Tag: Beveiliging

About Beveiliging

Subscribe Feeds

Mag je door anoniem browsen een paywall omzeilen?

Geplaatst op in Security, 36 reacties

Een lezer vroeg me:

Laatst vond ik in een discussiegroep een link naar een artikel, maar dat bleek achter een paywall te zitten. Nadat ik me daarover beklaagd had, kreeg ik te horen dat ik met anoniem browsen het artikel wél gratis kon zien. Maar is dat geen computervredebreuk dan, ik omzeil dan toch een beveiliging?

De beveiliging waar het hier om gaat, is een cookie: je krijgt bij bijna alle paywall-sites een aantal artikelen gratis, en dat aantal wordt geteld in een cookie. Met anoniem browsen (“private mode”) worden cookies na elke sessie weggegooid, dus staat dat aantal elke keer op nul.

Van computervredebreuk is sprake wanneer je opzettelijk en wederrechtelijk binnendringt in een computersysteem. Een beveiliging of toegangscontrole omzeilen is een mogelijke manier om dat te doen, maar waar het uiteindelijk om gaat is of je weet of moest weten dat je ergens bent in het systeem waar je niet mag zijn.

Met enige fantasie is die cookie-teller als een beveiliging te zien, of kun je het weggooien van het cookie zien als een technische ingreep. Daarmee is aan dat deel van het delict computervredebreuk voldaan.

Blijft over de vraag: ben je wederrechtelijk binnengedrongen? Oftewel ben je ergens waar je niet mag zijn, en ben je daar zonder enige bevoegdheid?

Het lijkt me evident dat als iemand een truc uithaalt om een betaald bericht gratis voor ogen te krijgen, hij computervredebreuk pleegt. Denk aan het gebruik van andermans wachtwoord, of het kapen van iemands inlogsessie om zo die toegang te krijgen. Maar de truc hier is niet gericht op het zoamaar lezen van een betaald bericht; het gaat om het toegang krijgen tot een zesde bericht die maand terwijl je er maar vijf mag lezen.

Dat voelt toch net even anders. Deze berichten zitten niet echt achter een paywall, je staat te lezen in de tijdschriftenwinkel en de juffrouw (m/v) achter de balie snauwt je toe “het is hier geen bibliotheek meneertje (m/v)”. En nu doe je na elk artikel een andere jas aan zodat ze je niet herkent. Ik kan dat moeilijk op één lijn stellen met na sluitingstijd inbreken. Dus nee, ik denk niet dat dit een strafbaar feit is.

Arnoud

Ja duh, natuurlijk moet een stemwijzer werken met https

Geplaatst op in Privacy, 6 reacties

De Autoriteit Persoonsgegevens (AP) heeft onderzoek gedaan naar de beveiliging van websites die interactieve stemhulp bieden, las ik bij Nu.nl. De privacytoezichthouder meldt dat 14 van de 24 onderzochte websites geen gebruik bleken te maken van een versleutelde verbinding, en na de vingertik hebben vier meteen de handdoek in de ring gegooid. De rest is nu over naar een beveiligde verbinding.

De verkiezingen komen er weer aan, dus is het logisch dat her en der stemadviessites zoals Stemwijzer en Kieskompas opduiken. En die kwamen recent in opspraak omdat ze tracking cookies zetten, waardoor bezoekers konden worden gevolgd en -althans in theorie- hun politieke voorkeur kon worden achterhaald.

Dat is een probleem, want politieke voorkeur is niet zomaar een gegeven – dat is een bijzonder persoonsgegeven, waar de Wbp heel streng bovenop zit. Dergelijke gegevens mogen gewoon niet worden verzameld of bijgehouden, behalve in enkele speciale gevallen. Aparte, uitdrukkelijke toestemming is er eentje maar geen hond die die vraagt.

Maar de reden waarom veel sites tracking doen – de eigen dringende noodzaak – staat er niet bij. Vorig jaar werden ziekenhuizen nog gewaarschuwd om die reden dat zij geen tracking cookies mogen plaatsen zonder apart toestemming daarvoor te vragen. Medische en politieke persoonsgegevens zijn voor de wet hetzelfde, dus dat geldt ook hier.

Toestemming vragen onder de cookiewet is een heikel punt. “Door deze site te gebruiken geeft u toestemming”, luidt vaak de redenering. Die is al zeer twijfelachtig, maar bij bijzondere persoonsgegevens écht niet toegestaan. Het verbaast dan ook niet dat stemwijzers nu alleen nog functionele cookies plaatsen.

