Skip to content

Clarify how TLS works and when sensitive information in URIs should not be used #277

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom
Open
diderikvw wants to merge 9 commits into
base: develop
Choose a base branch
from
Open

Clarify how TLS works and when sensitive information in URIs should not be used #277

diderikvw wants to merge 9 commits into from

Conversation

@diderikvw
Copy link

@diderikvw diderikvw commented Nov 7, 2025

Remove BSN as example of sensitive information and add note.

TimvdLippe
TimvdLippe requested changes Nov 13, 2025
View reviewed changes
@diderikvw
Copy link
Author

diderikvw commented Nov 14, 2025

@TimvdLippe Te overwegen om ook als noot toe te voegen: bij TLS worden het URL-pad en de query strings ook versleuteld, dus elke tussenliggend component kan eventuele gevoelige gegevens hierin niet zien en niet loggen. Met name een relevante kanttekening bij system-to-system-integraties.

@TimvdLippe
Copy link
Contributor

TimvdLippe commented Nov 14, 2025

@diderikvw Kun je deze PR updaten met jouw voorstel? Dat kunnen we dat voorleggen aan de TO-leden om te kijken wat ze daarvan denken.

@diderikvw diderikvw changed the title Clarify that 'sensitive' is deliberately not defined Clarify how TLS works and when sensitive information in URIs should not be used Nov 21, 2025
@diderikvw
Copy link
Author

diderikvw commented Nov 21, 2025

@TimvdLippe Ja, heb ik gedaan.

Hoe ik TLS begrijp, klopt dit gedeelte niet:

Even when using TLS connections, information in URIs is not secured. URIs can be cached and logged outside of the servers controlled by clients and servers. Any information contained in them should therefore be considered readable by anyone with access to the network (in the case of the internet, the whole world) and MUST NOT contain any sensitive information.

Daarom heb ik de tekst wat rigoreuzer aangepast.

@TimvdLippe TimvdLippe requested a review from mrtn78 December 1, 2025 09:33
@TimvdLippe
Copy link
Contributor

TimvdLippe commented Dec 1, 2025

Thanks voor de cleanup! vi for the win 😉 Ik heb @mrtn78 toegevoegd als reviewer, want die weet veel van dit domein af. Qua tijdsplanning zullen we dit morgen niet meer op het TO kunnen bespreken, maar laten we streven naar bespreking op het volgende TO.

@diderikvw diderikvw mentioned this pull request Dec 4, 2025
Open
TimvdLippe
TimvdLippe approved these changes Jan 19, 2026
View reviewed changes
Copy link
Contributor

@TimvdLippe TimvdLippe left a comment

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Wat kleine tekstuele nits. De HTML heb ik zelf niet getest, maar zou gewoon moeten werken.

@TimvdLippe TimvdLippe added Scope: Klein Kleine wijzigingen met beperkte scope Status: Ter goedkeuring Het voorstel is uitgewerkt en wordt ter goedkeuring aangeboden. Type: Documentatie Tekstueele wijziging op de documentatie. Overleg: TO-API Te agenderen voor het Technisch Overleg API labels Jan 19, 2026
@sanderke @TimvdLippe
Apply suggestions from code review
025f085 
Co-authored-by: Tim van der Lippe <TimvdLippe@users.noreply.github.com>
@mrtn78
Copy link
Collaborator

mrtn78 commented Jan 22, 2026
edited
Loading

@TimvdLippe wil jij deze mergen?
@fterpstra en ik hebben geen rechten om dat te doen.

ter info: we hebben het issue en pr besproken in de werkgroep beveiliging en vinden dat de wijziging een verbetering is ten opzichte van de huidige tekst.

@TimvdLippe
Copy link
Contributor

TimvdLippe commented Jan 22, 2026

@mrtn78 Dit betreft een wijziging op de standaard, dus zal bij het volgende TO worden besproken.

Ah dit is een PR van een fork, waar we de preview niet van kunnen pushen naar onze repository. Ik weet dus niet 100% of hij goed rendert. Ik zal daar tijdelijk een aparte PR voor maken zodat we de preview kunnen zien: #293

@fterpstra
Copy link
Collaborator

fterpstra commented Jan 22, 2026

Besproken met werkgroep, akkoord om te mergen met wijzigingen van Tim erbij. Ik zoek uit hoe dit moet (optie voor mij als Admin nu niet aanwezig?

@TimvdLippe TimvdLippe removed their assignment Jan 22, 2026
@TimvdLippe
Copy link
Contributor

TimvdLippe commented Jan 22, 2026

Screenshot van de preview:

image

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

@TimvdLippe TimvdLippe TimvdLippe approved these changes

@PHaasnoot PHaasnoot PHaasnoot approved these changes

+1 more reviewer

@mrtn78 mrtn78 mrtn78 approved these changes

Reviewers whose approvals may not affect merge requirements

Assignees

No one assigned

Labels

Overleg: TO-API Te agenderen voor het Technisch Overleg API Scope: Klein Kleine wijzigingen met beperkte scope Status: Ter goedkeuring Het voorstel is uitgewerkt en wordt ter goedkeuring aangeboden. Type: Documentatie Tekstueele wijziging op de documentatie.

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

6 participants

@diderikvw @TimvdLippe @mrtn78 @fterpstra @PHaasnoot @sanderke