» »

Naroči me na upravno enoto

Naroči me na upravno enoto

Pomenljive napake

Podatki vseh registracij; https://uen.ortus-inc.si/api/reservation/XXX

Slo-Tech - Koronska kriza nas je vse prisilila v več spletnega poslovanja. Zdaj traja že skoraj dve leti, tako da smo se že dodobra naučili in navadili delati od doma, nakupovati prek interneta, sodelovanja prek video klicev, poslušanja koncertov prek interneta in vse ostale moderne načine dela in življenja.

Ta hiter preskok iz analognega v digitalno življenje je seveda, poleg prilagajanja življenjskih navad posameznikov, zahteval investicije v novo opremo in storitve.

Vse aktivnosti pa kljub vsemu ne potekajo v celoti prek interneta. Predvsem storitve so takšno področje, kjer stranka obišče ponudnika, da pri njem opravi, ker ima opraviti. Med te spadajo tudi upravne enote, ki danes nastopajo v vlogi glavnega junaka zgodbe.

Upravne enote so lokalne izpostave izvršilne veje oblasti. Osebni dokumenti, gradbena dovoljenja, registracije društev, dovoljenja za bivanje, vozniške, prometne, kmetijske zadeve, poroke, ločitve, overitve ... vse se dobi na upravni enoti.

Zaradi korone je bilo treba omejiti tudi število ljudi v stavbah, kjer delujejo upravne enote. Da pa ljudje ne bi čakali pred stavbo, je bilo treba uvesti sistem naročanja - prek spleta. Takšnega načina poslovanja smo se, kot že rečeno, v zadnjih časih naučili in navadili že skorajda vsi. Vendar pa pred krizo upravne enote takšnega sistema niso imele. Treba je bilo najti nekaj, kar deluje in je, v maniri javnih naročil, poceni.

Upravne enote Ljubljana, Litija in Logatec so izbrale izvajalca Ortus Inc, d.o.o., ki je pripravil aplikacijo za naročanje. Spletna aplikacija je enostavna za uporabo. Izberete datum, upravno enoto, postopek, poveste koliko vas bo prišlo in dobite termin. V naslednjem koraku še vpišete ime in kontaktne podatke ter potrdite rezervacijo.

Te dni pa smo dobili obvestilo o morebitni varnostni luknji v sistemu. Kot nam je pojasnil naš vir, je aplikacija očitno ranljiva na vrivanje SQL stavkov (SQL injection).

Naj spomnimo, prav ta vrsta ranljivosti je bila problem tudi pri novih spletnih straneh AJPES.

Takrat smo zapisali, da je SQL injection ena od najbolj pogostih ranljivosti spletnih aplikacij. Gre za tako pogosto ranljivost, da se o njej učijo že začetniki programiranja. Kadar je spletna aplikacija ranljiva na SQL injection torej gre za neupoštevanje minimalnih dobrih praks na področju programiranja in za veliko malomarnost programerjev.

Kako deluje SQL injection? Aplikacija za svoje delovanje, za hrambo podatkov (npr. podatkov o osebah, ki so se naročile na termin na upravni enoti) uporablja zbirko podatkov. Aplikacija bere podatke iz zbirke in jih vanjo zapisuje s tem, da izvede ustrezne SQL ukaze. Ti ukazi se sestavijo iz v naprej pripravljenih delov, ki pa se dopolnijo s tem, kar je v aplikacijo vpisal uporabnik (npr. svoje ime). Slabo sprogramirane aplikacije vpisane podatke uporabijo v SQL ukazu neposredno, brez sprememb. To pomeni, da jih ne spremenijo niti v primeru, ko vpisani podatki vsebujejo dodatne SQL ukaze. Ti SQL ukazi, ki jih je uporabnik vpisal na primer namesto svojega imena v aplikacijo, se potem izvedejo v SQL strežniku. Na ta način lahko zlonamerni uporabnik SQL strežnik pripravi do tega, da mu da podatke, do katerih uporabnik sicer nima dostopa. Prav tako lahko podatke izbriše ali spremeni.

Poleg SQL injection so podatki na voljo tudi prek API. In sicer se do njih dostopa prek IDjev, ki pa so številčeni zaporedno. Tako jih sploh ni treba ugibati, ampak se lahko "uporabnik" po njih sprehodi s skripto.

