Nebezpečný upgrade datových schránek: nová verze obsahuje fatální chybu. Poznámka Tomáše Bezoušky | info.cz

Články odjinud

Nebezpečný upgrade datových schránek: nová verze obsahuje fatální chybu. Poznámka Tomáše Bezoušky

Nebezpečný upgrade datových schránek: nová verze obsahuje fatální chybu. Poznámka Tomáše Bezoušky
 

Nejspíš jste si toho ještě nevšimli, ale datové schránky doznaly změny. O víkendu se dočkaly prvního zásadního upgradu uživatelského rozhraní od svého spuštění v létě 2008. Výsledek nicméně příliš důvodů k radosti nepřinesl.

Deset let představuje v oblasti informačních technologií zhruba dvě až tři generace systémů, oznámení o první velké změně po dekádě fungování datových schránek tedy logicky vzbuzuje velká očekávání. Mimo jiné i proto, že rozhraní systému nebylo z pohledu uživatelské přívětivosti právě vzorem dokonalosti ani v době svého vzniku, natož po deseti letech.

Jedním z hlavních atributů, který Ministerstvo vnitra spojuje s datovými schránkami, je bezpečnost komunikace vedené jejich prostřednictvím. Poněkud zarážející je tak už pohled na úvodní přihlašovací obrazovku, ze které zmizela captcha, tedy prvek náhodně generovaných znaků které je třeba opsat do přihlášení, aby byly eliminovány pokusy o strojové přihlašování. V tomto případě se ale ještě dá uvažovat o tom, že tento prvek odpovídajícím způsobem nahradí jiné opatření, které nezatěžuje uživatele, nicméně garantuje obdobnou míru zabezpečení. Bylo by přesto pěkné, kdyby toto rozhodnutí ministerstvo alespoň okrajově okomentovalo.

Po přihlášení se ovšem projevil problém zásadní, a s ohledem na to, že byl významně diskutován už při spouštění Portálu občana, v zásadě zcela neomluvitelný: Ministerstvo vnitra totiž zopakovalo svou oblíbenou chybu a zcela ignoruje pravidla pro bezpečný session management. Po přihlášení do systému datových schránek je tak možné nejen otevřít neomezený počet oken, která všechna mohou se systémem komunikovat pod jedním přihlášením, ale především v případě zavření okna prohlížeče, jeho opětovného spuštění a návratu na stránky datových schránek zůstává uživatel přihlášený. A to i v případě, že mezitím byl počítač restartován.

To je natolik zásadní bezpečnostní chyba, že v zásadě může ohrozit důvěryhodnost systému datových schránek jako takového. V tomto ohledu se tedy jedná o významné selhání – navíc opakované – a odpovědní pracovníci ministerstva by z něj měli vyvodit odpovídající důsledky jak v rovině personální, tak zejména v oblasti standardů a pravidel testování aplikací před jejich spuštěním do ostrého provozu.

 
Přejít na homepageVíce z kategorie

Články odjinud