Fejl ved parsing af anførselstegn i e-Boks forhindrer download af beskeder

1. september 2017 kl. 09:489
Et enkelt anførselstegn i emnefeltet i e-Boks bevirker, at brugere ikke kan downloade dokumenter.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Brugere, der forsøger at downloade post fra e-Boks lokalt på deres computer, støder på en fejl, såfremt der optræder et enkelt anførselstegn af typen ' i beskedens emnefelt.

En Version2-læser, der ønsker at være anonym, opdagede fejlen, da han modtog et brev i e-Boks fra en kommune, hvor der stod: Brev fra Jobcentret 'Min Plan' i beskedens emne-felt.

Som det fremgår, er der to enkeltstående anførselstegn i emnefeltet. Disse tegn, uanset om der er et eller flere, bevirker, at det ikke er muligt at downloade en kopi af beskeden lokalt.

Alt afhængig af browser bliver brugeren ved forsøg på download tilsyneladende mødt af forskellige meddelelser. Ifølge Version2-læseren kommer Microsofts Edge eksempelvis med en besked om, at siden ikke kan vises ved forsøg på download af beskeden.

Artiklen fortsætter efter annoncen

Version2 har efterprøvet løjerligheden i Googles Chrome ved først at gemme en besked i e-Boks som kladde med et ' i emnefeltet og herefter forsøge at gemme kladden lokalt på maskinen. Resultatet kan ses i skærmbilledet til højre.

SQL-injection

Som nogle læsere ved, så kan problemer med anførselstegn tyde på fejlagtig håndtering af brugerinput.

Udover at resultere i fejl så kan fejlagtig håndtering af brugerindtastede data i sidste ende vise sig at være et sikkerhedsmæssigt problem blandt andet i forhold til SQL-injection.

Det er en type sårbarhed, der kort fortalt gør det muligt for en angriber at kompromittere et system. Udgangspunktet kan eksempelvis være fejlagtig håndtering af anførselstegn i et tekstfelt, som bevirker, at angriberen kan få held til at indsætte SQL-kode i feltet, som så bliver afviklet i den bagvedliggende database.

Artiklen fortsætter efter annoncen

The Open Web Application Security Project har lavet en detaljeret guide til, hvordan udviklere kan undgå problemer med SQL-injection.

»Fejlen har ingen sikkerhedsmæssige implikationer«

Heldigvis skulle der ikke være nogen fare for sikkerheden i Danmarks digitale postkasse, som følge af den fejlagtige håndtering af '-tegnet.

»Problemet sker ved download fra webapplikationen og har ingen databaseafhængigheder. Fejlen har ingen sikkerhedsmæssige implikationer. Fejlen forventes løst i forbindelse med vores oktober release d. 09.10.17,« oplyser Susanne Søndahl Wolff, kommunikationschef hos e-Boks i en mail.

»Vi tester både før og efter release, men denne fejl er ikke blevet identificeret. Vi er p.t. i gang med at sikre at fremtidige test også inkluderer sådan funktionalitet.«

Artiklen fortsætter efter annoncen

Det er sparsomt med de tekniske detaljer i kommunikationen fra Susanne Søndahl Wolff, som dog fortæller, at »det er i en parsing, at det går galt.«

9 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
3. september 2017 kl. 10:34

Præcis :) Det kan lige så vel være en JSON-parser fejl, som en database-sql fejl. Men version2 undlader at nævne alle andre muligheder, end SQL-injection. Lidt EkstraBladet er man vel altid....

8
3. september 2017 kl. 07:31

Uden at skulle kloge mig for meget - kunne fejlen ikke være i json parseren i klienten? Som jeg læser det så mangler man at escape beskyttede karakterer.

6
2. september 2017 kl. 15:12

Prøv med Ctrl+P.

Hvad skulle vi dog gøre uden en printer, hér i vort papirløse samfund.......

K

5
2. september 2017 kl. 14:59

Prøv med Ctrl+P. Det plejer at virke fint som bevis, hvis det skulle komme dertil.

4
1. september 2017 kl. 20:05

Det er utroligt at vi stadig oplever fejl som disse igen og igen. Det burde være børnelæredom for alle udviklerer og standard punkt på alle tests.

3
1. september 2017 kl. 18:24

Jeg har lige overført et dokument fra eboks app på iPad og til iBooks. Titlen var den samme som i artiklen "Brev fra Jobcentret 'Min plan'"

2
1. september 2017 kl. 17:14

Men som jeg læser det så kan du godt SE din besked, du kan bare ikke hente en lokal kopi hjem.

Men det er vel også ganske smart, hvis man som myndighed ønsker at ændre i en besked, at man med et anførselstegn kan sikre sig at borgeren ikke har haft mulighed for at gemme en lokal kopi som kan bruges som bevis for at der er ændret.

1
1. september 2017 kl. 14:56

Fejlen forventes løst i forbindelse med vores oktober release d. 09.10.17

Nu har e-boks den status, at hvis jeg ikke får læst en besked kan jeg i princippet komme i fængel eller miste rigtigt mange penge. Så kan man ikke bare vente et stykke tid. Der må man sætte gang i vagtordningen og få lavet en patch hurtigst muligt.