Kakšne so posledice malomarnega programiranja v primeru aplikacije za naročanje na termin pri upravni enoti?

Kdorkoli lahko pogleda, kdo se je prijavil na termin, lahko termin izbriše ali ga spremeni. Kakšen bolj zloben napadalec bi lahko celo rezerviral vse proste termine in s tem onemogočil pravim strankam dostop do terminov. Pri zlorabah takšnih sistemov je omejitev le domišlja.

Ampak to še ni vse. Pod obrazcem za naročanje najdemo tudi pravno obvestilo. Iz njega je sklepati, da z izpolnitvijo obrazca za naročanje na termin pri upravni enoti, soglašate tudi z obdelavo osebnih podatkov za namen obveščanja (spam). Ni povsem jasno, komu ste to soglasje sicer dali - upravni enoti ali Ortus inc d.o.o. … V nadaljevanju, pod pravnim obvestilom, je še razdelek z informacijami o kontaktnem obrazcu, ki pa - nasprotno kot pravno obvestilo - obljublja, da podatke obdelujejo le za namene odgovora na vprašanje, ne pa za druge namene. Ampak to ni pravno obvestilo, a ne?

Kaj bi pričakovali? Aplikacijo, ki ni polna varnostnih lukenj. In pravno obvestilo, ki vsaj približno sledi Splošni uredbi. Iz obvestila bi moralo biti jasno kdo je upravljavec in kdo obdelovalec podatkov, namen obdelave in ustrezna podlaga za obdelave. Obvestilo bi moralo imeti tudi informacijo o možnosti pritožbe pri Informacijskem pooblaščencu. Predvsem pa bi moralo biti jasno in nedvoumno.

Predvsem gre pri naročanju na termin na upravni enoti za obdelavo osebnih podatkov za obdelavo, ki je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu (torej upravni enoti). Take obdelave so po našem trenutno veljavnem Zakonu o varstvu podatkov podvržene "strogemu načelu zakonitosti", kar pomeni, da bi morala biti takšna obdelava posebej urejena v zakonu. Pa ni. Zakon bi moral določati, katere podatke se sme za naročanje na termin pridobiti, hraniti, kaj se sme s temi podatki početi, kako dolgo se to sme početi in kaj je treba z njimi narediti, ko ta rok poteče. Zakon ne določa ničesar, ker pač (jasno) ni predvidel situacije, ki jo je prinesla koronska kriza. In ne določa tega niti po dveh letih trajanja krize. Trenutno je sicer v pripravi nov Zakon o varstvu osebnih podatkov, ki pa žal tudi ne bo popravil situacije.

Kolikor denarja, toliko muzike. Za dobrih 300.000 EUR bi sicer pričakovali vsaj osnovno skrb za varnost osebnih podatkov in za upoštevanje dobrih praks programiranja, od države pa, da bi na varnost produktov vsaj pomislila.

195 komentarjev

«
1
2 3 4

FireSnake ::

Se še vedno nobenemu ne zdi sporno, da politika lahko kadruje?
Poglej in se nasmej: www.vicmaher.si

Karamelo ::

pa jih je kdo obvestil o teh problemih al smo dali najprej v medije?

borisk ::

se pravi se mali boby droptable še ni naročil za termin za novo digitalno potrdilo?

MrStein ::

"aplikacija očitno ranljiva na vrivanje SQL stavkov"

You gotta be kiding me. Kako lahko to leta 2021? A programirajo v BASIC-u? (sicer je bolj odvisno od API kot jezika)

FireSnake je izjavil:

Se še vedno nobenemu ne zdi sporno, da politika lahko kadruje?

Kako pa bi ti* rešil ta problem?

* ali kdorkoli drug
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

c3p0 ::

300k za obrazec? Lepa. Posel so gotovo dobili na transparentnem razpisu, brez posebnih pogojev, kot to gre v naši državi. Aja, živimo na Balkanu.

OracleDev ::

Ortus inc je lani od države prejel cca 55k (erar informacije).

Phantomeye ::

Še jaz k nisem programer, avtomatsko probam na url-ju, če je kaj ranljivo. Iz dolgčasa.


Ampak meni je bolj kot to bizarno, da so naredili APP, kjer se naročiš na obisk opravne enote.

