Odpověď na názor
Odpovídáte na názor k článku V datových schránkách je nepříliš bezpečná novinka. DIA ji ale zdůvodňuje „zvýšením bezpečnosti“. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
Například v rámci browseru udělat významnou hranici mezi běžným prohlížením stránek a přístupem k službám, které potřebují vyšší úroveň ochrany.
To nelze, ta hranice neexistuje – je to spojitá škála.Je ale pravda, že základy, které jsou v prohlížečích dostupné pro autentizaci uživatelů, jsou tragické – přitom by bylo velmi jednoduché to udělat lépe. Za prvé, přihlášení uživatele heslem se řeší formulářem ve webové stránce, takže k heslu má stránka a všechny skripty na ní přístup. Přitom v protokolu HTTP existoval prostředek, jak to obejít – jen byl v prohlížečích implementován hrozně, a chyběla mu část pro registraci. To se dnes pomaličku nahrazuje passwordless řešeními, takže nějaký pokrok tu je. S třicetiletým zpožděním.
Další problém je autentizace už přihlášeného uživatele. Na výběr je uložení do sessison storage, což bezpečnostní odborníci nedoporučují, nebo cookies, což je taková hrůza, že se o ní bezpečnostní odborníci raději ani nevyjadřují. Přitom by to opět bylo řešitelné podobným způsobem – bezpečnostně citlivé informace by byly uložené v prohlížeči v oddělené části, stránka ani JavaScript by k nim neměl přístup, pouze by mohl dát pokyn, ať se přibalí do hlavičky požadavku. Prohlížeč by kontroloval origin a nedovolil by přibalit informace, na které nemá stráka nebo cíl nárok.
