CROSO portal ugrozio bezbednost korisnika!

CROSO portal ugrozio bezbednost korisnika!

Ukoliko Vam se dopada portal Nova Energija, pozivamo Vas da nam se pridružite na konferenciji Blogomanija u Habakuku, Pohorje od 08.06. do 12.06. pogledajte ovde

Nakon što je CROSO portal bio nedostupan deset dana radi pripreme nove verzije aplikacije, u ponedeljak 9. januara objavljena je nova verzija SecurityTray aplikacije koja je u sebi sadržala ozbiljan i nedopustiv bezbednosni propust, piše Goran Rakić na svom blogu.

SecurityTray aplikacija služi da uspostavi komunikaciju između sajta portala i čitača pametnih kartica, i na taj način predstavlja alternativu za ranije korišćene Java aplete ili Native Messaging ekstenzije.

Aplikacija prvo pokreće lokalni veb servis na računaru korisnika (localhost), a zatim koristeći HTTP CORS mehanizam uspostavlja komunikaciju između sajta i aplikacije preko HTTP API-ja. Na taj način sajt može da zatraži od lokalne aplikacije da koristeći midlver i karticu u čitaču izvede operaciju elektronskog potpisivanja.

Kada se veb sajtu pristupa preko HTTPS protokola (zeleni katanac, zaštićena i šifrovana komunikacija), HTTP CORS mehanizam zahteva da i lokalni veb servis bude obezbeđen na isti način. I tu nastaje problem, koji ne postoji u slučaju kada se koriste druga pomenuta rešenja.

Svaki HTTPS sajt ili servis, pa i ovaj lokalni koji obezbeđuje SecurityTray aplikacija, zahteva dve stvari (1) par ključeva (tajni i javni), gde se tajni ključ čuva poverljivo i koristi u formiranju zaštićenog kanala i (2) SSL sertifikat u koji se ugrađuje javni ključ i kojim se dokazuje identitet sajta, odnosno veb servisa.

Oba ova dela moraju da budu dostupni instaliranoj SecurityTray aplikaciji, bilo da se generišu pri prvom pokretanju ili da su pripremljeni unapred i uključeni u instalaciju aplikacije.

O SSL sertifikatima, CROSO pre 30. 12. 2016. i 9. januara 2017, najnovijem CROSO SecurityTray čitajte dalje na ovom blogu.

croso_google

Goran Rakić dodaje da ne bi dodatno komentarisao kako ovakav propust uopšte može da se dogodi i zašto kritični servisi e-uprave ne prolaze kroz dodatne provere pre nego što se neadekvatna rešenja objave korisnicima. Činjenica da servis može da bude nedostupan 10 dana radi izmena, ukazuje i na nepostojeći ili loše zamišljeni plan kontinuiteta.

Na ozbiljan propust sam morao da ukažem i početkom 2014. godine kada je portalu ePorezi Poreske uprave moglo da se pristupi bez ikakve autentikacije, zaobilazeći očitavanje podataka sa pametne kartice, prostim unošenjem JMBG osobe u čije ime se pristupa. I pored direktnog sastanka u PU za rešavanje tog problema tada bilo je trebalo znatno duže vremena koje se ne meri danima već, neverovatno, mesecima. Osim neozbiljnosti u implementaciji važnih servisa i nedovoljne kadrovske posvećenosti, uočljiv je još jedan problem. IT se često menja, objavljuju se nove verzije softvera, ispravljaju se do tada nepoznati propusti i menja preporučena praksa. Određeno rešenje e-uprave namenjeno opštoj javnosti i korisnicima koji imaju svoje računare, koje koriste na različite načine ne može da se uvede i zaboravi, već mora da se ažurira, menja i prilagođava novim okolnostima“, navodi se na blogu.

Izvor: blog.goranrakic.com

(Visited 246 times, 1 visits today)

Facebook comments


Komentari

Leave a Reply

Your email address will not be published. Required fields are marked *

Pravila korišćenja sadržaja

Korišćenjem i preuzimanjem materijala i dokumentacije sa sajta, prihvatate u potpunosti uslove i pravila upotrebe koji su opisani u ovom obaveštenju.

 

Delovi sajta i informacije nađene na njemu ne mogu biti kopirani, reprodukovani, prenošeni, publikovani ili distribuirani bez jasnog navođenja izvora i autora pre samog sadržaja, kao i nakon cele objave.

 

Svi sadržaji i informacije na veb sajtu NovaEnergija.net predstavljeni su čitalaštvu na uvid u najboljoj nameri, i redakcija veruje da su tačni. Međutim, NovaEnergija.net ne pruža bilo kakve garancije u vezi bilo kojih proizvoda ili usluga, i na taj način ne može biti odgovorna za direktne ili indirektne štete koje mogu nastati korišćenjem informacija sa ovog sajta. Informacije mogu da sadrže tehničke netačnosti ili štamparske greške. Informacije mogu biti izmenjene bez prethodnog obaveštenja.

 

NovaEnergija.net ne preuzima odgovornost za materijale koje su načinila ili publikovala treća lica, a koja su vezana linkom sa stranicama veb sajta NovaEnergija.net. Ako odlučite da posetite bilo koji linkovan sajt, vi to činite na bazi sopstvene odluke i odgovornosti i preuzimate rizik u pogledu virusa ili sličnih štetnih elemenata.

 

Za sve sporove koji proisteknu iz ovih Pravila nadležan je sud u Beogradu, Srbija. Veb sajt NovaEnergija.net zadržava pravo da pokrene postupke i pred sudovima drugih zemalja u cilju zaštite sopstvenih prava.

CLOSE
CLOSE