Nebezpečný upgrade datových schránek (update)
Ministerstvo vnitra zveřejnilo v průběhu týdne informaci o tom, že v noci ze soboty na neděli bude proveden první zásadní upgrade uživatelského rozhraní datových schránek od jejich spuštění v létě 2008.
Deset let předstvauje v oblasti informačních technologií zhruba dvě až tři generace systémů, toto oznámení tedy logicky vzbuzuje velká očekávání. A to mimo jiné i proto, že rozhraní systému datových schránek nebylo z pohledu uživatelské přívětivosti právě vzorem dokonalosti ani v době svého vzniku, natož po deseti letech.
Jedním z hlavních atributů, který Ministerstvo vnitra spojuje s datovými schránkami, je bezpečnost komunikace vedení jejich prostřednictvím. Poněkud zarážející je tak už pohled na úvodní přihlašovací obrazovku, ze které zmizela captcha, tedy prvek náhodně generovaných znaků které je třeba opsat do přihlášení, aby byly eliminovány pokusy o strojové přihlašování přes uživatelské rozhraní. V tomto případě se ale ještě dá uvažovat o tom, že bude tento bezpečnostní prvek nahrazen nějakým jiným technickým opatřením, které nezatěžuje uživatele, nicméně garantuje obdobnou míru zabezpečení. Bylo by ale pěkné, kdyby toto rozhodnutí a provedená opatření ministerstvo alespoň okrajově okomentovalo.
Po přihlášení se ovšem projevil problém zásadní, a s ohledem na to že byl významně diskutován už při spouštění Portálu občana, v zásadě zcela neomluvitelný. Ministerstvo vnitra totiž zopakovalo svou oblíbenou chybu, a zcela ignoruje pravidla pro bezpečný session management. Po přihlášení do systému datových schránek je tak možné nejen otevřít neomezený počet oken, která všechna mohou se systémem komunikovat pod jedním přihlášením, ale především v případě zavření okna prohlížeče, jeho opětovném spuštění a vstupu na stránky datových schránek zůstává uživatel přihlášený, a to i v případě, že mezitím byl počítač restartován.
To je natolik zásadní bezpečnostní chyba, že v zásadě může ohrozit důvěryhodnost systému datových schránek jako takového. V tomto ohledu se tedy jedná o významné selhání – navíc opakované – a odpovědní pracovníci ministerstva by z něj měli vyvodit odpovídající důsledky jak v rovině personální, tak zejména v oblasti standardů a pravidel testování aplikaci před jejich spuštěním do ostrého provozu.
Update 22. 1. 2019: Na základě diskuse vyvolané zveřejněním článku je třeba uvést, že uvedená bezpečnostní chyba byla testována ve více prostředích, aby bylo ověřeno, že jedná skutečně o problém s realizací Session Managementu a ne o chybu v implementaci sessions v daném prohlížeči. Testování bylo provedeno na následujících prohlížečích, vždy se stejným výsledkem, a to bez ohledu na to, zda byl daný prohlížeč nastaven v režimu pro zapamatování rozložení stránek při novém spuštění nebo ne:
- Firefox Quantum verze 64.0.2
- Safari verze 12.0.3
- Safari Technology Preview release 73
- Google Chrome verze 67.0.3396.62
- Google Chrome verze 71.0.3578.98
Stejně se webové rozhraní ISDS chová i na všech dosud testovaných mobilních prohlížečích.
5 thoughts on “Nebezpečný upgrade datových schránek (update)”
Á, pan exprt zřejmě používá Chrome (https://bugs.chromium.org/p/chromium/issues/detail?id=844075).
Doporučuji se s podobným problémem vždy obrátit prvně na manuál nebo na tlf. linku podpory daného systému.
Pán sice Chrome používá, ale otestoval danou chybu na všech dostupnějších verzích prohlížečů a problém je téměř na všech, bez ohledu na to zda je nastaven režim pro zachování nastavení oken při novém spuštění či ne. Je pár verzí IE, na kterých byl problém odstraněn (pro Portál občana, pro ISDS jsem to ještě netestoval) po té, co jsem vnitro v létě prudil že by s tím měli něco dělat, ale dle mých informací je to specifická oprava doporučená Microsoftem, který neřeší základní problém nesprávného Session Managementu, a je účinná jen pro IE, a to ještě ne pro všechny verze …
Už u minulé verze bylo blbé, že při podávání Přehledu o výši pojistného za víc firem, člověk odeslal jeden, podepsal přihlášením do DS, ale tohle pak u podání za druhou firmu nešlo nijak odhlásit jedině zavřením okna. Jinak to nabídlo u druhé firmy už předtím přihlášenou DS a tlačítko na odhlášení nefungovalo. Za měsíc uvidím jak se to bude chovat teď.
Tak se chová i elektronické bankovnictví v mnoha bankách: po zavření okna jste stále přihlášen. Systémy naučily uživatele zlozvyku se neodhlašovat. Prohlížeče upouštějí od možností něco takového implementovat. Pokud to někde funguje, tak to jsou dočasné hacky, s nejistým časovým horizontem. Můžete poukázat na API, které k tomu lze využít?
upřímně, bankovnictví, které by se takto chovalo, bych asi nebyl ochotný používat. jsou situace, kdy je pohodlí sekundární a bezpečnost by měla být na prvním místě.
problému session managementu se věnuje poměrně obšírně na konceptuální rovině OWASP zde: https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
ve stručnosti je tento problém pojednán například také zde: https://affinity-it-security.com/how-to-prevent-session-management-vulnerabilities/
relevantní citace k problému: „Ensure that the session identifier token (cookie) has a browser session lifetime. That is, the browser should store the cookie is in memory (not in a file) and it should expire and disappear when the browser closes. This is the default lifetime for cookies, and changing it is typically a mistake.“