Beveiligingsinstellingen

In het configuratiebeheer is sinds versie 1.3.0 een Beveiligingsinstellingen sectie. Hier een toelichting van de beschikbare opties.

Captcha configuratie

Captcha's worden gebruikt om te controleren dat de gebruiker daadwerkelijk een mens is en niet een robot of automatisch script. Ontwikkelaars kunnen plaatsen aangeven waar een Captcha eventueel gebruikt kan worden en met deze instellingen kan worden geconfigureerd wat het type Captcha is of dat er geen Captcha's gewenst zijn.

Captcha typen

  • Uitgeschakeld
  • Standaard Captcha
  • reCAPTCHA

Uitgeschakeld

Op het moment dat de Captcha's uitgeschakeld zijn wordt er geen element aan de formulieren toegevoegd. Het systeem vertrouwt dan standaard dat de invoer niet kwaadwillende geautomatiseerd is.

Standaard Captcha

De standaard Captcha geeft een degelijke beveiliging zonder dat hier verdere instellingen voor nodig zijn. Voor de meeste sites raden wij aan deze optie als standaard instelling te laten staan. De Captcha's zijn goed leesbaar voor gebruikers en hoofdletterongevoelig.

reCAPTCHA

Deze optie is standaard niet geïnstalleerd. Hiervoor is de recaptcha plugin nodig. Te vinden op: https://github.com/Tuxion/tx.cms-plugin-recaptcha

Om reCAPTCHA te gebruiken moet er een publieke en privé-sleutel worden opgegeven. Deze is te verkrijgen op: https://www.google.com/recaptcha/admin/create

reCAPTCHA heeft een aantal voordelen ten opzichte van de standaard Captcha. Google kan namelijk via reCAPTCHA gebruikers over meerdere websites in de gaten houden. Op het moment dat een gebruiker op meerdere websites verdacht gedrag toont kan de gebruiker geweigerd worden van alle websites die reCAPTCHA gebruiken. Daarnaast wordt de moeite van gebruikers voor een goed doel gebruikt, namelijk het het omzetten van gescande boeken van lage kwaliteit naar tekst.

Daarnaast heeft reCAPTCHA een toegankelijkheids voordeel ten opzichte van de standaard Captcha. Het bied namelijk audio captcha's. Voor slecht ziende gebruikers is dit een alternatief voor de visuele code.

Als blijkt dat een website regelmatig onder vuurt ligt of om preventieve maatregelingen te nemen tegen geautomatiseerde aanvallen is reCAPTCHA een betere optie dan de standaard Captcha.

TLS modus

TLS staat voor Transport Layer Security. Het is de techniek die gebruikt wordt om beveiligde verbindingen op te zetten (een HTTPS verbinding). Voor websites die afgeschermde gedeeltes hebben is dit een essentiele toevoeging. Allereerst moet bij de webhosting waarvan de website gebruik maakt een TLS-certificaat worden toegevoegd. Vervolgens kan gebruik gemaakt worden van de volgende instellingen.

  • Nooit TLS gebruiken
  • Automatische detectie (standaard instelling)
  • Bij inloggen afdwingen
  • Altijd handhaven

Nooit TLS gebruiken

Dit zorgt ervoor dat wanneer er een HTTPS verbinding is gemaakt dat deze weer verbroken wordt bij het laden van de pagina. Voor websites die geen TLS-certificaat hebben kan dit voorkomen dat bezoekers een foutmelding krijgen te zien.

Automatische detectie

Dit houd in dat alle links op de website zich automatisch aanpassen wanneer er een beveiligde verbinding wordt gemaakt zodat bij elke volgende link die geklikt wordt er nog steeds TLS gebruikt wordt. Dit is de standaard instelling omdat het ook werkt wanneer er geen TLS-certificaat is, maar wel de mogelijkheid geeft om handmatig te kiezen voor een beveiligde verbinding als de gebruiker dit probeert op te zetten.

Het is echter niet aan te raden om dit als standaard instelling te laten wanneer TLS getest is en werkt. De volgende opties zijn een stuk veiliger.

Bij inloggen afdwingen

Deze instelling zorgt ervoor dat TLS wordt gebruikt op het moment dat de gebruiker probeert in te loggen of ingelogt is. Dit kan het best gebruikt worden voor websites die een publieke kant en een afgeschermde kant hebben. Vooral wanneer de publieke kant veel bezoekers trekt laden pagina's sneller op deze manier. Voor websites waarbij ook de publieke kant omgaat met persoonlijke gegevens is deze optie niet geschikt.

Altijd handhaven

Voor websites die op zowel de publieke als de afgeschermde kant omgaan met gevoelige gegevens is dit de beste optie. Het zorgt ervoor dat er altijd een beveiligde verbinding wordt gemaakt, ongeacht of de gebruiker ingelogd is of niet. Dit is handig voor diensten die niet vereisen dat je inlogt, (zoals Gists op GitHub) of websites die een indicatie vormen voor je persoonlijke interesses (denk aan stemwijzers of belastinginformatie).

Registratie

Gedeelde login sessies registreren

Wanneer deze optie aan staat wordt bijgehouden wanneer ingelogde gebruikers wisselen van IP-adres en/of User-agent. Dit kan worden gebruikt om een inbreuk op de website op te sporen.

Het veranderen van deze gegevens is niet in alle gevallen een inbreuk, vandaar dat hier ook geen restrictie op is. Maar het kan wel een hulpmiddel zijn bij het achterhalen wat er gebeurt is wanneer een account gehacked blijkt te zijn.