Ook de beveiliging is een issue. Die moet bij bijzondere persoonsgegevens hoog liggen, dus dat je dan https moet gebruiken, zou voor mij voor zich spreken. Juist ook hier, omdat deze diensten niet alleen aan persoonsgegevens raken maar ook aan het stemgeheim. Je moet immers je politieke voorkeur kunnen bepalen zonder zelfs maar het idee dat iemand je in de gaten houdt en je erop aanspreekt, al is het maar door commerciële profiling en marketing.

Arnoud

‘Meeste bedrijfssites versturen gevoelige gegevens onveilig’

Geplaatst op in Ondernemingsvrijheid, Privacy, 25 reacties

Honderdduizenden zakelijke websites laten gebruikers gevoelige informatie verzenden zonder dat daarvoor van een beveiligde verbinding gebruik wordt gemaakt, blijkt uit een onderzoek van domeinbeheerder SIDN en MKB Servicedesk dat woensdag wordt gepubliceerd. Dat meldde Nu.nl onlangs. De ‘gevoelige gegevens’ zijn meestal NAWE-gegevens, maar ook inloggegevens en wachtwoorden komen voor. Maar liefst 86% van de onderzochte sites doet dat zonder ‘slotje’, https dus. Maar is dat dan verplicht?

Het laten insturen van persoonsgegevens – ook triviale zoals naam en adres – via een website of andere internetdienst mag alleen als de eigenaar daarvan zorgt voor adequate beveiliging. Dat staat al sinds 2000 in de wet (artikel 13 Wet bescherming persoonsgegevens), maar nergens staat wat dat dan precies inhoudt. Er is dus geen eis dat je beveiliging gecertificeerd moet zijn of zelfs maar aan bepaalde specifieke eisen moet voldoen.

De vraag wat ‘adequaat’ is, is dus een lastige om in het algemeen te beantwoorden. Je moet een afweging maken van de risico’s bij een lek tegenover de kosten en moeite om maatregelen te nemen. Perfectie wordt niet verlangd, en het kan ook prima zo zijn dat je bij formulier A een andere beveiliging hanteert dan bij formulier B. Waar het vooral om gaat, is dat je kunt onderbouwen waaróm je voor die of die maatregelen hebt gekozen (of juist waarom je die hebt weggelaten).

Specifiek bij contactformulieren kun je je afvragen of het echt wel nodig is, een SSL-certificaat. Ik zie het nog steeds niet, dat risico. Daar staat tegenover dat SSL tegenwoordig best goedkoop is (zowel qua cpu als qua prijs) en dus eigenlijk een no-brainer zou moeten zijn om toe te voegen. Dus dan wordt het wel een beetje theoretisch verhaal, er kan weinig misgaan maar hoe moeilijk is de maatregel nou?

Bij een login/wachtwoord voelt dat net anders. Daar is er voor mij geen excuus om zonder ssl te werken. Met dat account kun je allerlei dingen, en daarmee zijn er reële mogelijkheden voor fraude of overlast. Dan is de afweging snel gemaakt: no-brainer ter voorkoming van overlast, dat moet gewoon.

Arnoud

Is e-mail nou wel of niet veilig genoeg voor communicatie van basale persoonsgegevens?

Geplaatst op in Privacy, Security, 38 reacties

email-e-mail-elektronische-post-envelopEen lezer vroeg me:

Ik heb een discussie met het waterbedrijf. Zij mailen mij met allerlei informatie, maar nemen elke keer ook naam, adres, klantnummer en dergelijke van mij op. Laatst stuurden ze zelfs mijn bankrekeningnummer in een mail. Op mijn vraag hoe dat zit met bescherming van persoonsgegevens, zei men dat e-mail buiten haar macht lag. Kan dat zomaar?

In het recht kan er veel, maar zelden zomaar. En ik moet zeggen dat ik deze lastiger vind dan hij op het eerste gezicht lijkt.

Een bedrijf is verplicht persoonsgegevens adequaat te beveiligen tegen misbruik en ongeautoriseerde toegang. Wat adequaat is, staat niet in de wet. Je moet dus zelf een afweging maken: welke risico’s zijn er, welke opties zijn er om daartegen te beveiligen en wegen de kosten en moeite daarvan op tegen die risico’s.

