Ekspert om Skats browserbommert: Det er en ommer

Illustration: REDPIXEL.PL/Bigstock
Når en browser som standard gemmer krypterede sider i cachen, bør Skats måde at vise årsopgørelsen på tage højde for det. Det mener it-sikkerhedsekspert.

Hvis en person bruger den samme pc til at tjekke årsopgørelsen, som du netop har brugt, risikerer han at komme til at snage i dine personlige skatteforhold.

Læs også: Advarsel: Forkert flueben i browseren giver andre adgang til din årsopgørelse

Det skyldes, at browsere som Internet Explorer som standard har gemt den forrige brugers årsopgørelse i PDF-format i cachen, og ikke mindst, at Skats løsning ikke tager højde for dette.

»Hvis jeg skal formulere det på den bløde måde, så må det vist være det, der hedder en ommer,« siger senior Claus Nørklit Roed til Version2. Han er it-sikkerhedsekspert hos PriceWaterhouseCoopers.

Han mener ikke, at den måde, Skat har kodet løsningen på, tager tilstrækkelig hensyn til folks privatliv, og at det i øvrigt slet ikke er svært at lave en løsning, der sørger for at slette cachen i browseren, når sessionen er slut. Alternativt kunne man sørge for, at browservinduet med PDF'en af årsopgørelsen fik en unik URL.

»Det er bestemt noget, Skat bør kigge nærmere på - især hvis det står i de officielle standarder og guidelines for webudvikling,« siger Claus Nørklit Roed til Version2.

Derimod mener Claus Nørklit Roed ikke, at man kan bebrejde Microsoft for at have leveret en browser, der som standard gemmer krypteret indhold i cachen.

»Nej, det kan man ikke klandre Microsoft for. Den slags er en bevidst afvejning mellem sikkerhed og brugervenlighed,« siger Claus Nørklit Roed.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Emil Moe

Jeg har ikke bemærket SKAT har ændret siden i flere år, så mon ikke den har været der længe. Selvfølgelig skal det rettes, men lad være med at være "ekspert" og først selv opdage det flere år efter og antyd at det er dem der intet kan finde ud af.

Anonym

Man behøver ikke en ekspert, for at beskrive det som en bommert, men det er jo rart at få det beskrevet igen.

Der ER tale om, at Skat agerer imod Persondataloven.
Skat er jo IT-kriminelle.
Det overgår langt, hvad f.eks. selv den værste anomynous-aktivist, kan stille op på.
Hvorfor hacke NemID, når man har Skat til det samme ?

Johan Holst Nielsen

Helt seriøst? Fordi man ikke har fundet en fejl i en mere eller mindre tilfældig løsning efter x antal år, betyder ikke nødvendigvis man ikke er ekspert. I så fald er der noget du helt har misforstået omkring det begreb.

Det svarer til at en kok skulle kende alle kogebøger, havde fortalt alle de dårlige opskrifter, før de er lavet.

/Johan

Anonym

@ Johan Holst Nielsen.

Skat er helt uden for nummer i det her, det er simpelthen så ringe kode, at man ikke kan forsvare det.
Det er jo ikke noget som en hjemmekoder laver, det er noget der bliver betalt rigtigt mange penge for.
De har alle tænkelige muligheder for at tage højde for den slags.

Du kan være helt sikker på, at hvis det var DIG der behandlede persondata på den måde, så var du blevet påbudt at lukke øjeblikkeligt.

Det er helt uansvarligt, at man overhovedet ikke, så meget som har smagt på maden. Det er der ingen kok, der ikke gør.

Johan Holst Nielsen

@Thomas Hansen,

Nu snakker jeg jo om at Emil kritiserer en ekspert hos PWC - fordi han ikke allerede havde fundet fejlen.

Jeg er fuldstændig enig i at SKAT('s leverandør) programmører må være elendige, når de ikke har gennemting basale sikkerhedelementer som dette ind i systemet. Det er slet ikke det - den kritik synes jeg er 110% berettiget. MEN jeg synes ikke man skal kritisere en PWC konsulent for at han ikke allerede havde fundet fejlen - og dermed underminere hans troværdighed... det er useriøst.

