Skat beder CSC lappe hullet webløsning

Illustration: REDPIXEL.PL/Bigstock
Hvis det virkelig er så let at lukke et sikkerhedshul i Skats webløsning, som Version2's debattører påstår, så kommer løsningen hurtigt. Det lover Skat.

Hvis du bruger en offentlig tilgængelig computer til at tjekke årsopgørelsen fra Skat, kan et forkert flueben i browserens indstillinger betyde, at dine personlige skatteoplysninger kan dukke op hos den næste bruger af pc'en.

Læs også: Advarsel: Forkert flueben i browseren giver andre adgang til din årsopgørelse

Det har Skat været klar over i lang tid, da adskillige brugere har henvendt sig om, at de er blevet præsenteret for fremmede menneskers skatteoplysninger.

Efter at Version2 de seneste par dage har sat fokus på problemet, er det væltet ind med både kritik af Skat og konkrete forslag til, hvordan problemet kan løses.

Læs også: Ekspert om Skats browserbommert: Det er en ommer

Det hilser Skat velkomment:

»Jeg har nu bedt vores leverandør kigge på sagen igen. Det er direkte affødt af de kommentarer under Version2's artikler, hvor det påstås at være relativt enkelt at løse problemet,« siger kontorchef i Skat, Søren Kjær Jensen til Version2.

Det er CSC, der er leverandør af både den bagved liggende motor samt af det præsentationslag, der genererer årsopgørelserne som PDF'er og efterfølgende viser dem i et separat browservindue med url'en https://www.tastselv.skat.dk/borger/ringbind/DokumentGet.do

»Det er klart, at vi ikke har noget svar eller resultat fra CSC endnu, men vi vil seriøst kigge på forslagene i debatten og se, om ikke det kan laves bedre,« siger Søren Kjær Jensen til Version2.

Han understreger dog endnu en gang, at det stadig er helt centralt for Skat at pointere, at brugerne skal følge de anvisninger, der følger med NemID og Nem-LogIn - især hvad angår proceduren for at logge af.

»Men når det er sagt, så vil vi kigge yderligere på, om vi kan forbedre noget på cache-niveau.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Kræn Hansen

Jeg synes da at det er super positivt at Skat vælger at lytte til kritikken. Jeg gad godt vide om Skat har forsøgt at kontakte CSC på baggrund af de fejlmeldinger de har fået fra slut brugere, med henblik på at få rettet fejlen. * Hvis svaret er ja, kunne det være interessant om CSC har sagt "det kan ikke lade sig gøre at rette fejlen, rent teknisk" eller om de har sagt "det behøver vi ikke prioritere særlig højt". * Hvis svaret er nej, kunne det være interessant at høre hvordan man kan tillade at fejlreporter ophober sig ved Skat istedet for at blive videresendt til leverandøren.

Jeg tror ikke at vi nogensinde vil få svar på den slags spørgsmål - men en sag som denne burde få Skat til at vende blikket indad og overvejer om vejen fra en slutbruger finder en fejl, til at man får kontaktet leverandøren og får rettet fejlen, overhoved virker. Hvad synes I?

  • 2
  • 2
#3 John Anker Corneliussen

Så kan de jo samtidig fixe deres opsætning af tast-selv mailserveren for eksempel overholde rfc 2821 mht helo name ... Det forventes at nslookup(helo-name) rummer ip(connection)

som det ses af nedenstående er dette øjensynligt ikke tilfældet ;) - og var det iøvrigt heller ikke sidst tast-selv udsendte bulk email til folket ...

<-- nslookup på helo-name $ host sktsens01mas03.csc.dk sktsens01mas03.csc.dk is an alias for sktsens01mas01.csc.dk. sktsens01mas01.csc.dk has address 147.29.109.227

<-- postfix log cut Received: from sktsens01mas03.csc.dk (skat.csc.dk [147.29.27.196]) by frederik.danak.lan (Postfix) with ESMTP id BD2911218181 for ; Wed, 7 Mar 2012 02:10:54 +0100 (CET) Received: from SMTP (dkcscd12.csc.dk [147.29.11.17]) by sktsens01mas03.csc.dk (8.13.1/8.13.1) with ESMTP id q271AsWM022185 for xxx@danak.dk; Wed, 7 Mar 2012 02:10:54 +0100 From: TastSelv@tastselvperson.skat.dk

  • 1
  • 1
#4 Anonym

Jeg ser ikke at Skat har nogen anden mulighed, end at tage kritikken til sig. Der er tale om en overtrædelse af Persondataloven, det kan de ikke undlade at reagerer på.

Du har en pointe omkring kommandovejen, men jeg kan ikke se hvordan det kan ændres. Kritikken, må først og fremmes skulle rettes mod Skat. Som så kan sende den videre til deres leverandør.

Men kommandohastigheden, kan der gøres meget ved. F.eks. kunne Skat sørge for, at de også har kompetente medarbejdere, der kan handle på en sådan fejl.

Med de rigtige medarbejdere, så ville Skat tilsvarende være i stand til, at kigge på de mest basale sikkerhedselementer, i den løsning de køber ind, så "den slags" ikke ryger i drift, uden at der er kigget på det.

  • 0
  • 0
#5 Anders Hessellund Jensen

Når de nu er i gang med at lappe sikkerhedshuller på skats hjemmeside, kunne de så ikke også lige sørge for, at sessions-cookies markeres som secure, så man ikke kan lave session hijacking via MITM angreb? Man kan læse en beskrivelse af dette angreb her:

http://fscked.org/blog/fully-automated-active-https-cookie-hijacking

Det er måske ikke verdens største sikkerhedshul, men det er alvorligt nok til at det absolut ikke burde forekomme på en side som skat.

  • 0
  • 0
#6 Kræn Hansen

Jeg tror måske at jeg vil lade den hænge i luften, ved at henvise til at CSC ikke er den eneste leverandør af software til det offentlige. Og at Skat jo har mulighed for at vælge anderledes, omend det er svært. Jeg er i den overbevisning at en god leverandør ville have forudset at der kunne opstå uforudsete fejl og havde indarbejdet en procedure for at fange og rette disse effektivt. Men det har man på den anden side måske sparret væk fra Skats side, hvem ved?

  • 0
  • 0
Log ind eller Opret konto for at kommentere