Διαβάζω στο Mi blog lah για δύο σημαντικά προβλήματα ασφαλείας με το ΤaxisΝet.
- Η σελίδα εισόδου δίνει την δυνατότητα στον Internet Explorer να αποθηκεύσει τα στοιχεία μας (login/password) για αυτόματη συμπλήρωση σε επόμενη χρήση του site (autocomplete). Σε περίπτωση που χρησιμοποιήσει κάποιος άλλος το PC μας ή τον λογαριασμό μας μπορεί να μπει και να δει τα φορολογικά μας μέσα στο TaxisNet. Φυσικά και οι διάφοροι ιοι, δούρειοι ίπποι (όπως μας τρομοκρατούν “Τα Νέα”) μπορούν να μας κλέψουν αυτά τα στοιχεία. Την πρώτη περίπτωση την θεωρώ συχνότερη αν σκεφτεί κανείς πόσες φορές κλέβονται laptops, φεύγουμε απ’ τον υπολογιστή μας και τον αφήνουμε ξεκλείδωτο, κ.λπ.
- Το άλλο που επισημαίνει το ποστ του Σίμου είναι ότι υπάρχει η δυνατότητα να χρησιμοποιήσει κανείς το TaxisNet χωρίς τη χρήση SSL (κρυπτογράφησης δηλαδή). Αν και το μεγαλύτερο ποσοστό χρηστών θα ακολουθήσει την αλυσίδα συνδέσμων απο την αρχική σελίδα του taxisnet και θα φτάσει στη σελίδα εισόδου με κρυπτογράφηση, το γεγονός ότι δίνεται η δυνατότητα να μπει κανείς στο σύστημα και χωρίς SSL είναι απο μόνο του πολύ σοβαρό πρόβλημα ασφαλείας.
Ελπίζω αύριο στο ΓΓΣΠ να πιάσουν δουλειά.
Μηδενικές απαντήσεις μέχρι τώρα ↓
There are no comments yet...Kick things off by filling out the form below.