/Johan

Henrik Strøm

Du kan Windows, i lighed med de fleste andre operativsystemer, håndtere flere brugere med hver deres login og profil. Hvis man deler et login går man under alle omstændigheder på kompromis med sikkerheden for hvad angår fortrolighed, ikke bare i dette eksempel, men i mange andre sammenhæng.

Selvom Skat kunne have gjort dette bedre er det ikke forbudt at tænke sig om.

Christian Nobel

Selvom Skat kunne have gjort dette bedre er det ikke forbudt at tænke sig om.

Har du sat dig ind i materien?

Det er da ikke op til brugeren af f.eks. en internetcafepc, eller en bibliotekspc, at lave alle mulige forhåndscheck for at kompensere for elendigt håndværk fra CSC's side - dette er hundrede procent noget der kan klandres Skat og kun dem.

Og som nævnt andet steds, lige her har MS bashing ingen berettigelse.

Det er en ommer, og fuldstændig grotesk når man samtidig betænker hvorledes man efter en lynhøring er ved at lave en tvangsdigitalisering af Orwelske dimensioner af hele samfundet:

http://www.version2.dk/blog/digitalisering-stik-dem-en-flad-og-en-biblio...

http://www.version2.dk/artikel/finansminister-frygt-ikke-tvangsdigitalis...

Anonym

Det kan du have en pointe i Johan.

Jeg forsøger ikke at kritiserer nogen bestemt, kun at det har været diskuteret til hudløshed, og at der nu kommer en helt tredie ind, som gør opmærksom på noget som er gjort opmærksom på før.
Jeg er som sådan ikke i tvivl om pågældende konsulent har ret.

Der er jo ingen der er i tvivl om at der er et alvorligt problem, så der er jo ikke nogen grund til at vente på en ekspert.
Skat, skulle lukke løsningen, så snart de opdager fejlen.
Man begrænser ikke skaden, ved at holde Skats side oppe, til der kommer en ekspert og udtaler sig.

Fik jeg udtrykt mig bedre på den måde ?

Og det er jo ikke første gang vi læser om elendige løsninger i det offentlige, det er jo snart hver dag.
Det er som om, der overhovedet ikke udvises respekt for persondata mere. Det er simpelthen ikke længere noget man i det offentlige føler sig forpligtet til.
Den slags fejl, må jo bare ikke opstå.

Det offentlige, har en kæmpe organisation, til at eliminerer at den slags opstår, foruden de kan trække alt det ekspertviden, de overhovedet har brug for. Så der er ingen undskyldning, når den slags opstår bredspekteret, som det nu ses.

Der er jo ikke tale om, at Skat er blevet hacket. Det ligger hos Skat, eller deres leverandør. Så må de sørge for at teste deres løsning, i det mindste op mod det mest almindelige.
De får jo penge for det ! Det må udvises et minimum af ansvar for produktet, inden det slippes fri.
Tilsvarende, så skal produktet vedligeholdes løbende.

Emil Moe

Man behøver ikke en ekspert, for at beskrive det som en bommert, men det er jo rart at få det beskrevet igen.

Der ER tale om, at Skat agerer imod Persondataloven.
Skat er jo IT-kriminelle.
Det overgår langt, hvad f.eks. selv den værste anomynous-aktivist, kan stille op på.
Hvorfor hacke NemID, når man har Skat til det samme ?

Jeg tror mere min pointe gik på, at manden vel selv har brugt skat.dk i mange år ligesom os andre, hvorfor har han så ikke fundet den noget før, hvis den er så åbenlys som det fremgår i artiklen. Jeg ved godt fejl kan være svære at opdage til tider.

Henrik Størner

Nej, dette er ændret i forhold til tidligere. Jeg har uden problemer tidligere set både forskuds-opgørelser, selvangivelser og årsopgørelser på TastSelv, men den seneste forskudsopgørelse kan jeg ikke få frem.

Hvorfor laver de det ikke bare i HTML ? Så komplekst er det da heller ikke ...

Log ind eller Opret konto for at kommentere