Leta 2022 bi morali imeti že omogočeno opravljanje storitev preko faking splet.

Recimo ne vem zakaj si moraš npr SI-PASS osebno zrihtat it, kot da nimamo pri sebi več različnih identifikatorjev, s katerimi bi dokazali, da smo res mi.

stropy ::

Phantomeye je izjavil:

Še jaz k nisem programer, avtomatsko probam na url-ju, če je kaj ranljivo. Iz dolgčasa.


Ampak meni je bolj kot to bizarno, da so naredili APP, kjer se naročiš na obisk opravne enote.

Leta 2022 bi morali imeti že omogočeno opravljanje storitev preko faking splet.

Recimo ne vem zakaj si moraš npr SI-PASS osebno zrihtat it, kot da nimamo pri sebi več različnih identifikatorjev, s katerimi bi dokazali, da smo res mi.


Saj lahko opravljaš storitve preko upravne enote, samo zrihtat si moraš digitalno potrdilo?

strawman ::

MrStein je izjavil:

"aplikacija očitno ranljiva na vrivanje SQL stavkov"

You gotta be kiding me. Kako lahko to leta 2021? A programirajo v BASIC-u? (sicer je bolj odvisno od API kot jezika)


To je pa to ko v basic SQL tutorialu ne razložijo prepared statementov.

kixs ::

Phantomeye je izjavil:


Recimo ne vem zakaj si moraš npr SI-PASS osebno zrihtat it, kot da nimamo pri sebi več različnih identifikatorjev, s katerimi bi dokazali, da smo res mi.


Js sem si ga uredil preko spleta - verjetno z uporabo dig.certifikata - se ne spomnem vec, sigurno pa ga nisem urejal osebno.

misek ::

kixs je izjavil:

Phantomeye je izjavil:


Recimo ne vem zakaj si moraš npr SI-PASS osebno zrihtat it, kot da nimamo pri sebi več različnih identifikatorjev, s katerimi bi dokazali, da smo res mi.
Js sem si ga uredil preko spleta - verjetno z uporabo dig.certifikata - se ne spomnem vec, sigurno pa ga nisem urejal osebno.
Tudi jaz sem ga naročil preko spleta s certifikatom.

Saul Goodman ::

hvala za novico, 25k rezervacij spumpanih v offline bazo. :) moram preverit, če odtekajo tudi podatki moje družine.

ne jokat `DoC, to so javno dostopne informacije.

Zgodovina sprememb…

krempelj ::

Saul Goodman je izjavil:

hvala za novico, 25k rezervacij spumpanih v offline bazo. :) moram preverit, če odtekajo tudi podatki moje družine.

ne jokat `DoC, to so javno dostopne informacije.


No, samo upam, da prek VPNja, ker bos tezko milicnikom karkoli pojasnil, sodnikom pa se manj. Po nasi zakonodaji je se ping hackersko orodje, da o browserju sploh ne govorimo.

Pa nekaj je napisano tudi o nepooblascenem dostopanju do podatkov, kjer je za osebne podatke se bolj zaostreno. Po mojem bi se lahko sel za kaj takega usest.
Praskam...

Zgodovina sprememb…

  • spremenilo: krempelj ()

johanblond ::

Saul Goodman je izjavil:

hvala za novico, 25k rezervacij spumpanih v offline bazo. :) moram preverit, če odtekajo tudi podatki moje družine.

ne jokat `DoC, to so javno dostopne informacije.


Ne razumeš najbolje :-). To je zbirka osebnih podatkov, ki zapade GDPR :-) in vsem zahtevam GDPR:-). Pazi, da boš skrbno varoval le-te osebne podatke.

Mnenje IP glede javno objalvjenih podatkov: "To pomeni, da ne glede na to, da so določeni osebni podatki javno dostopni, se takšni osebni podatki ne smejo uporabljati za kakršen koli namen, npr. za vzpostavitev nove zbirke osebnih podatkov"

Furbo ::

Ne vem zakaj ne moremo osebne dokumente in potne liste naročiti prek spleta, če že imamo vse žive certifikate?
Lp,f

Groot ::

Phantomeye je izjavil:


Recimo ne vem zakaj si moraš npr SI-PASS osebno zrihtat it, kot da nimamo pri sebi več različnih identifikatorjev, s katerimi bi dokazali, da smo res mi.


