Vanwege mijn vakantie deze week geen nieuwe blogs. In plaats daarvan een terugblik op de afgelopen tien jaar: ik heb vijf populaire blogs geselecteerd en kijk er anno 2017 graag nog eens naar met jullie.
Vandaag: Wanneer URL-manipulatie strafbaar is als computervredebreuk,
De man die de kersttoespraak van koningin Beatrix op internet vond, heeft zich strafbaar gemaakt. Zoiets zei ik Eerste Kerstdag [2012] tegen de NOS. En dat maakte nogal wat los. URL’s zijn toch openbare adressen, wat op een server staat is niet geheim, er wordt niets gekraakt, dit is toch pure domheid van de RVD, en ga zo maar door. Ja ja dat klopt allemaal en de RVD is ook een stel prutsers maar het blijft een feit dat binnendringen óók zonder iets te kraken strafbaar is.Sinds 2006 hebben we een brede definitie van computervredebreuk: ieder opzettelijk en wederrechtelijk “binnendringen” in een computersysteem is strafbaar, ook als er niets wordt gekraakt, omzeild, geïnjecteerd of vervalst. Zodra je ergens bent waarvan je wéét dat je er niet mag zijn, ben je formeel al in overtreding. En ik zie werkelijk niet waarom dat wél zou gelden bij een SQL injectie en niet bij een trivialer vorm van URL-manipulatie – zoals bij de kersttoespraakurl waarbij het een kwestie was van jaartal en UID aanpassen. Beiden zijn aanpassen van URLs.
Ik blijf het een hele moeilijke kwestie vinden. Volgens mij komt het uiteindelijk 99% neer op de intentie van het manipuleren van die URL. Een logische voor de hand liggende URL intypen (uit de comments: nl.wikipedia.org/wiki en dan eh Arnoud_Engelfried) voelt heel anders dan met getallen gaan spelen in de hoop dat je iets krijgt waarvan je wéét dat het er nog niet is. Zoals op 24 december de video van de kersttoespraak die is aangekondigd voor de 25e.
Wat me opviel bij teruglezen van de discussie is dat veel mensen een wezenlijk verschil zien tussen een ID aanpassen en dingen als SQL injectie of buffer overflows, die je toch ook via de URL doet. Zit hem het verschil dan in hoe moeilijk het is om dit te doen? Een ID aanpassen kan een kind, een buffer overflow exploiteren vereist toch enige expertise (of een gegoogeld script).
Of gaat het erom dat een ID duidelijk herkenbaar is als een ID, zodat aanpassen daarvan in de lijn der verwachtingen ligt? Zo van, hier zit een grote rode knop, natúúrlijk gaan mensen daarop klikken. Natuurlijk gaan mensen 201112253998 veranderen in 201212254003. Dat is gewoon, eh, een logisch volgend getal, beetje rare interface maar ik blader gewoon. En SQL injectie is dan anders omdat dat volstrekt onlogisch is om te doen. Niemand heet “Robert’); DROP TABLE students –” immers. Of Robert Oot dan wel Jennifer Null.
Peins peins.
Arnoud