E-mail is nou niet bepaald een veilig medium. Berichten gaan onversleuteld over de lijn, en kunnen eenvoudig worden gelezen door allerlei partijen tijdens het transport. Of, wat veel vaker gebeurt: ze gaan naar de verkeerde persoon. Dus e-mail zou snel afvallen in de categorie “hoe transporteren we veilig deze persoonsgegevens naar de klant”.

Daar staat tegenover dat we het hier niet hebben over medische dossiers of gevoelige persoonlijke details. Een naam en adres plus klantnummer kan ik op geen enkele manier een gevoelig gegeven vinden. Ik zie dan ook weinig bezwaar tegen die gegevens per mail sturen bij zaken als de meterstanden opnemen of een zakelijk berichtje naar die klant. (Natuurlijk wel met de vraag, móet dat in die mail, ik weet al waar ik woon immers.)

Wat vinden jullie? Is e-mail principieel onveilig, of moet dit kunnen voor basale persoonsgegevens?

Arnoud

Hoe snel moet je van de wet een nieuwe securitystandaard implementeren?

Geplaatst op in Security, 13 reacties

norm-security-beveiliging-certified-gecertificeerdEen lezer vroeg me:

In de ICT zijn de beveiligingseisen volop in beweging. Het is dus welhaast onmogelijk om deze allemaal stipt na te volgen, zeker bij grote pakketten waar het doorvoeren van wijzigingen vele maanden (zo niet jaren) kan kosten vanwege complexiteit en testen en evaluatie. Is er juridisch gezien een termijn waarbinnen nieuwe standaarden geïmplementeerd moeten zijn?

Dit is een persoonlijke frustratie van mij, maar de wet kent eigenlijk überhaupt geen eis dat je enige security-standaard moet volgen, of zelfs maar dat je product enige security moet hebben. Fysieke veiligheid wel (productveiligheid, art. 6:186 BW) maar je informatiebeveiliging mag volstrekt brak zijn. Ik weet niet waarom.

De enige echte uitzondering is die van systemen die persoonsgegevens verwerken. Daar bepaalt de Wet bescherming persoonsgegevens (art. 13 Wbp) dat je “passende technische en organisatorische maatregelen” moet nemen “om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.”

De in 2013 geformuleerde beleidsregels Beveiliging van persoonsgegevens van de Autoriteit Persoonsgegevens adviseren te handelen binnen een plan­do­check­act­cyclus: beoordeel de risico’s, gebruik erkende beveiligingsstandaarden en controleer en evalueer de resultaten. Er wordt wel naar standaarden verwezen, maar dat laat meteen zien waarom dat niet werkt: het document is uit februari 2013 en de daarin genoemde norm ISO 27002:2007 werd in oktober 2013 ingetrokken.

Uiteindelijk zal het altijd neerkomen op een evaluatie achteraf als het mis blijkt te zijn gegaan. Had dit redelijkerwijs voorkomen kunnen worden met wat voorhanden was, was het redelijkerwijs te verwachten dat deze standaard gevolgd zou worden en hadden we al redelijkerwijs mogen verwachten dat er zou worden geupgrade of was dat gezien de kosten nog niet redelijk? (Met excuses aan de vraagsteller die me nadrukkelijk vroeg de term ‘redelijk’ te vermijden maar dat is ben ik bang een MUST in de zin van RFC 2119.)

Arnoud

Mag ik mijn klanten verplichten SSL/TLS te gebruiken?

Geplaatst op in Security, 37 reacties

security-beveiliging-ketting-slot-chainEen lezer vroeg me:

Mag ik, als hostingprovider, klanten dwingen om SSL/TLS te gebruiken? Via een aantal scripts is het gehele proces te automatiseren, zodat er tijdens het aanmaken van een account een certificaat wordt aangemaakt (via Let’s Encrypt, dus geen meerkosten) en verbindingen vervolgens over SSL/TLS forceren (mod_rewrite en HSTS header). Ik heb veel kleine ondernemers als klant die hier écht steken laten vallen en ik wil ze tegen zichzelf beschermen.

Ik denk dat dit in principe wel kan. Je kunt in je algemene voorwaarden opnemen dat je verlangt dat klanten hun websites en software goed beveiligen, en dat jij maatregelen mag nemen, zoals SSL/TLS beveiligde verbindingen, om dat af te dwingen.