SI-PASS si moraš urediti osebno zgolj ob prvi izdaji, ker mora pooblaščena oseba preverit tvojo identiteto. Sklepam da bo z razmahom biometričnih osebnih izkaznic sčasoma lahko odpadel tudi ta korak.

Ko pa imaš enkrat eno digitalno identiteto (SI-PASS, SIGENCA) pa lahko naročaš nove, itd. preko spleta.

Ni vse za kritiko takoj na prvo žogo ;) se pa strinjam da bi sicer lahko še več storitev prenesli na e-Upravo.

Saul Goodman ::

johanblond je izjavil:

Saul Goodman je izjavil:

hvala za novico, 25k rezervacij spumpanih v offline bazo. :) moram preverit, če odtekajo tudi podatki moje družine.

ne jokat `DoC, to so javno dostopne informacije.


Ne razumeš najbolje :-). To je zbirka osebnih podatkov, ki zapade GDPR :-) in vsem zahtevam GDPR:-). Pazi, da boš skrbno varoval le-te osebne podatke.

Mnenje IP glede javno objalvjenih podatkov: "To pomeni, da ne glede na to, da so določeni osebni podatki javno dostopni, se takšni osebni podatki ne smejo uporabljati za kakršen koli namen, npr. za vzpostavitev nove zbirke osebnih podatkov"


ne vem če se ti zavedaš kakšen teksas je v sloveniji glede zbirk osebnih podatkov in kako firme delajo z njimi kot svinje z mehom. očitno ni problema, saj vidiš kaj si privoščijo firme. spremljaj, kaj se bo zgodilo s tem d.o.o.jem.

FireSnake ::

MrStein je izjavil:


Kako pa bi ti* rešil ta problem?


Review neodvisne firme.
Penali, če zadeva ne ustreza standardom!

Tole je tipično napajanje iz državnega seska. Dokler bodo o tem odločali politiki (ali tisti, ki jih je politika nastavila) bo to tako (slabo).

Že vidiš, kje je problem?



************


Jaz bom tem pajacem pisal.

In vprašal, kdaj bodo zadevo uredili.

Obvestiti bi bilo potrebno tudi (pokvarjene in podkupljene) medije!
Poglej in se nasmej: www.vicmaher.si

Zgodovina sprememb…

  • spremenilo: FireSnake ()

HotBurek ::

Za dobrih 300.000 EUR ...

Manj plačanih davkov = manj pokradenega denarja.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

Baja ::

in zakaj tale aplikacija ni na drzavnih streznikih?

tudi jaz bom jim poslal mejl

Saul Goodman ::

zgleda je konc zabave. al ste preveč navalili, al so pa končno kabl iztaklni. aplikacija za naročanje je ded. :D

Baja ::

meni jo se vedno odpre. mogoče so samo tebe odrezali, hehe

Baja ::

no, na obrazcu jim je vsaj ratalo ssl usposobiti, kar ne morem rečti za njihovo stran. šalabajzerji

Baja ::

zgeda da je res ded. ni upravnih enot, ni postopkov

eventyrer ::

v novici ni navedeno da je bilokdo obvestil izvajalca da bi napako odpravili pred objavo novice. Zgolj napisali ste da ste se s tem igrali in se delali pametne, ne pa da je bilokdo kakorkoli ukrepal da bi se napako odpravilo pred objavo novice.

Kar je hudo sporno, še mnogo bolj sporno kot to da se je napaka sploh pojavila.


Seveda zatorej povsem razumem zakaj se pod novico nihče ni upal podpisati.

Zgodovina sprememb…

  • spremenil: eventyrer ()

zee ::

Furbo je izjavil:

Ne vem zakaj ne moremo osebne dokumente in potne liste naročiti prek spleta, če že imamo vse žive certifikate?


Za potni list to sploh ne gre, ker je potrebno vsakic oddati prstne odtise, ki se shranijo v cip na potnem listu, potem pa se unicijo. Ja, strosek potnega lista, ce zivis v JV Aziji, je tako zaradi COVID-a in pomanjkanja (odstonosti) diplomatsko-konzularne regiji nekje 800 € (taksa za potni list, letalska karta do Slovenije, 5 dni dopusta, 10-dnevna karantena ob vrnitvi, test PCR pred iztekom karantene). ;(
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

Baja ::

Te dni pa smo dobili obvestilo o morebitni varnostni luknji v sistemu. Kot nam je pojasnil naš vir, je aplikacija očitno ranljiva na vrivanje SQL stavkov (SQL injection).


