​99 százalékos védelem

2014. 01. 12. 08:58 - sörősz (törölt)

Címkék: etr elte pte qtér

Az esetek többségében erre azt szokták mondani az már elég lehet. De nem az informatikában, főleg, ha személyes adatok védelméről van szó. Két egyetem hallgatók által is használt ügyintézési felületén találtunk olyan programozási hibát, amely veszélyezteti a személyes adatok biztonságát.

Az ELTE által üzemeltetett Q-tér és a PTE által fenntartott ETR is ugyanazzal a hibával küzd. Amennyiben a hallgató belép és dolga végeztével a kilépésre kattint, azt hiheti, a rendszer valóban teljesen kizárta, azonban a böngészőben a gyorsítótárban maradt adatok miatt, ha valaki ezek után a vissza gombra kattint, akkor láthatja a kilépésre kattintás előtti utolsó rendszeren belüli oldalt.

A pécsi ETR egyéb problémákkal is küzd. A rendszer automatikusan generálja az EHA kódokat és van benne egy obszcenitás szűrő, azonban négy év alatt sem sikerült - külön kérés után sem - megváltoztatni egyik hallgató nevét. A már végzett hallgató jelenleg is szaradb.pte-ként fut a rendszerben.

Mondhatnák, hogy a böngésző hibája, azonban leellenőriztük az ELTE és a Corvinus Neptun rendszerében, továbbá a PTE MODULO rendszerében, illetve a magyarorszag.hu-n is a problémát. Ezeknél a rendszereknél sikerült megoldani, hogy a kilépés után – ha nem mentettük persze a jelszót a böngészőben – egy egyszerű visszalépés gombra való kattintással ne lehessen megnézni az utolsó a rendszerben böngészett oldalt, és azonnal a belépési felületre irányítson minket a szerver.

Miért bajos ez? Ha valaki mondjuk pont a PTE ETR rendszerében a személyes adatok menüpontra való kattintás után lépett ki, akkor ha valaki visszalép, megnézheti az illető hallgatói azonosítóját, EHA kódját, állampolgárságát, születési helyét, idejét. Ugyanakkor a visszalépés után a böngészés nem lehetséges a rendszereken belül, mert amint másra kattintunk a rendszer kizár, tehát csak és kizárólag az utolsó böngészett oldalt nézhetjük meg. Amíg nem oldják meg a problémát addig javallott egész egyszerűen az egész böngészőt bezárni, ha nyilvános gépet használunk.

Egyébként Pécsett, ha el is követnek hibákat az ETR–t üzemeltető DEXTER Informatikai Kft. dolgozói, a humorukat megőrizték. 

Szerintünk: (0/5)
Török Márk-o-Meter: (3/5)

A bejegyzés trackback címe:

https://atlatszooktatas.blog.hu/api/trackback/id/tr985751482

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

fda 2014.01.12. 22:15:07

Érzékeny website-ról való kilépés után minden esetben a böngészőt zárni.

A programot pedig eleve privát módban használni.

Ez esetben egy fenti programozói hiba semmilyen gondot nem jelent.

Egyébként, ha a kedves cikkíró valóban a hallgatók személyes adataiért aggódik, akkor egy ilyen hibából nem cikket ír, hanem egy gyors figyelmeztetést a fejlesztőknek. A cikk nem utalt arra, hogy ez megtörtént volna, ellenben a felfedezett probléma ha eddig nem volt az, ezután esetleg az lehet.

J.László 2014.01.12. 22:59:41

100%-os védelem nincs.

A posztban leírt hiba ezzel együtt kicsit hanyag programozásra utal. A böngészőben megejtett kilépés valószínűleg nem érvényteleníti a munkamenetet a kiszolgáló gépen (ez okozza a problémát, nem a gyorstár). Ez a viszonylag súlyosabb programozási hiányosságok közé tartozik.

droid_ · http://matyiszuro.blog.hu/ 2014.01.13. 08:40:19

@J.László: hat en baromira nem ertek a webes cuccokhoz, de szerintem ha ervenyes maradna a session a server oldalon, akkor gondolom folytatni lehetne a bongeszest es nem dobna at a login oldalra.

moesko 2014.01.13. 09:29:14

tudod mi az adatvédelmi blamázs? hogy az elte új jajdejónekünk neptunjában bárki bármely kurzus névsorát megtekintheti. ha tudod valakiről, hogy milyen szakos, pláne ha azt is, hanyadéves, a szak kódjai alapján pár perc alatt le lehet nyomozni a teljes órarendjét. én is akkor jöttem rá, amikor valaki elkezdett követni.. jó, mi?

régen az etr-ben csak olyan tárgyak névsorát lehetett látni, amit fel is vettél, de jelenleg 30 000 BA/MA/akármilyen hallgató tudhatja egymásról, épp hol tartózkodik..

BKV reszelő 2014.01.13. 10:48:07

@J.László: Igen, én is a session lezárásának tudom be ezt a hibát.

BKV reszelő 2014.01.13. 10:50:09

@droid_: Nem így van. A kilépéskor kéne lezárni a sessiont, de valamiért - ez maga a hiba - ez nem következik be, hanem csak egy másik menüpont/funkcióra való katintásnál megy el a session-t kezelő ágra. Mivel a kilépés valami táblában már jelölve van, ekkor zárja le a sessiont és dob a login oldalra.

Dr_utcai_arcos 2014.01.13. 11:28:47

Lehet én vagyok ilyen korán fáradt, de mi a hiba a szaradb.pte-vel? Mit kellett volna itt észrevennie a szűrőnek? Még ha szarodb.pte vagy szardb.pte lenne.

droid_ · http://matyiszuro.blog.hu/ 2014.01.25. 18:28:45

@BKV reszelő: ja ertem. amikor azt irja, hogy "nem érvényteleníti a munkamenetet", akkor az nala nem azt jelenti, hogy nem ervenyteleniti a munkamenetet, hanem azt jelenti, hogy kesve ervenyteleniti a munkamenetet, esetleg azt, hogy azonnal ervenyteleniti, de ennak csak kesve van hatasa. akkor nem vitatom, amit ir :)

Közösségek

süti beállítások módosítása