Dit is wel een tikje ongebruikelijk (helaas) dus je moet de klant daar wel expliciet over informeren. Ik zou zelf dat heel proactief willen zien: stuur ze een mail dat er wat mis is, vraag of ze dat binnen 14 dagen willen herstellen en anders doe jij het. Aangenomen dat dit geen nadelige effecten heeft voor de site, zie ik dan het probleem niet.

Maak je dingen wél stuk, dan komt dat op jouw bordje te liggen. En natuurlijk heb je als hoster in je algemene voorwaarden je aansprakelijkheid beperkt, maar bij dit soort handelen gaat dat niet zomaar op. Voor opzettelijk handelen ben je altijd volledig aansprakelijk, en dit neigt daar toch wel een tikje naar. Een hoster zou er dan ook voor kunnen kiezen om te zeggen, binnen 14 dagen herstellen en anders de site in een sandbox of op zwart. (Ja, de wet vindt het erger dat je iets half doet dan wanneer je iemand op zwart zet.)

Arnoud

Mag een werkgever wachtwoorden kraken?

Geplaatst op in Ondernemingsvrijheid, Security, 28 reacties

password-salt.jpgEen lezer vroeg me:

Onze IT-afdeling heeft besloten dat security een extra aandachtspunt wordt en als onderdeel daarvan wil men middels rainbow tables en andere tools alle wachtwoorden uit het bedrijf eens gaan controleren. Ik heb daar moeite mee: ik gebruik sterke wachtwoorden maar bouw die wel op volgens een bepaald patroon, en als dat straks in interne documenten gaat rondzwerven dan schaadt dat juist de security. Mag de werkgever dit wel doen? Er zijn toch betere manieren om de beveiliging te versterken, zoals tweefactorauthenticatie.

Juridisch gezien denk ik dat hier weinig tegen te doen is. De werkgever bepaalt hoe het werk wordt uitgevoerd, dat is haast de definitie van werkgeverschap. Als hij vindt dat je wachtwoord zestien tekens lang moet zijn met maximaal acht letters, dan heb je maar zo’n wachtwoord te verzinnen. Wil hij geen tweefactorauthenticatie, dan zul je je daar als werknemer bij neer moeten leggen.

Het kraken van wachtwoorden om te kijken hoe sterk ze zijn, doet wat gek aan. Ik snap het wel: veel mensen hebben zwakke wachtwoorden, en met zo’n test kun je kijken hoe slecht je ervoor staat, om vervolgens draagvlak te creëren voor sterkere wachtwoorden of regels. Maar het kan vervelend zijn voor mensen die al een eigen, sterk wachtwoord hebben en zich nu verplicht zien een heel ander soort wachtwoord erop na te houden.

Ik weet alleen echt niet hoe je daar iets tegen kunt doen als werknemer. Dit is geen wijziging van je arbeidscontract of een schending van je grondrechten, en apert onredelijk kan ik deze actie ook niet noemen. Dat een andere oplossing sterker is (tweefactorauthenticatie) zie ik meteen, maar dat is echt de keuze van de werkgever. Ik zou dus niets anders weten dan het overleg aangaan en hopen dat de IT-afdeling inziet dat dat een betere besteding van het budget is.

Arnoud

VTech wil dat gebruikers erkennen dat gegevens bij zijn dienst onveilig zijn

Geplaatst op in Ondernemingsvrijheid, 24 reacties

verbodIn de categorie ergernissen waar je ’s ochtends van gaat bloggen: VTech, de maker van elektronisch speelgoed, heeft in zijn algemene voorwaarden opgenomen dat gebruikers erkennen dat informatie die ze via de Learning Lodge-portaal sturen onderschept kan worden. Dat las ik bij Tweakers gisteren. Om scheve jeuk van te krijgen. Ja, het is een standaardzin die ongetwijfeld bij meer bedrijven voorkomt en nee het heeft nul waarde. Maar waarom laten we bedrijven er steeds mee wegkomen?

