Als je een beveiligde website bezoekt zul je meestal in plaats van http:// https:// zien staan in het adres. Er verschijnt dan een klein slotje voor of achter het adres. Dit betekent dat de website gebruik maakt van het beveiligde http protocol: http secure (vandaar de s).

Hoe werkt https?
HTTPS bestaat uit twee onderdelen:
1) Eerst wordt de beveiligde verbinding opgezet: ussen de browser en de server wordt gekeken of de verbinding volgens de instelling van een SSL certificaat verloopt (Secure Sockets Layer). Dit wordt de handshake genoemd.
2) De informatie van bijvoorbeeld een formulier wordt daarna versleuteld in de browser, gaat vervolgens versleuteld over de lijn en wordt tot slot ontsleuteld op de webserver. Dit geldt ook voor de antwoorden van de webserver naar de bezoeker. Doordat de informatie onderweg versleuteld is kan deze – als het onderweg onderschept zou worden – niet ontsloten worden. Dit is met name van belang voor wachtwoorden, creditcard gegevens e.d.

Hoe wordt de informatie versleuteld?
De sleutels die nodig zijn voor de versleuteling en ontsleuteling worden (in de handshake) meegestuurd tussen de browser en het SSL certificaat van de server. Dit servercertificaat wordt uitgegeven voor een specifiek domein en een uniek IP-adres. Daardoor is het niet mogelijk om hetzelfde certificaat na te bootsen op een ander domein of IP-adres.

Niet alleen teksten kunnen gekopieerd worden van je website, maar ook afbeeldingen. Nog vervelender is het als alleen de link naar een afbeelding (of document) wordt gebruikt. Zo wordt namelijk ook nog eens je bandbreedte 'geleend'. Dit verschijnsel, het gebruiken van de link naar een document van een andere website zonder toestemming, wordt hotlinking genoemd.

Hotlinking ontdekken
1) Kijk in de eerste plaats of je site eventueel last van hotlinking kan hebben. Dit doe je met een hotlinking checker.
2) Bekijk de statistieken van je afbeeldingen. Als deze uitzonderlijk veel bezocht worden kan dit een indicatie zijn.
3) Gebruik speciale software. Bijvoorbeeld visohotlink.

Hotlinking preventie
Er zijn verschillende maatregelen die je kunt nemen om hotlinking te ontmoedigen of te voorkomen:
1) Geef duidelijk in de copyright sectie van je site aan dat je niet van hotlinking gecharmeerd bent.
2) Neem een copyright teken op in je afbeelding. Ook al gebruikt iemand deze dan, dan zie je toch nog dat het jouw materiaal was.
3) Maak het technisch onmogelijk. Hoe? Lees verder.

Als je gebruik maakt van open source pakketten (zoals WordPress of Joomla) zul je relatief vaak te maken hebben met upgrades van de software. Zo'n 3 a 4 per jaar. Vaak zijn ze noodzakelijk vanwege security issues. Het is verstandig met deze upgrades goed rekening te houden als je een site hebt of laat maken. In dit artikel 10 tips uit mijn ervaring.

1) Upgrade, maar niet direct
Het komt soms voor dat een upgrade van een pakket niet goed uitpakt. Dat blijkt meestal binnen een paar dagen na zo'n upgrade. Mijn advies daarom: upgrade, maar wacht een paar dagen. Zo bleek de WordPress upgrade 2.1.2 voorzien te zijn van hackerscode, waardoor de upgrade zelf een probleem bleek te worden. Zet nooit de versie van je software op je site of ergens in je broncode.

2) Test een upgrade altijd eerst op een testserver
Ga niet direct je upgrade op de live versie van je website maken, maar test dit eerst op een testserver. Dit kan je eigen ontwikkelserver zijn of een testserver die je daarvoor speciaal inricht. Als dat goed gaat en je de belangrijkste functionaliteiten van je site goed hebt getest, upgrade dan je liveserver.

3) Maak eerst een goede backup
Maak een backup van zowel de bestanden van je website (dus ook alle documenten en afbeeldingen) als van je database. Haal die naar een andere server voordat je begint met je upgrade. Dit geldt overigens ook voor een upgrade op je testserver!

4) Zet voordat je begint met een upgrade plugins uit
Noteer alle plugins die je gebruikt en zet die uit voordat je gaat upgraden! Zet ze na je upgrade weer aan. Dit voorkomt veel problemen. Het komt wel eens voor dat een plugin niet meer blijkt te werken onder een nieuwe versie van je software. Door die eerst uit te zetten voorkom je dat je ergens in het upgrade proces blijft steken. Er zijn plugins die je hierbij kunnen helpen. Zo gebruik ik binnen WordPress de WP Enhanced plugin manager die je helpt om een set aan plugins in 1x te deactiveren en te activeren. Dit scheelt je veel tijd.

Vandaag kreeg ik een onverwacht bericht van eBay waarin mij vriendelijk werd verzocht om mijn wachtwoord te wijzigen. Als ik dit niet binnen een week zou doen zou mijn account worden opgeheven. Dit soort berichten roept natuurlijk direct al enig argwaan op, dus ga eerst na of het wel een echt bericht is. Misbruik van e-mail of websites om gebruikersnaam en wachtwoorden te achterhalen wordt phishing genoemd (het vissen naar gegevens; de 'ph' wordt gebruikt omdat hackers de letter 'f' vaak vervangen door ph). Het doel is altijd financiëe oplichting met identiteitsfraude.

Let op de inhoud van het bericht
Een bedrijf als eBay (of welke financiëe instelling dan ook) zal dergelijke berichten nooit versturen. Maar daarnaast laat de inhoud van het bericht zelf al meer zien.
1) De afzender van een bericht zegt niets over de daadwerkelijke afzender, dus dat is in dit geval niet relevant.
2) Als de inhoud waarschuwt voor diefstal van wachtwoorden of misbruik van accounts is dit juist het doel van het bericht zelf.
3) Als er een link in staat die niet doorverwijst naar een website-adres (domein) van het officiëe bedrijf zelf weet je al genoeg. Ook al ziet die site er precies zo uit als van het bedrijf dat je kent. Dit kun je controleren door er met je muis overheen te gaan zonder te klikken. Het adres verschijnt dan links onderin je e-mail programma.

Als je benieuwd bent welke beveiligingslekken er actueeel zijn bijn Microsoft of Apple, kijk dan eens op de site van eEye Digital Security. Zij houden een lijst van beveilingslekken bij op hun Zero-Day Tracker. Je kunt precies zien wat er aan de hand is en hoe lang een lek een probleem is. Dit kan ook relevant zijn voor je site in verband met problemen met browser- of serverhacks.