Sicer res ne piše ampak jaz verjamem da so bili obveščeni.

eventyrer ::

Baja je izjavil:

Te dni pa smo dobili obvestilo o morebitni varnostni luknji v sistemu. Kot nam je pojasnil naš vir, je aplikacija očitno ranljiva na vrivanje SQL stavkov (SQL injection).


Sicer res ne piše ampak jaz verjamem da so bili obveščeni.


Verjamemo lahko tudi v božička ampak v stavku ki si ga citiral piše samo da je bil avtor novice "obveščen" o tej napaki. Ne pa tudi skrbnik tega sistema.

Po objavi novice je nekdo očitno prekinil povezavo do sistema. Lahko da je nekdo prebral novico na slo-techu in zapaničaril lahko pa da se je našel idiot ki je začel delat neumnosti po sistemu ker je en večji idiot objavil novico preden bi obvestil skrbnika sistema.

ne vemo......se pa imamo seveda možnost zgražati tako kot se je zgražal avtor novice saj tudi on ni povsem opravil svojega dela in nam podal vseh informacij (če je bil skrbnik obveščen, kar je osnovna higiena pri objavi takih novic).

Zgodovina sprememb…

  • spremenil: eventyrer ()

Baja ::

eventyrer je izjavil:

Baja je izjavil:

Te dni pa smo dobili obvestilo o morebitni varnostni luknji v sistemu. Kot nam je pojasnil naš vir, je aplikacija očitno ranljiva na vrivanje SQL stavkov (SQL injection).


Sicer res ne piše ampak jaz verjamem da so bili obveščeni.


Verjamemo lahko tudi v božička ampak v stavku ki si ga citiral piše samo da je bil avtor novice "obveščen" o tej napaki. Ne pa tudi skrbnik tega sistema.


boldal sem "Te dni". kar nakazuje da novice niso objavili na vrat na nos. če se spomnim prejšnjih podobnih člankov, je bilo omenjeno da so pred tem obvestili izvajalce, zato nimam razloga, da bi zdaj mislil drugače.

edit: Ja, lahko pa bi vseeno dodali

Zgodovina sprememb…

  • spremenil: Baja ()

eventyrer ::

Baja je izjavil:

eventyrer je izjavil:

Baja je izjavil:

Te dni pa smo dobili obvestilo o morebitni varnostni luknji v sistemu. Kot nam je pojasnil naš vir, je aplikacija očitno ranljiva na vrivanje SQL stavkov (SQL injection).


Sicer res ne piše ampak jaz verjamem da so bili obveščeni.


Verjamemo lahko tudi v božička ampak v stavku ki si ga citiral piše samo da je bil avtor novice "obveščen" o tej napaki. Ne pa tudi skrbnik tega sistema.


boldal sem "Te dni". kar nakazuje da novice niso objavili na vrat na nos. če se spomnim prejšnjih podobnih člankov, je bilo omenjeno da so pred tem obvestili izvajalce, zato nimam razloga, da bi zdaj mislil drugače.


Tako kot ti so nekaj predvidevali tudi avtorji tega obrazca (v letu 2022 pa ja nihče ne bo probal sql injectiona naredit no, to pa je ja že avtomatično rešeno z modernimi mehanizmi no..ne bomo niti probali če ta nevarnost obstaja)

Predvidevanje je glavni krivec za vse zajebe.

Jaz ne verjamem da so bili obveščeni. Menim samo da je avtor teme nekaj dni pisal članek, to je pa to. In ja, drznil sem si predvidevati. Lahko da sem zajebal. :P :D


edit.: sicer glede na "izvrstno" odzivnost vladnih služb nekako pričakujem da tudi če bi jim pisec novice to javil, oni ne bi reagirali...ali pa bi ga celo obtožili hekanja in ga začeli pravno preganjati. lol.

Zgodovina sprememb…

  • spremenil: eventyrer ()

krempelj ::

HotBurek je izjavil:

Za dobrih 300.000 EUR ...

