Skip to content

Clarify how TLS works and when sensitive information in URIs should not be used#277

Open
diderikvw wants to merge 14 commits intoLogius-standaarden:developfrom
diderikvw:diderikvw/sensitive-uri-note
Open

Clarify how TLS works and when sensitive information in URIs should not be used#277
diderikvw wants to merge 14 commits intoLogius-standaarden:developfrom
diderikvw:diderikvw/sensitive-uri-note

Conversation

@diderikvw
Copy link

@diderikvw diderikvw commented Nov 7, 2025

Remove BSN as example of sensitive information and add note.

TimvdLippe
TimvdLippe requested changes Nov 13, 2025
View reviewed changes
@diderikvw
Copy link
Author

diderikvw commented Nov 14, 2025

@TimvdLippe Te overwegen om ook als noot toe te voegen: bij TLS worden het URL-pad en de query strings ook versleuteld, dus elke tussenliggend component kan eventuele gevoelige gegevens hierin niet zien en niet loggen. Met name een relevante kanttekening bij system-to-system-integraties.

@TimvdLippe
Copy link
Contributor

TimvdLippe commented Nov 14, 2025

@diderikvw Kun je deze PR updaten met jouw voorstel? Dat kunnen we dat voorleggen aan de TO-leden om te kijken wat ze daarvan denken.

@diderikvw diderikvw changed the title Clarify that 'sensitive' is deliberately not defined Clarify how TLS works and when sensitive information in URIs should not be used Nov 21, 2025
@diderikvw
Copy link
Author

diderikvw commented Nov 21, 2025

@TimvdLippe Ja, heb ik gedaan.

Hoe ik TLS begrijp, klopt dit gedeelte niet:

Even when using TLS connections, information in URIs is not secured. URIs can be cached and logged outside of the servers controlled by clients and servers. Any information contained in them should therefore be considered readable by anyone with access to the network (in the case of the internet, the whole world) and MUST NOT contain any sensitive information.

Daarom heb ik de tekst wat rigoreuzer aangepast.

@TimvdLippe TimvdLippe requested a review from mrtn78 December 1, 2025 09:33
@TimvdLippe
Copy link
Contributor

TimvdLippe commented Dec 1, 2025

Thanks voor de cleanup! vi for the win 😉 Ik heb @mrtn78 toegevoegd als reviewer, want die weet veel van dit domein af. Qua tijdsplanning zullen we dit morgen niet meer op het TO kunnen bespreken, maar laten we streven naar bespreking op het volgende TO.

@diderikvw diderikvw mentioned this pull request Dec 4, 2025
Open
TimvdLippe
TimvdLippe approved these changes Jan 19, 2026
View reviewed changes
Copy link
Contributor

@TimvdLippe TimvdLippe left a comment

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Wat kleine tekstuele nits. De HTML heb ik zelf niet getest, maar zou gewoon moeten werken.

@TimvdLippe TimvdLippe added Scope: Klein Kleine wijzigingen met beperkte scope Status: Ter goedkeuring Het voorstel is uitgewerkt en wordt ter goedkeuring aangeboden. Type: Documentatie Tekstueele wijziging op de documentatie. Overleg: TO-API Te agenderen voor het Technisch Overleg API labels Jan 19, 2026
@sanderke @TimvdLippe
Apply suggestions from code review
025f085 
Co-authored-by: Tim van der Lippe <TimvdLippe@users.noreply.github.com>
@mrtn78
Copy link
Collaborator

mrtn78 commented Jan 22, 2026
edited
Loading

@TimvdLippe wil jij deze mergen?
@fterpstra en ik hebben geen rechten om dat te doen.

ter info: we hebben het issue en pr besproken in de werkgroep beveiliging en vinden dat de wijziging een verbetering is ten opzichte van de huidige tekst.

@TimvdLippe
Copy link
Contributor

TimvdLippe commented Jan 22, 2026

@mrtn78 Dit betreft een wijziging op de standaard, dus zal bij het volgende TO worden besproken.

Ah dit is een PR van een fork, waar we de preview niet van kunnen pushen naar onze repository. Ik weet dus niet 100% of hij goed rendert. Ik zal daar tijdelijk een aparte PR voor maken zodat we de preview kunnen zien: #293

@fterpstra
Copy link
Collaborator

fterpstra commented Jan 22, 2026

Besproken met werkgroep, akkoord om te mergen met wijzigingen van Tim erbij. Ik zoek uit hoe dit moet (optie voor mij als Admin nu niet aanwezig?

@TimvdLippe TimvdLippe removed their assignment Jan 22, 2026
@TimvdLippe
Copy link
Contributor

TimvdLippe commented Jan 22, 2026

Screenshot van de preview:

image

PHaasnoot
PHaasnoot reviewed Feb 5, 2026
View reviewed changes
PHaasnoot
PHaasnoot reviewed Feb 5, 2026
View reviewed changes
TimvdLippe and others added 4 commits February 17, 2026 14:42
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

@PHaasnoot PHaasnoot PHaasnoot approved these changes

@TimvdLippe TimvdLippe TimvdLippe approved these changes

+1 more reviewer

@mrtn78 mrtn78 mrtn78 approved these changes

Reviewers whose approvals may not affect merge requirements

Assignees

No one assigned

Labels

Overleg: TO-API Te agenderen voor het Technisch Overleg API Scope: Klein Kleine wijzigingen met beperkte scope Status: Ter goedkeuring Het voorstel is uitgewerkt en wordt ter goedkeuring aangeboden. Type: Documentatie Tekstueele wijziging op de documentatie.

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

6 participants

@diderikvw @TimvdLippe @mrtn78 @fterpstra @PHaasnoot @sanderke

Comments