Brugere, der forsøger at downloade post fra e-Boks lokalt på deres computer, støder på en fejl, såfremt der optræder et enkelt anførselstegn af typen ' i beskedens emnefelt.
En Version2-læser, der ønsker at være anonym, opdagede fejlen, da han modtog et brev i e-Boks fra en kommune, hvor der stod: Brev fra Jobcentret 'Min Plan' i beskedens emne-felt.
Som det fremgår, er der to enkeltstående anførselstegn i emnefeltet. Disse tegn, uanset om der er et eller flere, bevirker, at det ikke er muligt at downloade en kopi af beskeden lokalt.
Alt afhængig af browser bliver brugeren ved forsøg på download tilsyneladende mødt af forskellige meddelelser. Ifølge Version2-læseren kommer Microsofts Edge eksempelvis med en besked om, at siden ikke kan vises ved forsøg på download af beskeden.
Version2 har efterprøvet løjerligheden i Googles Chrome ved først at gemme en besked i e-Boks som kladde med et ' i emnefeltet og herefter forsøge at gemme kladden lokalt på maskinen. Resultatet kan ses i skærmbilledet til højre.
SQL-injection
Som nogle læsere ved, så kan problemer med anførselstegn tyde på fejlagtig håndtering af brugerinput.
Udover at resultere i fejl så kan fejlagtig håndtering af brugerindtastede data i sidste ende vise sig at være et sikkerhedsmæssigt problem blandt andet i forhold til SQL-injection.
Det er en type sårbarhed, der kort fortalt gør det muligt for en angriber at kompromittere et system. Udgangspunktet kan eksempelvis være fejlagtig håndtering af anførselstegn i et tekstfelt, som bevirker, at angriberen kan få held til at indsætte SQL-kode i feltet, som så bliver afviklet i den bagvedliggende database.
The Open Web Application Security Project har lavet en detaljeret guide til, hvordan udviklere kan undgå problemer med SQL-injection.
»Fejlen har ingen sikkerhedsmæssige implikationer«
Heldigvis skulle der ikke være nogen fare for sikkerheden i Danmarks digitale postkasse, som følge af den fejlagtige håndtering af '-tegnet.
»Problemet sker ved download fra webapplikationen og har ingen databaseafhængigheder. Fejlen har ingen sikkerhedsmæssige implikationer. Fejlen forventes løst i forbindelse med vores oktober release d. 09.10.17,« oplyser Susanne Søndahl Wolff, kommunikationschef hos e-Boks i en mail.
»Vi tester både før og efter release, men denne fejl er ikke blevet identificeret. Vi er p.t. i gang med at sikre at fremtidige test også inkluderer sådan funktionalitet.«
Det er sparsomt med de tekniske detaljer i kommunikationen fra Susanne Søndahl Wolff, som dog fortæller, at »det er i en parsing, at det går galt.«

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.