NovaEnergija.net
  • Vesti
  • ESG
  • Marketing
  • Mediji
  • IKT
  • Preduzetništvo
  • E-uprava
  • E-prodaja
  • Kolumne
  • Društ. mreže
  • Projekti
    • Konferencija
    • Sedam kulturnih vrednosti
  • O NAMA

NovaEnergija.net

  • Vesti
  • ESG
  • Marketing
  • Mediji
  • IKT
  • Preduzetništvo
  • E-uprava
  • E-prodaja
  • Kolumne
  • Društ. mreže
  • Projekti
    • Konferencija
    • Sedam kulturnih vrednosti
  • O NAMA
IKT

CROSO portal ugrozio bezbednost korisnika!

written by Jelena Jovičić January 12, 2017

Nakon što je CROSO portal bio nedostupan deset dana radi pripreme nove verzije aplikacije, u ponedeljak 9. januara objavljena je nova verzija SecurityTray aplikacije koja je u sebi sadržala ozbiljan i nedopustiv bezbednosni propust, piše Goran Rakić na svom blogu.

SecurityTray aplikacija služi da uspostavi komunikaciju između sajta portala i čitača pametnih kartica, i na taj način predstavlja alternativu za ranije korišćene Java aplete ili Native Messaging ekstenzije.

Aplikacija prvo pokreće lokalni veb servis na računaru korisnika (localhost), a zatim koristeći HTTP CORS mehanizam uspostavlja komunikaciju između sajta i aplikacije preko HTTP API-ja. Na taj način sajt može da zatraži od lokalne aplikacije da koristeći midlver i karticu u čitaču izvede operaciju elektronskog potpisivanja.

Kada se veb sajtu pristupa preko HTTPS protokola (zeleni katanac, zaštićena i šifrovana komunikacija), HTTP CORS mehanizam zahteva da i lokalni veb servis bude obezbeđen na isti način. I tu nastaje problem, koji ne postoji u slučaju kada se koriste druga pomenuta rešenja.

Svaki HTTPS sajt ili servis, pa i ovaj lokalni koji obezbeđuje SecurityTray aplikacija, zahteva dve stvari (1) par ključeva (tajni i javni), gde se tajni ključ čuva poverljivo i koristi u formiranju zaštićenog kanala i (2) SSL sertifikat u koji se ugrađuje javni ključ i kojim se dokazuje identitet sajta, odnosno veb servisa.

Oba ova dela moraju da budu dostupni instaliranoj SecurityTray aplikaciji, bilo da se generišu pri prvom pokretanju ili da su pripremljeni unapred i uključeni u instalaciju aplikacije.

O SSL sertifikatima, CROSO pre 30. 12. 2016. i 9. januara 2017, najnovijem CROSO SecurityTray čitajte dalje na ovom blogu.

croso_google

Goran Rakić dodaje da ne bi dodatno komentarisao kako ovakav propust uopšte može da se dogodi i zašto kritični servisi e-uprave ne prolaze kroz dodatne provere pre nego što se neadekvatna rešenja objave korisnicima. Činjenica da servis može da bude nedostupan 10 dana radi izmena, ukazuje i na nepostojeći ili loše zamišljeni plan kontinuiteta.

“Na ozbiljan propust sam morao da ukažem i početkom 2014. godine kada je portalu ePorezi Poreske uprave moglo da se pristupi bez ikakve autentikacije, zaobilazeći očitavanje podataka sa pametne kartice, prostim unošenjem JMBG osobe u čije ime se pristupa. I pored direktnog sastanka u PU za rešavanje tog problema tada bilo je trebalo znatno duže vremena koje se ne meri danima već, neverovatno, mesecima. Osim neozbiljnosti u implementaciji važnih servisa i nedovoljne kadrovske posvećenosti, uočljiv je još jedan problem. IT se često menja, objavljuju se nove verzije softvera, ispravljaju se do tada nepoznati propusti i menja preporučena praksa. Određeno rešenje e-uprave namenjeno opštoj javnosti i korisnicima koji imaju svoje računare, koje koriste na različite načine ne može da se uvede i zaboravi, već mora da se ažurira, menja i prilagođava novim okolnostima“, navodi se na blogu.

Izvor: blog.goranrakic.com

CROSO portal ugrozio bezbednost korisnika! was last modified: January 12th, 2017 by Jelena Jovičić
bezbednostCROSO portalSecurityTray aplikacijatop
0
Facebook Twitter Google + Pinterest
previous post
Indija ima preko 5 miliona developera!
next post
Otvaranje preduzeća jednim klikom od novembra 2018. godine!

Pročitajte i ovo!

Udarac za Airbnb: Iznajmljivanje apartmana na manje...

YouTube testira Explore opciju

Kriptokraljica: Žena koja je “izradila” ceo svet,...

Facebook sve ugroženiji: Kineska aplikacija već ima...

Kako da zakažete ili zaustavite slanje Gmail-a?!

Ko bude gledao klipove ISIS-a, u zatvor...

Konkurencija Amazonu: Udružuju se Wallmart i Google!

Google Chrome i Firefox blokiraju Pirate Bay!

Google Cardboard je sada dostupan u preko...

Senegal uvodi nacionalnu digitalnu valutu!


NAJNOVIJE NA PORTALU

  • Engleska antiplastična revolucija – zabranjuje se jednokratna plastična ambalaža

  • #Digital2022: Konstantin Kostadinov, Rakuten Viber – Razmena poruka postala je sastavni deo svakodnevne rutine

  • Harmonity Group postavlja standarde u IT sektoru i briše granice između realnosti i mašte

  • Uz D Express od oktobra i karticom!

  • Digital 2022 i MaxBet tombola za krstarenje u dvoje!

  • Rakuten Viber na konferenciji #Digital2022: Svi učesnici na Chatbotu!

  • Satnica frilencera usled pandemije porasla za 40 odsto

Popularni postovi

  • Brisanje poruka na Viberu

  • #Digital2022: Konstantin Kostadinov, Rakuten Viber – Razmena poruka postala je sastavni deo svakodnevne rutine

  • Snapchat: Upotreba i značenje emojis smajlija

  • 7 trendova u ishrani promeniće način na koji jedemo

  • 7 trendov v prehrani bo spremenilo navade, kaj jemo

@2018 - CMC. All Right Reserved.


Back To Top