Manj plačanih davkov = manj pokradenega denarja.


Manj placas davkov, vec jih placajo vsi ostali.

Toliko, da boste vedeli, da ce se kdo pobaha z davcno utajo, vam krade denar iz zepa.

Mogoce vam zapase, da ga na gobec, ker si je zasluzil.

eventyrer je izjavil:

edit.: sicer glede na "izvrstno" odzivnost vladnih služb nekako pričakujem da tudi če bi jim pisec novice to javil, oni ne bi reagirali...ali pa bi ga celo obtožili hekanja in ga začeli pravno preganjati. lol.


Da. Zato je zadeve bolje spraviti anonimno v medije.
Praskam...

Zgodovina sprememb…

  • spremenilo: krempelj ()

Baja ::

eventyrer je izjavil:


edit.: sicer glede na "izvrstno" odzivnost vladnih služb nekako pričakujem da tudi če bi jim pisec novice to javil, oni ne bi reagirali...ali pa bi ga celo obtožili hekanja in ga začeli pravno preganjati. lol.


Ja, saj ravno to je po moje kar najbolj verjeten razlog za tole novico.

V-i-p ::

MrStein je izjavil:


Kako pa bi ti* rešil ta problem?

* ali kdorkoli drug

A ni zvezdica pred ti? ;)
Kar lahko storiš danes ne odlašaj na jutri. Raje reci, da si naredil že včeraj!

Zgodovina sprememb…

  • spremenil: V-i-p ()

Phantomeye ::

stropy je izjavil:

Phantomeye je izjavil:

Še jaz k nisem programer, avtomatsko probam na url-ju, če je kaj ranljivo. Iz dolgčasa.


Ampak meni je bolj kot to bizarno, da so naredili APP, kjer se naročiš na obisk opravne enote.

Leta 2022 bi morali imeti že omogočeno opravljanje storitev preko faking splet.

Recimo ne vem zakaj si moraš npr SI-PASS osebno zrihtat it, kot da nimamo pri sebi več različnih identifikatorjev, s katerimi bi dokazali, da smo res mi.


Saj lahko opravljaš storitve preko upravne enote, samo zrihtat si moraš digitalno potrdilo?


Saj to vam pravim, v vsakem primeru rabiš iti na upravno enoto. Za certifikat ali za si-pass. To so stvari, ki bi jih lahko zrihtali na daljavo.

Groot je izjavil:

Phantomeye je izjavil:


Recimo ne vem zakaj si moraš npr SI-PASS osebno zrihtat it, kot da nimamo pri sebi več različnih identifikatorjev, s katerimi bi dokazali, da smo res mi.


SI-PASS si moraš urediti osebno zgolj ob prvi izdaji, ker mora pooblaščena oseba preverit tvojo identiteto. Sklepam da bo z razmahom biometričnih osebnih izkaznic sčasoma lahko odpadel tudi ta korak.

Ko pa imaš enkrat eno digitalno identiteto (SI-PASS, SIGENCA) pa lahko naročaš nove, itd. preko spleta.

Ni vse za kritiko takoj na prvo žogo ;) se pa strinjam da bi sicer lahko še več storitev prenesli na e-Upravo.


Obstaja veliko storitev, ki potrebujejo preverit istovetnost. Recimo tisti, ki so v kripto valutah se verjetno niso potrebovali zglasiti na upravi firme Binance ali Coinbase in podobno, da so se lahko registrirali.

Tako, da ne vidim razloga, zakaj ne bi imeli nekaj podobnega tudi pri nas.

Zgodovina sprememb…

GupeM ::

eventyrer je izjavil:

Kar je hudo sporno, še mnogo bolj sporno kot to da se je napaka sploh pojavila.

Ah daj no ... Da pa možnost navadnega SQL injectiona obstaja ... Bolj sporno ne more bit. Bi razumel, da bi nekdo na nek način za nek framework ugotovili, kako izvestesti SQL injection. Takrat se seveda spodobi, da obvestiš avtorja. Ampak navadni SQL??? To bo poskušal vsak srednješolec, ki ve kaj je SQL in ima 5 minut časa. Še osnovnošolec, ki je kdaj slišal za internet bi to probal izvest. Tako da tukaj ni opravičila.

