Javascript is nodig voor deze website.

Deze website heeft een inlogpagina die aan de serverkant beveiliging heeft.
Bij een aantal mislukte inlogpogingen wordt de gebruiker aan de serverkant geblokkeerd.
De Javascript-verplichting is puur ter voorkoming van veel inlogpogingen zonder dat het effect heeft op de beveiliging.
Daarnaast bevat de website geen e-mailadressen of gegevens waarmee contact gezocht kan worden met de personen.

Wil je Javascript aanzetten?
In Microsoft Edge kunt u gaan naar edge://settings/content/javascript?search=javascript (Chromium)
In Mozilla Firefox kunt u gaan naar about:config en zoeken op javascript.enabled (Gecko)
In Astian Midori kunt u gaan naar about:config en zoeken op javascript.enabled (Gecko)
In Vivaldi browser kunt u gaan naar vivaldi://settings/content/javascript (Chromium) onderstaande chrome link kan ook nodig zijn.
In Google Chrome kunt u gaan naar chrome://settings/content/javascript (Chromium & Blink & V8)

I.v.m. beveiliging door de browser is het nodig om het linkje te kopieëren of handmatig in te typen
Na het opnieuw opstarten van de browser zal Javascript ingeschakeld zijn.

Inlogpagina EHBO door Arnold van der Meulen

Dit is de inlogpagina voor EHBO.
De website is gemaakt door Arnold van der Meulen.
Indien er door de vereniging en de leden toestemming is zal er achter deze inlogpagina een
pagina bevinden om leden af te vinken die aanwezig zijn bij een herhaalles.
Zo kan er per lesavond bijgehouden worden wie aanwezig is.
Het bijhouden is sowieso een verplichting omdat voor de verlenging van het certificaat
de leden die een certificaat hebben een minimum aantal lessen aanwezig dienen te zijn.

Digitalisering maakt het bijhouden van gegevens gemakkelijker.
Ook kun je gemakkelijker een back-up maken.
Wanneer een waarnemer ziek of niet aanwezig is kun je d.m.v. een website gemakkelijker het waarnemen
van aanwezigen overdragen zonder een lijst op te halen.
Daarnaast is het minder gevoelig voor diefstal, inbraak en brand.

Deze website maakt gebruik van meerdere beveiligingstechnieken.
De overdracht van gegevens is beveiligd d.m.v. een SSL-certificaat.
Hierdoor kan de website ook gebruikt worden op een locatie met openbaar internet.
Ook wordt er gebruik gemaakt van Google Recaptcha V3.
Google Recaptcha houdt de bewegingen op een pagina bij om zo te controleren of er door een Bot geklikt wordt.
Daarnaast zijn de gegevens zelf ook versleuteld (encryptie) om ervoor te zorgen dat ook degene die inzicht hebben
tot gegevens beperkt zijn.
Doordat het voor de beheerder zelf onmogelijk is om wachtwoorden zichtbaar in te zien zal het ook niet in te
zien zijn na eventuele diefstal.
Het is alleen versleuteld in te zien waardoor het niet leesbaar is.
Ook heb ik daarvoor een bijgewerkte versleutelingstechniek gebruikt die ondersteund wordt.
De techniek zelf moet namelijk ook beschermd zijn tegen potentiële aanvallen.
Verder heb ik Javascript-verplichting ingebouwd om de eenvoudige bots tegen te gaan.
Er zal na een foute invoer dus een timer gaan lopen van 1 minuut.
Ook zonder Javascript dient er minimaal 1 minuut tijd tussen de invoer te zitten.
Het wordt aan de serverkant gecontroleerd.
Daarnaast wordt een bestaande gebruiker automatisch geblokkeerd na een aantal mislukte inlogpogingen
i.c.m. de ingevoerde bestaande gebruikersnaam.
Verder wordt er in de HTTP-header gebruikgemaakt van een Content-Security-Policy
Dat zorgt ervoor dat de website alleen gegevens laadt die toegestaan zijn.
Het beschermd de website tegen cross-site scripting attacks.
Wanneer een kwaadwillende een script wil draaien in de ontwikkelaarsmodus zal dat moeten gaan met de scripts
die de website zelf aangeeft.
Maar nogmaals: de website is aan de server-side beveiligd en niet aan de client-side.
Ookal zou er dus een script gedraaid kunnen worden, kom je er alsnog niet in.

Daarnaast voldoet de website aan verplichtingen van de autoriteit persoonsgegevens.
Zij stellen dat zoveel mogelijk gegevens bijgehouden moeten worden wie, wat en wanneer in kan zien
of heeft gezien.
Ookal is het dus maar een lijstje namen zijn dat wel persoonsgegevens.
Het volgen van gebruikers is dus een verplichting en dient ook regelmatig gecontroleerd te worden.
Zo kun je dus zien of een onbevoegde gebruiker eventueel inzicht heeft gekregen tot de lijst met persoonsgegevens.
Daarnaast blijft het natuurlijk wel een gedeeltelijke eigen verantwoording van een gebruiker.
Als een gebruiker zelf zijn gebruikersnaam en wachtwoord doorgeeft aan iemand anders kan de ontwikkelaar van de website
hier niets tegenin brengen of bouwen.
Dat is dus precies hetzelfde op websites waar je DigID nodig hebt.
Als je iemand je telefoon met pincode, gebruikersnaam en wachtwoord doorgeeft is dit een eigen verantwoording
en nooit van de ontwikkelaar.

Verder worden verschillende ip-adressen en ip-reeksen geblokkeerd die hier niets op de inlogpagina te zoeken hebben.
Foute inlogpogingen met bijbehorende ip-adressen en sessie-id's worden bijgehouden.
Ook dit heeft te maken met de veiligheid.
Ondanks alle beveiligingstechnieken blijft het mogelijk om te gokken.
Iemand kan een gebruikersnaam of e-mailadres invoeren en een willekeurig wachtwoord proberen.
Of een lijst met gebruikersnamen, e-mailadressen en wachtwoorden die ze gestolen hebben.
D.m.v. het blokkeren van een ip-adres of ip-reeksen kan er voorkomen worden dat deze pogingen doorgaan.
Echter is de kans heel klein op een goede gok door de combinatie sterk te maken.
En als de gebruikersnaam goed gegokt wordt zijn er maar een paar foute wachtwoordcombinaties mogelijk tot er op een
blokkade van die gebruiker wordt overgegaan.
Het is dan niet meer mogelijk om met die gebruikersnaam in te loggen tot het weer wordt vrijgegeven om het te proberen.

Ook is er een deel waar lesavonden ingevuld kunnen worden zodat er precies bekeken kan worden
wanneer er lesavonden zijn.
Wanneer de datum bij die groep hoort zal de afvinkpagina automatisch naar de juiste groep gaan.
Ook blijft het mogelijk om leden van andere groepen af te vinken indien er gewisseld wordt.