NovaEnergija.net
  • Vesti
  • Marketing
  • Mediji
  • IKT
  • Preduzetništvo
  • E-uprava
  • E-prodaja
  • Kolumne
  • Društ. mreže
  • Projekti
    • Konferencija
    • Sedam kulturnih vrednosti
  • O NAMA

NovaEnergija.net

  • Vesti
  • Marketing
  • Mediji
  • IKT
  • Preduzetništvo
  • E-uprava
  • E-prodaja
  • Kolumne
  • Društ. mreže
  • Projekti
    • Konferencija
    • Sedam kulturnih vrednosti
  • O NAMA
IKT

CROSO portal ugrozio bezbednost korisnika!

written by Jelena Jovičić January 12, 2017

Nakon što je CROSO portal bio nedostupan deset dana radi pripreme nove verzije aplikacije, u ponedeljak 9. januara objavljena je nova verzija SecurityTray aplikacije koja je u sebi sadržala ozbiljan i nedopustiv bezbednosni propust, piše Goran Rakić na svom blogu.

SecurityTray aplikacija služi da uspostavi komunikaciju između sajta portala i čitača pametnih kartica, i na taj način predstavlja alternativu za ranije korišćene Java aplete ili Native Messaging ekstenzije.

Aplikacija prvo pokreće lokalni veb servis na računaru korisnika (localhost), a zatim koristeći HTTP CORS mehanizam uspostavlja komunikaciju između sajta i aplikacije preko HTTP API-ja. Na taj način sajt može da zatraži od lokalne aplikacije da koristeći midlver i karticu u čitaču izvede operaciju elektronskog potpisivanja.

Kada se veb sajtu pristupa preko HTTPS protokola (zeleni katanac, zaštićena i šifrovana komunikacija), HTTP CORS mehanizam zahteva da i lokalni veb servis bude obezbeđen na isti način. I tu nastaje problem, koji ne postoji u slučaju kada se koriste druga pomenuta rešenja.

Svaki HTTPS sajt ili servis, pa i ovaj lokalni koji obezbeđuje SecurityTray aplikacija, zahteva dve stvari (1) par ključeva (tajni i javni), gde se tajni ključ čuva poverljivo i koristi u formiranju zaštićenog kanala i (2) SSL sertifikat u koji se ugrađuje javni ključ i kojim se dokazuje identitet sajta, odnosno veb servisa.

Oba ova dela moraju da budu dostupni instaliranoj SecurityTray aplikaciji, bilo da se generišu pri prvom pokretanju ili da su pripremljeni unapred i uključeni u instalaciju aplikacije.

O SSL sertifikatima, CROSO pre 30. 12. 2016. i 9. januara 2017, najnovijem CROSO SecurityTray čitajte dalje na ovom blogu.

croso_google

Goran Rakić dodaje da ne bi dodatno komentarisao kako ovakav propust uopšte može da se dogodi i zašto kritični servisi e-uprave ne prolaze kroz dodatne provere pre nego što se neadekvatna rešenja objave korisnicima. Činjenica da servis može da bude nedostupan 10 dana radi izmena, ukazuje i na nepostojeći ili loše zamišljeni plan kontinuiteta.

“Na ozbiljan propust sam morao da ukažem i početkom 2014. godine kada je portalu ePorezi Poreske uprave moglo da se pristupi bez ikakve autentikacije, zaobilazeći očitavanje podataka sa pametne kartice, prostim unošenjem JMBG osobe u čije ime se pristupa. I pored direktnog sastanka u PU za rešavanje tog problema tada bilo je trebalo znatno duže vremena koje se ne meri danima već, neverovatno, mesecima. Osim neozbiljnosti u implementaciji važnih servisa i nedovoljne kadrovske posvećenosti, uočljiv je još jedan problem. IT se često menja, objavljuju se nove verzije softvera, ispravljaju se do tada nepoznati propusti i menja preporučena praksa. Određeno rešenje e-uprave namenjeno opštoj javnosti i korisnicima koji imaju svoje računare, koje koriste na različite načine ne može da se uvede i zaboravi, već mora da se ažurira, menja i prilagođava novim okolnostima“, navodi se na blogu.

Izvor: blog.goranrakic.com

CROSO portal ugrozio bezbednost korisnika! was last modified: January 12th, 2017 by Jelena Jovičić
bezbednostCROSO portalSecurityTray aplikacijatop
0
Facebook Twitter Google + Pinterest
previous post
Indija ima preko 5 miliona developera!
next post
Otvaranje preduzeća jednim klikom od novembra 2018. godine!

Pročitajte i ovo!

Srbiji do 2020. godine milijardu evra od...

Wikiversity – jedan zaista otvoreni univerzitet

Byte – naslednik Vine-a stiže 2019. godine

Google Drive testira offline prostor za skladištenje...

Osnovci u Minecraft dodali nišku tvrđavu i...

Zakazivanje vremena slanja mejlova kao rođendanski poklon

Microsoft radi na novom setu funkcija za...

IT tržište u 2018. godini beleži porast...

Vraća se legendarna Nokia 3310

Mozilla priprema novu super opciju


NAJNOVIJE NA PORTALU

  • USAID, državna uprava i ministarstva rade na razvoju nove pismenosti

  • Ministri Gojković, Matić i Ružić govorili na otvaranju konferencije “Nova pismenost za novo doba”

  • Color Media Communications učestvuje na multikongresu “Serbian Visions”

  • Online konferencija “Nova pismenost za novo doba” 26. januara

  • Online konferencija “Gambling Digital Conference – The future of Betting Industry”

  • Objavljen “Vodič za bezbedan i zdrav rad od kuće”

  • Mislite na vreme i odaberite najsigurniji vid zaštite vašeg vozila, još danas u AMS Osiguranju

Popularni postovi

  • Ministri Gojković, Matić i Ružić govorili na otvaranju konferencije “Nova pismenost za novo doba”

  • USAID, državna uprava i ministarstva rade na razvoju nove pismenosti

  • Snapchat: Upotreba i značenje emojis smajlija

  • Brisanje poruka na Viberu

  • Online konferencija “Gambling Digital Conference – The future of Betting Industry”

@2018 - CMC. All Right Reserved.


Back To Top