Za dostop do osebnih podatkov s povečevanjem enega števca je pa tudi malomarnost. To verjetno browserji sami delajo, ko poskušajo cacheati podatke vnaprej. Tega ne narediš za manj občutljive podatke, kaj šele za tako občutljive.

Phantomeye je izjavil:

Saj to vam pravim, v vsakem primeru rabiš iti na upravno enoto. Za certifikat ali za si-pass. To so stvari, ki bi jih lahko zrihtali na daljavo.

Obstaja veliko storitev, ki potrebujejo preverit istovetnost. Recimo tisti, ki so v kripto valutah se verjetno niso potrebovali zglasiti na upravi firme Binance ali Coinbase in podobno, da so se lahko registrirali.

Tako, da ne vidim razloga, zakaj ne bi imeli nekaj podobnega tudi pri nas.

Pri eni stvari odpiraš fakin bančni račun/račun na menjalnici. Pri drugi si pa ustvarjaš ID dokument, ki je uporaben po celem svetu in z njim lahko odpreš bančni račun, pa nihče ne bo vedel kdo si v resnici.

To je neprimerljivo.

Zgodovina sprememb…

  • spremenil: GupeM ()

Phantomeye ::

GupeM je izjavil:

eventyrer je izjavil:

Kar je hudo sporno, še mnogo bolj sporno kot to da se je napaka sploh pojavila.

Ah daj no ... Da pa možnost navadnega SQL injectiona obstaja ... Bolj sporno ne more bit. Bi razumel, da bi nekdo na nek način za nek framework ugotovili, kako izvestesti SQL injection. Takrat se seveda spodobi, da obvestiš avtorja. Ampak navadni SQL??? To bo poskušal vsak srednješolec, ki ve kaj je SQL in ima 5 minut časa. Še osnovnošolec, ki je kdaj slišal za internet bi to probal izvest. Tako da tukaj ni opravičila.

Za dostop do osebnih podatkov s povečevanjem enega števca je pa tudi malomarnost. To verjetno browserji sami delajo, ko poskušajo cacheati podatke vnaprej. Tega ne narediš za manj občutljive podatke, kaj šele za tako občutljive.

Phantomeye je izjavil:

Saj to vam pravim, v vsakem primeru rabiš iti na upravno enoto. Za certifikat ali za si-pass. To so stvari, ki bi jih lahko zrihtali na daljavo.

Obstaja veliko storitev, ki potrebujejo preverit istovetnost. Recimo tisti, ki so v kripto valutah se verjetno niso potrebovali zglasiti na upravi firme Binance ali Coinbase in podobno, da so se lahko registrirali.

Tako, da ne vidim razloga, zakaj ne bi imeli nekaj podobnega tudi pri nas.

Pri eni stvari odpiraš fakin bančni račun/račun na menjalnici. Pri drugi si pa ustvarjaš ID dokument, ki je uporaben po celem svetu in z njim lahko odpreš bančni račun, pa nihče ne bo vedel kdo si v resnici.

To je neprimerljivo.


I mean, za binance slikaš osebni dokument, slikaš sebe, svoj naslov itd. Ne vidim kaj je drugače, da te mora teta za šaltarjem vidt v živo na lastne oči.

BigWhale ::

MrStein je izjavil:

"You gotta be kiding me. Kako lahko to leta 2021?


Aplikacija ima default favicon od vue.js, mene ni nic vec ne preseneti. :>

FireSnake ::

Tem kretrenom je res treba na mail malo pospamati in dati povezavo do tele novice.

Sploh programerji, da jih strokovno stolčemo!
Poglej in se nasmej: www.vicmaher.si

Zgodovina sprememb…

  • spremenilo: FireSnake ()

misek ::

Mene res zanima, kaj si zdaj mislijo programerji, ki so ustvarili to čudo. A se kaj sekirajo? :|

V-i-p ::

Bože mili, kaj mi dobimo leta 2022, pa to ni res, no :].
Kar lahko storiš danes ne odlašaj na jutri. Raje reci, da si naredil že včeraj!

matobeli ::

Noben se ne sekira dokler jo ima v medu.

misek ::

matobeli je izjavil:

Noben se ne sekira dokler jo ima v medu.
No ja, sekiro v medu ima lastnik podjetja. Koliko so pa delavci plačani pa ne vemo.

