dunkt als je post open maakt die niet voor jou bestemd is dan is dat schending van het briefgeheim. Dit soort dingen mag ook niet bij e-mail trouwens (zie stukken over afluisteren en aftappen in de Wet Computercriminaliteit 2).

    @TS: op de weblog van Arnoud Engelfriet staat een aardig stukje over veiligheid van e-mail. Hij heeft meer artikelen over e-mail.

    Bijdrager
    stavos

    Het gaat er wel degelijk om hoe het ook intern gaat, wat het gaat in dit geval om persoonsgegevens. En persoonlijk zou ik dan graag willen weten hoe daar mee omgegaan wordt. En welke rechten, plichten en voordelen ik daarbij zou hebben, wegen niet op tegen het risico en de eventuele schade die daar tegenover kunnen staan..

    LOL trouwens. Door die reactie naar hendrik toe realiseer ik me dat ik ook wel eens post open heb gemaakt als postbode zijnde. En allemaal buiten het briefgeheim om.. Dus ook daar zijn uitzonderingen op.

    Bijdrager
    hendrik ijzerbroot

    De kamer van koophandel vond het overigens een goed initiatief van die postbezorger. Tenslotte is hun naam geschaad. En vergeet niet dat er toen al “duizenden” bedrijven waren (dan denk ik al gauw aan ±8000) die deze €150 reeds betaald hadden, dus dat is een schadepost van €1,2 miljoen.

    Het briefgeheim is overigens grondwettelijk beschermd in de meeste landen, dus strikt genomen handelt Sandd naar de letter der wet. Er is namelijk altijd een gerechtelijk bevel voor nodig wil b.v.b. justitie iemands post in zien.
    Bij e-mail evenwel ligt dit anders: dat is namelijk niet grondwettelijk beschermd en hoewel het strafbaar is als een provider zomaar ‘mee leest’ kan het noodzakelijk zijn de inhoud te bekijken in het geval van een technisch probleem en heeft ook justitie meer bevoegdheden om e-mail te controleren.

    Nu is het weliswaar zo dat post niet geopend mag worden door andere dan de geadresseerde, maar er zijn hier andere belangen in het spel die vanuit een bepaald standpunt meer waard zijn dan het briefgeheim. De link verteld overigens niet hoe het verder afgelopen is, voor het zelfde geld is het ontslag terug gedraaid.

    Bijdrager
    stavos
    hendrik op 10 maart 2011

    Nu is het weliswaar zo dat post niet geopend mag worden door andere dan de geadresseerde, maar er zijn hier andere belangen in het spel die vanuit een bepaald standpunt meer waard zijn dan het briefgeheim.

    Dat was dus ook de argumentatie die ik had, om na goedkeuring van mijn leidinggevende, de betreffende post destijds toch te openen.

30 berichten aan het bekijken - 1 tot 30 (van in totaal 34)

Je moet ingelogd zijn om een reactie op dit onderwerp te kunnen geven.