Sikkerhedshul lukket på Borger.dk

Illustration: REDPIXEL.PL/Bigstock
Efter en henvendelse fra en V2-læser, har Digitaliseringsstyrelsen nu lukket et potentielt sikkerhedsproblem på borger.dk i forbindelse med fanebladet for Digital Post. Problemet kunne skabe forvirring om, hvorvidt brugere var logget på eller ej.

Indtil for nyligt kunne det se ud som om, brugere af borgere.dk var logget ud, selvom de faktisk var logget på. Nu har Digitaliseringsstyrelsen, efter en læser gjorde Version2 opmærksom på problemet, lukket for det potentielle sikkerhedshul.

Fejlen, som V2-læseren opdagede og har testet i Chrome, kunne fremkaldes på følgende måde:

Først skal en bruger bevæge sig ind på på borger.dk, dernæst klikke på det grønne faneblad ‘MinPost’ og så logge på med NemID. Når der derefter bliver klikket på den grå forside knap øverst til højre, så vil der nu stå 'log på', hvor der i skærmbilledet før stod 'log af' - selvom brugeren stadig er logget på.

Dermed kan en bruger tro, at han eller hun er logget af, selvom det altså ikke er tilfældet.

Og bliver der ikke logget rigtigt af på eksempelvis en offentlig tilgængelig computer ville andre i princippet kunne fortsætte brugerens NemID-session på den digitale selvbetjeningsportal.

Læs også: Kun godt halvdelen af Danmark meldt til Digital Post - kommuner trækker tablet-præmie-kortet

Kontorchef for Center for Systemforvaltning og sikkerhed i Digitaliseringsstyrelsen, Morten Mejer-Warnich, medgiver, at den slags fejl ikke må optræde på borger.dk.

»Vi har kunnet rekonstruere scenariet, hvor man fra digital post går tilbage til forsiden. Man vil stadig være logget ind, men tilstanden, som skal definere, hvorvidt man bliver præsenteret for en logud-knap, den kommer ikke til at fremstå korrekt,« siger han og tilføjer

»Og jeg er helt enig i, at det sagtens kan føre til en tvivl om, hvorvidt man er logget ud eller ej. Der må ikke kunne opstå den type misforståelser, når man navigerer rundt på sitet. Så derfor skal vi selvfølgeligt have rettet den slags til.«

Morten Mejer-Warnich fortæller, at fejlen blev rettet på baggrund af Version2's henvendelse, i går, tirsdag, og at det var en mindre justering af hjemmesiden, der skulle til for at løse problemet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Milos Game

Det er ikke ligefrem et sikkerhedshul, men mere en fejl i brugergrænsefladen. Jeg betragter sikkerhedshuller som noget kan udnyttes af andre mod din vilje, agtigt..

Eksempel: hvis dimsen på bildøren, der indikerer om døren er låst eller ej, ikke viser korrekt status, så er det en fejl og ikke et sikkerhedshul. Det ville nok være et "sikkerhedshul", hvis man kunne åbne en låst bildør blot ved at tage fat i håndtaget.

.. den obligatoriske bilanalogi, yay :-)

  • 0
  • 0
Michael Kjeldsen

Eksempel: hvis dimsen på bildøren, der indikerer om døren er låst eller ej, ikke viser korrekt status, så er det en fejl og ikke et sikkerhedshul. Det ville nok være et "sikkerhedshul", hvis man kunne åbne en låst bildør blot ved at tage fat i håndtaget.

Jamen... er det ikke også lige præcis det, der sker?

Når der derefter bliver klikket på den grå forside knap øverst til højre, så vil der nu stå 'log på', hvor der i skærmbilledet før stod 'log af' - selvom brugeren stadig er logget på.

Eller misforstår jeg?

  • 1
  • 0
Milos Game

Mit indlæg gik på forskellen mellem en (visuel) fejl og et reelt teknisk sikkerhedshul.

Status-indikation, om det er dimsen til bildøren eller 'log på/af'-teksten, er en ting som ville være en "fejl", hvis den var misvisende.

Men hvis du kan få adgang til noget, som du ikke burde kunne få adgang til, så er det et sikkerhedshul. Er du logget ind, men tror at du er logget ud, så er der adgang, og så er det en fejl at du fik at vide at du er logget ud.

Hvis jeg kunne få adgang til din profil på borger.dk, selv om du var logget af, så havde det været et sikkerhedshul. Og så er det lige meget om der står 'log på/af'. Men selve teksten, som kan give dig falsk tryghed med hensyn til om du er logget af eller ej, er en (visuel) fejl. Du ville (normalt) ikke være i tvivl om du var logget af, hvis du aktivt loggede af. Hvis låser bildøren og dimsen stadigvæk siger "ulåst", så er det en fejl i dimsen ikke låsemekanismen.

Eksempel:

Fejl = Dimsen er oppe ("døren er ulåst"), men døren er i virkeligheden låst. Fejl = Dimsen er nede ("døren er låst"), men døren er i virkeligheden ulåst. Sikkerhedshul = Dimsen er nede ("døren er låst") og døren er låst i virkeligheden, MEN jeg kan åbne døren ved at tage fat i håndtaget. Her kan jeg få adgang til noget jeg ikke burde.

  • 1
  • 1
Log ind eller Opret konto for at kommentere