Informatie over de klantenzone

Alle handelingen binnen onze paswoordzone, inclusief het inloggen zelf, zijn versleuteld via een SSL-certificaat om een maximale veiligheid te verzekeren.

SSL staat voor Secure Socket Layer en is een algemeen aanvaarde beveiligheidstechniek ingebouwd in elke gangbare browser: Internet Explorer, FireFox, Safari...
Uw browser geeft aan de hand van een 'slotje' aan wanneer u zich op een SSL-beveiligde pagina bevindt. Door te dubbelklikken op het slotje bekomt u meer informatie over het SSL-certificaat (geldt niet voor Safari).

SQL-­Injections
Onze host staat ingeschreven op de security mailing-­list. Elke belangrijke security update wordt binnen 24u gepatched.

Cross-site scripting
De website heeft hier verschillende technieken om dit te voorkomen. 
Cleartext submission of password
Hiervoor is een SSL-­certificaat toegevoegd op de server.

File path traversal
Bij het opvragen van een PDF wordt gecheckt of de gebruiker wel toegang heeft tot de desbetreffende PDF in de database. Indien niet wordt de toegang geblokkeerd.

Voor CSV-bestanden wordt een andere techniek toegepast. Op basis van de combinatie klantnummer en een base64_encode met string replace wordt toegang verleend tot het bestand dat live wordt samengesteld.

No anti-­CRSF Token
De website geeft standaard een form_build_id mee bij elk formulier in een hidden field.
Password field with auto-­complete enabled
Het attribuut autocomplete="off" is toegevoegd op het wachtwoord veld in het login-­‐scherm.

Cookie without HttpOnly flag set
Alleen de sessiecookie wordt httponly geflagged. Voor alle andere cookies staat dit uit.

Open redirection
Het veld "domein" wordt niet in de website gebruikt waardoor geen redirect kan plaatsvinden.

Cookies