GupeM ::

Phantomeye je izjavil:

I mean, za binance slikaš osebni dokument, slikaš sebe, svoj naslov itd. Ne vidim kaj je drugače, da te mora teta za šaltarjem vidt v živo na lastne oči.

Ja, in? Za nakup prek spleta pa sploh nič ne rabiš. Niti osebne. Your point?

Phantomeye ::

GupeM je izjavil:

Phantomeye je izjavil:

I mean, za binance slikaš osebni dokument, slikaš sebe, svoj naslov itd. Ne vidim kaj je drugače, da te mora teta za šaltarjem vidt v živo na lastne oči.

Ja, in? Za nakup prek spleta pa sploh nič ne rabiš. Niti osebne. Your point?


Napisal sem zakaj upravna enota ne bi delovala na daljavo? Npr. video klic ali podobno. Kaj je drugače, če si fizično tam.

Ampak vidim, da si ne bova prišla na sproti zato nima smisla, da nadaljujeva tole. Ti praviš, da se ne da, jaz pravim, da vidim možnost.

Zgodovina sprememb…

GupeM ::

Zato, ker je izdelava ID dokumenta bolj pomembna in občutljiva kot odpiranje bančnega računa, ki pa je bolj občutljivo kot nakup kondomov v trgovini. Dalo bi seveda se, ni pa bila možnost goljufije precej večja.

actuallydoc ::

stari moj leta 2022 smo pa so še kr aplikacije vulnerable na sql injection ka majo to neke amaterje tam.:O

Uros!no ::

MrStein ::

Phantomeye je izjavil:

stropy je izjavil:


Saj lahko opravljaš storitve preko upravne enote, samo zrihtat si moraš digitalno potrdilo?


Saj to vam pravim, v vsakem primeru rabiš iti na upravno enoto. Za certifikat ali za si-pass. To so stvari, ki bi jih lahko zrihtali na daljavo.

Kako naj vedo, da si to res ti?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Matthai ::

ORTUS INC., podjetje za svetovanje in marketing. Marketing, right!

V PRS je kot lastnik in direktor vpisana oseba A. H. iz Vodic, ki je poslovno udeležena tudi v temle klicnem centru: https://ortusicall-group.si/en/about-us/

Oseba z istim imenom in priimkom pa je leta 2018 kandidirala tudi na lokalnih volitvah v Ljubljani na volitvah za Četrtno skupnost Šentvid: https://www.ljubljana.si/assets/Uploads...

Je pa res, da gre lahko samo za isto ime in priimek in ne za isto osebo, čeprav Vodice in Šentvid sta... blizu.

Saul Goodman je izjavil:

hvala za novico, 25k rezervacij spumpanih v offline bazo. :) moram preverit, če odtekajo tudi podatki moje družine.

ne jokat `DoC, to so javno dostopne informacije.

To se ne dela. Preprosto je nespodobno in predvsem nezakonito. Saj se zavedaš, da si s tem prekršil kup zakonov, ne? Jaz osebno sem mnenja, da je take stvari sicer dobro arhivirati, ampak to pomeni, da se zajame zaslonski posnetek ali dva, ne pa celotne baze. Pa da se potem občutljive podatke anonimizira. S tem je namen arhiviranja dosežen (če je na prime potrebno za dokazovanje, da je ranljivost res obstajala), storjena škoda pa je resnično minimalna.

To kar si ti naredil je pa skrajno zavržno dejanje.
Kind of an asshole at first sight, but actually a nice guy
when you get to know me personally. :)
«
1
2 3 4


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Naroči me na upravno enoto (strani: 1 2 3 4 )

Oddelek: Novice / Zasebnost
19520875 (2196) preiskovalec
»

digitalno potrdilo o cepljenju COVID-19

Oddelek: Loža
433646 (1563) FoxKnox
»

E-napotnica (strani: 1 2 )

Oddelek: Loža
5810519 (3627) simnov
»

Kako preverim, če je stavba črna gradnja in ne poznam investitorja (strani: 1 2 )

Oddelek: Loža
8820735 (18829) Rok Woot
»

problemi z digitalnim certifikatom SIGEN-CA

Oddelek: Informacijska varnost
3415050 (5841) Ice-Heki

Več podobnih tem