VTech maakt onder meer elektronisch speelgoed en kwam negatief in het nieuws toen gegevens van meer dan 11 miljoen mensen, waaronder 6,4 miljoen kinderen, lekten door brakke beveiliging van het bedrijf. En wat doe je dan als bedrijf? “These Terms and Conditions have been updated as of December 24, 2015” op je site zeggen met dus

YOU ACKNOWLEDGE AND AGREE THAT ANY INFORMATION YOU SEND OR RECEIVE DURING YOUR USE OF THE SITE MAY NOT BE SECURE AND MAY BE INTERCEPTED OR LATER ACQUIRED BY UNAUTHORIZED PARTIES. YOU ACKNOWLEDGE AND AGREE THAT YOUR USE OF THE SITE AND ANY SOFTWARE OR FIRMWARE DOWNLOADED THEREFROM IS AT YOUR OWN RISK.

Ja, in hoofdletters ook nog. Nee, dat hoeft niet (het is geen exoneratie immers). En leuk en aardig om dat zo te moeten acknowledgen, maar dat heeft dus geen waarde. Privacybescherming verandert geen millimeter door welke disclaimer of andere zin in algemene voorwaarden. Zeker waar het gaat om beveiliging niet: het is gewoon niet toegestaan je beveiligingsplicht tot nul te reduceren. Zelfs niet als de consument expliciet zegt, doe het maar een kilootje minder met je security.

Maar waar ik dan dus écht jeuk van krijg, is de obligate vervolgzin:

Some jurisdictions do not allow the exclusion of certain warranties or the limitation or exclusion of liability for incidental or consequential damages. Accordingly, some of the above limitations may not apply to you.

Het zou écht verboden moeten worden om naar consumenten toe iets van deze strekking te mogen zeggen. Wat er staat: wij zijn niet aansprakelijk, tenzij de wet zegt van wel. Maar iedereen weet dat consumenten weinig begrip van de wet hebben. Daarom vereisen we heldere, duidelijke en complete informatie van verkopers – en wat mij betreft vallen daar de algemene voorwaarden ook onder. Ik vind dus dat je gewoon enkel en alleen positief geformuleerde dingen mag zeggen over je aansprakelijkheid, en dat “may not apply” of “dit doet geen afbreuk aan uw wettelijke rechten” op een zwarte lijst moeten komen. Ga als bedrijf maar gewoon uitzoeken wat de rechten zijn van je consument-klanten en schrijf dat op, het is schandalig dat je dat werk bij je klant legt.

Dus nee. Onzinnig, inhoudsloos en de betreffende jurist mag zich gaan schamen. Maar de eerstvolgende keer dat er iets misgaat bij VTech, weet je al wat de persvoorlichter gaat zeggen en ik heb géén idee hoe het bedrijf te bewegen dit aan te passen. Ergerlijk. En ja, ik ga nu mijn ochtendkoffie halen.

Arnoud

De brakke spullen uit het Internet der Dingen

Geplaatst op in Ondernemingsvrijheid, Security, 26 reacties

webcam-camera-babyDe kwetsbaarheid van “Internet of Things”-dingen is zo gigantisch dat je er maar beter om kunt lachen, las ik bij Ars Technica. Maar eigenlijk is het om te huilen. Men ontdekte dat de IoT-zoekmachine Shodan een zoeksectie had voor kwetsbare webcams, met feeds van van alles en nog wat: voortuinen, achtertuinen, binnentuinen, marijuana-plantages, kinderslaapkamers en ga zo maar door. Hoe kan dat anno 2016 nog zo makkelijk bestaan?

Op brakke beveiliging is niet strafbaar, schreef ik in 2013. Tegenwoordig soms wel: als je persoonsgegevens niet adequaat beveiligt, kun je een boete van maximaal €820.000 opgelegd krijgen. (Bovendien moet je het melden, een aparte nieuwe verplichting). Maar dat gaat over bedrijven die persoonlijke gegevens beheren, niet over bedrijven die apparatuur op de markt brengen. Ik zou niet weten op grond van welk wetsartikel de leverancier van een IP-enabled webcam met fabriekswachtwoord 12345 te beboeten is.

Volgens Ars Technica is de reden hiervoor heel simpel: geld.

Consumers do not perceive value in security and privacy. As a rule, many have not shown a willingness to pay for such things. As a result, webcam manufacturers slash costs to maximize their profit, often on narrow margins. Many webcams now sell for as little as £15 or $20. “The consumers are saying ‘we’re not supposed to know anything about this stuff [cybersecurity],” he said. “The vendors don’t want to lift a finger to help users because it costs them money.”

