NovaEnergija.net
  • Vesti
  • ESG
  • Marketing
  • Mediji
  • IKT
  • Preduzetništvo
  • E-uprava
  • E-prodaja
  • Kolumne
  • Društ. mreže
  • Projekti
    • Konferencija
    • Sedam kulturnih vrednosti
  • O NAMA

NovaEnergija.net

  • Vesti
  • ESG
  • Marketing
  • Mediji
  • IKT
  • Preduzetništvo
  • E-uprava
  • E-prodaja
  • Kolumne
  • Društ. mreže
  • Projekti
    • Konferencija
    • Sedam kulturnih vrednosti
  • O NAMA
IKT

CROSO portal ugrozio bezbednost korisnika!

written by Jelena Jovičić January 12, 2017

Nakon što je CROSO portal bio nedostupan deset dana radi pripreme nove verzije aplikacije, u ponedeljak 9. januara objavljena je nova verzija SecurityTray aplikacije koja je u sebi sadržala ozbiljan i nedopustiv bezbednosni propust, piše Goran Rakić na svom blogu.

SecurityTray aplikacija služi da uspostavi komunikaciju između sajta portala i čitača pametnih kartica, i na taj način predstavlja alternativu za ranije korišćene Java aplete ili Native Messaging ekstenzije.

Aplikacija prvo pokreće lokalni veb servis na računaru korisnika (localhost), a zatim koristeći HTTP CORS mehanizam uspostavlja komunikaciju između sajta i aplikacije preko HTTP API-ja. Na taj način sajt može da zatraži od lokalne aplikacije da koristeći midlver i karticu u čitaču izvede operaciju elektronskog potpisivanja.

Kada se veb sajtu pristupa preko HTTPS protokola (zeleni katanac, zaštićena i šifrovana komunikacija), HTTP CORS mehanizam zahteva da i lokalni veb servis bude obezbeđen na isti način. I tu nastaje problem, koji ne postoji u slučaju kada se koriste druga pomenuta rešenja.

Svaki HTTPS sajt ili servis, pa i ovaj lokalni koji obezbeđuje SecurityTray aplikacija, zahteva dve stvari (1) par ključeva (tajni i javni), gde se tajni ključ čuva poverljivo i koristi u formiranju zaštićenog kanala i (2) SSL sertifikat u koji se ugrađuje javni ključ i kojim se dokazuje identitet sajta, odnosno veb servisa.

Oba ova dela moraju da budu dostupni instaliranoj SecurityTray aplikaciji, bilo da se generišu pri prvom pokretanju ili da su pripremljeni unapred i uključeni u instalaciju aplikacije.

O SSL sertifikatima, CROSO pre 30. 12. 2016. i 9. januara 2017, najnovijem CROSO SecurityTray čitajte dalje na ovom blogu.

croso_google

Goran Rakić dodaje da ne bi dodatno komentarisao kako ovakav propust uopšte može da se dogodi i zašto kritični servisi e-uprave ne prolaze kroz dodatne provere pre nego što se neadekvatna rešenja objave korisnicima. Činjenica da servis može da bude nedostupan 10 dana radi izmena, ukazuje i na nepostojeći ili loše zamišljeni plan kontinuiteta.

“Na ozbiljan propust sam morao da ukažem i početkom 2014. godine kada je portalu ePorezi Poreske uprave moglo da se pristupi bez ikakve autentikacije, zaobilazeći očitavanje podataka sa pametne kartice, prostim unošenjem JMBG osobe u čije ime se pristupa. I pored direktnog sastanka u PU za rešavanje tog problema tada bilo je trebalo znatno duže vremena koje se ne meri danima već, neverovatno, mesecima. Osim neozbiljnosti u implementaciji važnih servisa i nedovoljne kadrovske posvećenosti, uočljiv je još jedan problem. IT se često menja, objavljuju se nove verzije softvera, ispravljaju se do tada nepoznati propusti i menja preporučena praksa. Određeno rešenje e-uprave namenjeno opštoj javnosti i korisnicima koji imaju svoje računare, koje koriste na različite načine ne može da se uvede i zaboravi, već mora da se ažurira, menja i prilagođava novim okolnostima“, navodi se na blogu.

Izvor: blog.goranrakic.com

CROSO portal ugrozio bezbednost korisnika! was last modified: January 12th, 2017 by Jelena Jovičić
bezbednostCROSO portalSecurityTray aplikacijatop
0
Facebook Twitter Google + Pinterest
previous post
Indija ima preko 5 miliona developera!
next post
Otvaranje preduzeća jednim klikom od novembra 2018. godine!

Pročitajte i ovo!

WhatsApp stigao do neverovatnog broja korisnika

Google Maps olakšava pronalaženje parkinga

Kriptokraljica: Žena koja je “izradila” ceo svet,...

Želite posao i zanimaju vas nove tehnologije...

Otvoren konkurs za 50 najbrže rastućih tehnoloških...

Apple uklanja sporne aplikacije

Google vas obaveštava ako vam neko gleda...

Kako da prepoznate lažne aplikacije?

YouTube Kids uvodi nove opcije za još...

Pojavile se fotografije novog Samsungovog telefona na...


NAJNOVIJE NA PORTALU

  • Engleska antiplastična revolucija – zabranjuje se jednokratna plastična ambalaža

  • #Digital2022: Konstantin Kostadinov, Rakuten Viber – Razmena poruka postala je sastavni deo svakodnevne rutine

  • Harmonity Group postavlja standarde u IT sektoru i briše granice između realnosti i mašte

  • Uz D Express od oktobra i karticom!

  • Digital 2022 i MaxBet tombola za krstarenje u dvoje!

  • Rakuten Viber na konferenciji #Digital2022: Svi učesnici na Chatbotu!

  • Satnica frilencera usled pandemije porasla za 40 odsto

Popularni postovi

  • #Digital2022: Konstantin Kostadinov, Rakuten Viber – Razmena poruka postala je sastavni deo svakodnevne rutine

  • 7 trendova u ishrani promeniće način na koji jedemo

  • 7 trendov v prehrani bo spremenilo navade, kaj jemo

  • Brisanje poruka na Viberu

  • Veoma zlobno: Aplikacija koja šalje Game of Thrones spojlere vašim prijateljima

@2018 - CMC. All Right Reserved.


Back To Top