Clarify how TLS works and when sensitive information in URIs should not be used

[diderikvw]

Remove BSN as example of sensitive information and add note.

[diderikvw]

@TimvdLippe Te overwegen om ook als noot toe te voegen: bij TLS worden het URL-pad en de query strings ook versleuteld, dus elke tussenliggend component kan eventuele gevoelige gegevens hierin niet zien en niet loggen. Met name een relevante kanttekening bij system-to-system-integraties.

[TimvdLippe]

@diderikvw Kun je deze PR updaten met jouw voorstel? Dat kunnen we dat voorleggen aan de TO-leden om te kijken wat ze daarvan denken.

[diderikvw]

@TimvdLippe Ja, heb ik gedaan.

Hoe ik TLS begrijp, klopt dit gedeelte niet:

Even when using TLS connections, information in URIs is not secured. URIs can be cached and logged outside of the servers controlled by clients and servers. Any information contained in them should therefore be considered readable by anyone with access to the network (in the case of the internet, the whole world) and MUST NOT contain any sensitive information.

Daarom heb ik de tekst wat rigoreuzer aangepast.

[TimvdLippe]

Thanks voor de cleanup! vi for the win 😉 Ik heb @mrtn78 toegevoegd als reviewer, want die weet veel van dit domein af. Qua tijdsplanning zullen we dit morgen niet meer op het TO kunnen bespreken, maar laten we streven naar bespreking op het volgende TO.

[TimvdLippe]

Wat kleine tekstuele nits. De HTML heb ik zelf niet getest, maar zou gewoon moeten werken.

[mrtn78]

@TimvdLippe wil jij deze mergen?
@fterpstra en ik hebben geen rechten om dat te doen.

ter info: we hebben het issue en pr besproken in de werkgroep beveiliging en vinden dat de wijziging een verbetering is ten opzichte van de huidige tekst.

[TimvdLippe]

@mrtn78 Dit betreft een wijziging op de standaard, dus zal bij het volgende TO worden besproken.

Ah dit is een PR van een fork, waar we de preview niet van kunnen pushen naar onze repository. Ik weet dus niet 100% of hij goed rendert. Ik zal daar tijdelijk een aparte PR voor maken zodat we de preview kunnen zien: #293

[fterpstra]

Besproken met werkgroep, akkoord om te mergen met wijzigingen van Tim erbij. Ik zoek uit hoe dit moet (optie voor mij als Admin nu niet aanwezig?

[TimvdLippe]

Screenshot van de preview:

[PHaasnoot]

For REST API's that are only used for system-to-system interation on closed networks where all systems are under control of the involved client and server organisations, do not put client secrets used for authentication in the URI and be careful to put sensitive information in the URI. Intermediate network components that terminate and newly initiate TLS could log or otherwise store URIs. Consider the consequences, advantages and disadvantages of using sensitive information in the URI and be deliberate about which information is logged, for which purposes and who has access.

Suggested change

<p>For REST API's that are only used for system-to-system interation on closed networks where all systems are under control of the involved client and server organisations, do not put client secrets used for authentication in the URI and be careful to put sensitive information in the URI. Intermediate network components that terminate and newly initiate TLS could log or otherwise store URIs. Consider the consequences, advantages and disadvantages of using sensitive information in the URI and be deliberate about which information is logged, for which purposes and who has access.

<p>For REST API's that are only used for system-to-system integration on closed networks where all systems are under control of the involved client and server organisations, do not put client secrets used for authentication in the URI and be careful to put sensitive information in the URI. Intermediate network components that terminate and newly initiate TLS could log or otherwise store URIs. Consider the consequences, advantages and disadvantages of using sensitive information in the URI and be deliberate about which information is logged, for which purposes and who has access.

[PHaasnoot]

suggestie : al op dit niveau de 'uitzondering' aangeven :

Statement
No sensitive information in URIs

In case of REST-API's for system to system communication on a closed network: This rule applies only when there is logging involved in systems that are not under control of the client and server organizations involved in the exchange

Suggested change

	Do not put any sensitive information in URIs
	In case of REST-API's for system to system communication on a closed network: This rule applies only when there is logging involved in systems that are not under control of the organizations involved in the exchange

[diderikvw]

Ik begrijp de redenering en op deze manier formuleren is wat mij betreft akkoord, met een kleine aanpassing:

In case of REST-API's for system to system communication on a closed network: This rule applies only when there is logging involved in systems that are not under control of the client and server organizations involved in the exchange

Suggestie voor het weglaten van "client and server", omdat anders de interpretatie kan ontstaan dat het niet geldt voor tussenliggende systemen (netwerkcomponenten) die onder controle staan van de betrokken organisaties.

[PHaasnoot]

Ok, Ik heb dit aangepast in de concrete suggestie bij het statement