Ik denk dat de bovenstaande techniek steeds vaker toegepast zal worden. De URL is dan het wachtwoord. De gedachte is dat als je het document kunt downloaden, je ook de inhoud kan delen met anderen. De URL delen met anderen is dan net zo veilig.

Als je vervolgens in een webpagina zelf die URL publiceert is er niet echt sprake van een “geheim wachtwoord” meer he? De hoeveelheid links die via google, het bekijken van de source van een webpagina of het uitzetten van javascript op die manier te benaderen is, is ook zo groot dat je niet meer kan zeggen dat je niet wist dat deze manier van beveiligen niet doeltreffend is. Iedereen die een beetje op Internet rondsnuffelt komt op deze manier al op plekken waar de maker van website liever niet heeft dat je er komt.

Een bordje achter het raam met “de sleutel van de voordeur ligt onder de bloempot naast het hekje” lijkt me geen afdoende beveiliging van je voordeur.

Je zult per sessie een aparte URL moeten gaan genereren met een of andere rewrite rule en die dan weer in een of andere database op moeten slaan om uiteindelijk de juiste content naar de browser te sturen, als je om de (HTTP) authenticatie voor alle content heen wilt. Ik denk dat het dan efficienter gaat zijn om die authenticatie maar aan te laten, dat kost minder programmeren en processorkracht op de webserver.

Simpel gesteld: ik heb een hek om een weiland gezet met bordjes erbij. Iemand haalt een bordje weg en maakt een gat in het hek. Vervolgens lopen mensen door dit gat het weiland op. Zijn die dan strafbaar?
Idem met deeplinken naar plaatjes en artikelen online. Ik maak hier een link naar dit plaatje en bezoekers hier volgen de link. Is dat dan strafbaar?

Dit is volgens mij nog een sterk grijs gebied dat per situatie beoordeeld moet worden. Maar strafrecht is tussen de staat en de beklaagde. Auteursrecht is tussen twee personen. En de staat kan wel besluiten dat de zaak te onbelangrijk is om tot verdere vervolging over te gaan. Tja, en dan? Ik denk dat dit de strafrecht-route minder efficient maakt dan de auteursrecht route.

Bij computervredebreuk hoef je geen beveiliging te doorbreken sinds een paar jaar. Zolang je weet dat je op verboden terrein bent, ben je strafbaar. De vraag is dan: als je Javascript opzettelijk uitzet omdat je weet dat de toegangscontrole dan niet meer werkt, weet je dan dat je op verboden terrein gaat?

WvS art 361

Die werkt hier niet voor, denk ik.

Toch interessant. We kijken wel naar auteursrechten op het Internet, maar waarom kan in sommige gevallen niet het “Wetboek van Strafrecht” worden toegepast op bepaalde computer-overtredingen? Artikel 272 en verder, bijvoorbeeld. Gaat over het schenden van geheimplicht. Maar goed, dan valt het weer onder strafrecht wat door de officier van justitie wordt behandeld en die heeft vaak wel betere dingen te doen dan gezeur over een slecht-beveiligde site die opeens wordt “gekraakt”.

In de echte wereld wordt gewerkt met sloten, deuren, hekken, prikkeldraad en dergelijke. Zou zoiets niet ook in de virtuele wereld moeten gelden?

Als er in de echte wereld alleen een bordje staat “Verboden toegang, WvS art 361″ dan is dat toch ook voldoende. Als je daar aan voorbij gaat ben je toch ook in overtreding of zelfs strafbaar.

Probleem is dat als je het excuus kunt gebruiken dat je een waarschuwing niet hebt gezien, dat je dan ook niet die aanwijzing hoeft op te volgen. Is leuk als ik weer een bon voor te hard rijden krijg want dan zeg ik gewoon dat ik het bord niet heb gezien omdat er op dat moment een vrachtwagen tussen mij en het bord reed…

Dan kun je je afvragen of je zo niet ook copyright op foto’s kunt omzeilen simpelweg door een link naar een plaatje door te sturen naar iemand anders, waarop die ander deze vrij door kan kopieren omdat hij hem ontving zonder enige copyright-claims. En ja, wat mag je doen met een plaatje als je een link ernaar ontvangt zonder tekst? Links zoals deze of deze? Twee plaatjes, zomaar op een site die hier hard worden gelinkt. (Arnoud kent ze overigens al.) Aan de link kun je niet zien welke rechten eraan hangen. Overigens zul je op de bijbehorende site al helemaal niets interessants vinden omdat deze al een tijdje ongebruikt is.

En als ik nou zeg dat de maker van die plaatjes ze in het “Public Domain” heeft gedoneerd, is dat dan iets waar je op mag vertrouwen? Je weet immers niet wie de echte maker is. Kijk, als ik zou zeggen dat ik ze heb gemaakt dan heeft die bewering ook waarde. Maar zolang ik niet toegeef dat ik ze heb gemaakt en op mijn site heb gezet dan zit je als bezoeker toch in een twijfelachtig gebied. Wat mogen anderen dan doen met deze plaatjes? Als er al enige afscherming op de site zit dan merk je daar dus niets van met die directe links. Dus de plaatjes dienen beter afgeschermd te worden of beter te worden voorzien van licenties die iemand eenvoudig moet kunnen lezen.

Bij plaatjes kun je nog in de EXIF header extra informatie plaatsen, waaronder dus de licentie voor het plaatje. En er zijn ook truuks om te voorkomen dat directe links naar afbeeldingen niet werken. Maar veel mensen weten eigenlijk vrijwel niets van EXIF headers, laat staan dat ze deze kunnen lezen. En het blokkeren van directe links maakt een site weer iets langzamer en heeft soms vreemde bijwerkingen.

Dus de vraag: mag iemand deze plaatjes gewoon elders publiceren? Of de links naar deze plaatjes? (En nee, niet op de site zelf zoeken naar mogelijke licentie-teksten! )

Typisch gevalletje van “security through obscurity” wat in de praktijk neerkomt op “geen beveiliging”.