Fejl ved parsing af anførselstegn i e-Boks forhindrer download af beskeder

Et enkelt anførselstegn i emnefeltet i e-Boks bevirker, at brugere ikke kan downloade dokumenter.

Brugere, der forsøger at downloade post fra e-Boks lokalt på deres computer, støder på en fejl, såfremt der optræder et enkelt anførselstegn af typen ' i beskedens emnefelt.

En Version2-læser, der ønsker at være anonym, opdagede fejlen, da han modtog et brev i e-Boks fra en kommune, hvor der stod: Brev fra Jobcentret 'Min Plan' i beskedens emne-felt.

Som det fremgår, er der to enkeltstående anførselstegn i emnefeltet. Disse tegn, uanset om der er et eller flere, bevirker, at det ikke er muligt at downloade en kopi af beskeden lokalt.

Alt afhængig af browser bliver brugeren ved forsøg på download tilsyneladende mødt af forskellige meddelelser. Ifølge Version2-læseren kommer Microsofts Edge eksempelvis med en besked om, at siden ikke kan vises ved forsøg på download af beskeden.

Version2 har efterprøvet løjerligheden i Googles Chrome ved først at gemme en besked i e-Boks som kladde med et ' i emnefeltet og herefter forsøge at gemme kladden lokalt på maskinen. Resultatet kan ses i skærmbilledet til højre.

SQL-injection

Som nogle læsere ved, så kan problemer med anførselstegn tyde på fejlagtig håndtering af brugerinput.

Udover at resultere i fejl så kan fejlagtig håndtering af brugerindtastede data i sidste ende vise sig at være et sikkerhedsmæssigt problem blandt andet i forhold til SQL-injection.

Det er en type sårbarhed, der kort fortalt gør det muligt for en angriber at kompromittere et system. Udgangspunktet kan eksempelvis være fejlagtig håndtering af anførselstegn i et tekstfelt, som bevirker, at angriberen kan få held til at indsætte SQL-kode i feltet, som så bliver afviklet i den bagvedliggende database.

The Open Web Application Security Project har lavet en detaljeret guide til, hvordan udviklere kan undgå problemer med SQL-injection.

»Fejlen har ingen sikkerhedsmæssige implikationer«

Heldigvis skulle der ikke være nogen fare for sikkerheden i Danmarks digitale postkasse, som følge af den fejlagtige håndtering af '-tegnet.

»Problemet sker ved download fra webapplikationen og har ingen databaseafhængigheder. Fejlen har ingen sikkerhedsmæssige implikationer. Fejlen forventes løst i forbindelse med vores oktober release d. 09.10.17,« oplyser Susanne Søndahl Wolff, kommunikationschef hos e-Boks i en mail.

»Vi tester både før og efter release, men denne fejl er ikke blevet identificeret. Vi er p.t. i gang med at sikre at fremtidige test også inkluderer sådan funktionalitet.«

Det er sparsomt med de tekniske detaljer i kommunikationen fra Susanne Søndahl Wolff, som dog fortæller, at »det er i en parsing, at det går galt.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Simon Mikkelsen

Fejlen forventes løst i forbindelse med vores oktober release d. 09.10.17

Nu har e-boks den status, at hvis jeg ikke får læst en besked kan jeg i princippet komme i fængel eller miste rigtigt mange penge. Så kan man ikke bare vente et stykke tid. Der må man sætte gang i vagtordningen og få lavet en patch hurtigst muligt.

  • 11
  • 0
#2 Henrik Madsen

Men som jeg læser det så kan du godt SE din besked, du kan bare ikke hente en lokal kopi hjem.

Men det er vel også ganske smart, hvis man som myndighed ønsker at ændre i en besked, at man med et anførselstegn kan sikre sig at borgeren ikke har haft mulighed for at gemme en lokal kopi som kan bruges som bevis for at der er ændret.

  • 5
  • 0
Log ind eller Opret konto for at kommentere