Ik denk dat het iets subtieler ligt. Mensen geven wel om veiligheid en privacy, maar gaan er vanuit dat een apparaat in een mooi doosje op de plank bij een bekende winkel gewoon veilig is. Auto’s zitten ook netjes op slot, je brood is vers en als een blik tomatensoep ontploft in de koelkast dan verdient dat aandacht in RTL Nieuws om half acht. Dat model van vertrouwen nemen mensen gewoon mee naar digitale apparatuur, ook als die internet-enabled is. Handig joh, dat je op je smartphone de webcam thuis kunt bekijken. Maar het idee dat iedereen dan mee kan kijken omdat hij op een algemeen bekende poort draait en het standaardwachtwoord in de op internet staande handleiding te vinden is, dat speelt niet bij brood of tomatensoep. Dus ook niet bij die webcam.

En nee, het is te makkelijk om dan te zeggen “dan moeten die mensen maar beter nadenken en lezen wat er in de handleiding staat”. Want dat doen mensen niet, en ik vind het ondertussen ook steeds oneerlijker worden om te verwachten dat ze dat wel gaan doen. Ik hoef ook geen handleiding van mijn voordeurslot te lezen – daar staat politiekeurmerk 2 sterren op en de installateur had een keurige blauwe overall aan, dus dat zit wel goed met dat voordeurslot.

Deze bal hoort te liggen bij de leveranciers van deze producten. In Amerika lijkt dat al een beetje door te dringen: Ars Technica citeert een FTC-woordvoerder die zegt “If you don’t have reasonable security then that could be a violation of the FTC Act.” Bij ons vind ik het moeilijk een dergelijke kapstok te verzinnen. Om dit nu onder de conformiteitseis (wettelijke garantie) te schuiven gaat een beetje ver, dat criterium is daar volgens mij niet voor bedoeld.

Ik denk dus dat er echt een wetswijziging voor nodig is om een stok te introduceren om IoT-dingen-produceren te dwingen de veiligheid van hun producten te vergroten. Maar dat gaat een moeizaam proces worden, want het klinkt zo redelijk, dat mensen toch zelf even een handleiding kunnen lezen en een wachtwoord kunnen wijzigen. Maar eh, wees eens eerlijk: wie doet dat bij alle producten in zijn huis?

Arnoud

Mag een spamfilterdienst de beveiliging van e-mail afslopen?

Geplaatst op in Privacy, Security, 9 reacties

spam-verboden.pngEen lezer vroeg me:

Sommige bedrijven bieden een service om alle uitgaande email transparant te scannen op spam/virussen via een soort SMTP netwerk proxy. Als onderdeel van dat proces schakelen ze de TLS encryptie uit, waardoor alle email plain-text wordt afgeleverd naar het internet. Is dat juridisch wel toegestaan?

Er is geen wettelijke regel die expliciet zegt dat e-mail te allen tijde versleuteld moet worden getransporteerd. Je bent als bedrijf dus vrij om te kiezen of en welke beveiliging je hanteert.

Maar wacht. Per 1 januari krijgen we een aanscherping van de privacywet (Wet bescherming persoonsgegevens), die stelt dat persoonsgegevens te allen tijde “adequaat” moeten zijn beveiligd tegen misbruik en ongeautoriseerde toegang. Die norm bestaat al jaren, de aanscherping komt erop neer dat je in theorie acht ton boete kunt krijgen vanaf januari als je hem schendt.

Wat is nu “adequaat” bij e-mail? Helaas zijn daar geen harde regels voor. Het hangt er namelijk vanaf wat voor gegevens er in die e-mail staan. Gaat het alleen om afzender en ontvanger (relatief weinig gevoelig) of worden er in de bijlage medische dossiers verstuurd (nogal gevoelig)? Dat bepaalt voor een groot deel de vereiste beveiligingsmaatregelen om “adequaat” te mogen heten.

E-mail over SSL/TLS transporteren is een simpele maatregel die eigenlijk altijd wel kan. Dus de factor is dat wel het minimum, net zoals SSL op een bestelformulier van een webwinkel de facto vereist is. Als je dat weglaat, dan heb je dus wat uit te leggen.

De logica achter dit proces begrijp ik niet helemaal. Natuurlijk, je kunt geen mails scannen als ze door een beveiligde verbinding lopen, maar waarom zet je dan niet een beveiligde verbinding op naar de virusscannersite?

Arnoud