Hlavní navigace

Správa základních registrů nedbá základních bezpečnostních pouček

Marek Janouš 19. 7. 2012

„Bílý klobouk“ Roman Kümmel alias „.cCuMiNn.“ se díky „pilotnímu provozu“ základních registrů prošel vnitřkem systému InfoPORT, který má být přístupný jen úředníkům, jak dnes popsal v článku na Soom.cz. Anonymní přístup, kterého využil, už mezitím z živého webu zmizel. Zato na webu Správy základních registrů je dosud zveřejněna (pro vývojáře a správce) řada technických podrobností o systému, včetně uživatelských a správcovských manuálů a demo klientů i se zdrojovým kódem. A to zásadně ohrožuje…

„Bílý klobouk“ Roman Kümmel alias „.cCuMiNn.“ se díky „pilotnímu provozu“ základních registrů prošel vnitřkem systému InfoPORT, který má být přístupný jen úředníkům, jak dnes popsal v článku na Soom.cz. Anonymní přístup, kterého využil, už mezitím z živého webu zmizel.

Zato na webu Správy základních registrů je dosud zveřejněna (pro vývojáře a správce) řada technických podrobností o systému, včetně uživatelských a správcovských manuálů a demo klientů i se zdrojovým kódem. A to zásadně ohrožuje bezpečnost celých registrů, upozorňuje ve svém článku .cCuMiNn.

Našli jste v článku chybu?

19. 7. 2012 20:52

Vážený pane redaktore, než příště budete na Lupě odkazovat nějaký blábol* z oblasti bezpečnosti, něco si o dané problematice nastudujte, ať můžete sám dané dílo kriticky posoudit.

Cesta "security through obscurity" nikdy nevedla k ničemu dobrému a to platí i pro ISZR. Bezpečnostní zranitelnosti (XSS, upload souborů) zmíněné v odkazovaném článku jsou to zajímavé, na co jste měl upozornit místo bezpečnostně zcela irelevantní dokumentace architektury.

Navíc dle mého skromného názoru u systému jak…

19. 7. 2012 23:14

Uznávám, že jsem se nevyjádřil dostatečně přesně: Přístupový certifikát (tzn. podepsaný veřejný klíč) se teoreticky může uživateli někde povalovat a méně podezíravý uživatel ho tudíž klidně nahraje kamkoli. Jak již název napovídá, jeho získání nikomu nijak nepomůže, protože je už sám o sobě v principu veřejný (viz například běžně používané seznamy databáze veřejných klíčů na bázi LDAP pro X.509 PKI nebo PGP keyservery).

Útočníka by zajímal privátní klíč, jenže 99 % uživatelů systému vůbec netuš…

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!