Nový Badis - bezpečnostní chyba?
Neváhal jsem tedy a vše jsem odzkoušel. Musím říci, že mě to napoprvé dosti zarazilo. O co se tedy jedná? Přihlašte se k Badisu, zavřete záložku, kde jste přihlášení, a objeví se následující hláška:
Následně znovu zadejte adresu Badisu a znovu se přihlašte. Tentokrát zadejte jako přihlašovací jméno "franta" a heslo "karel". Badis vás však přihlásí znovu pod vaším jménem, a to dokonce i když zadáte správné údaje někoho jiného.
Je toto chování v pořádku?
Mnoho internetových stránek si drží přihlášení i po uzavření záložky, některé i po uzavření okna. To je samozřejmě v pořádku a je to i zamýšlené chování. Problém však nastává, když Badis vyhodí hlášku o odhlášení a při dalším přístupu opět žádá přístupové údaje. Z toho samozřejmě může člověk nabýt dojmu, že je skutečně odhlášen. Při uzavření celého okna již dojde ke skutečnému odhlášení.
Toto chování je v aplikaci patrně od samého začátku. Dle mých informací již na to bylo upozorňováno. Sám jsem napsal na Helpdesk ČZU a poprosil o vyjádření. Dle Helpdesku je chování v pořádku a zavření záložky prý není korektní ukončení aplikace. V současné chvíli se prý testuje možnost, která uživatele při zavření okna nebo záložky a následném znovuotevření upozorní, že sezení nebylo ukončeno, a zeptá se, zda chce nadále pokračovat. Uvidíme tedy, kdy to bude implementováno. Tuto informaci jsem obdržel 21. listopadu.
Závěrem
Jak se tedy "skutečně" odhlásit z aplikace? Je to jednoduché - buď klikněte vpravo nahoře na odhlásit, nebo zavřete celé okno prohlížeče.
Nerad bych vynášel nějaké soudy, a tak hodnocení, zda je toto chování v pořádku, nechám na vás. Tímto článkem chceme především na toto chování upozornit, abyste si mohli dát pozor.
Myslíte si tedy, že je toto chování v pořádku nebo je to bezpečnostní chyba?
Mrkni taky na tohle
Komentáře
Předpokládám, že než autor článku "bezpečnostní chybu" zveřejnil, tak ji nahlásil a dal autorům aplikace možnost ji opravit. V opačném případě je to podle mne značně nečestné a nesportovní.
Myslím, že je v článku i v komentářích vše řečeno.
Dočetl jsem celý článek a odpovídám takto: Toto chování je v pořádku. Stejně tak můžete napsat, že stejnou bezpečnostní chybu má Moodle. Pokud se neodhlásíte, zůstanete přihlášeni. :-) Chcete to považovat za chybu?
Za prvé - v článku nikdo neříká, že je to chyba. Za druhé - v článku je napsáno, že problém nastává při vyhození hlášky o odhlášení a následném požadování přihlašovacích údajů. Jen si představte modelovou situaci: Člověk spěchá, zavře záložku, řekne si že ho to možná neodhlásilo(i přesto, že to v některých prohlížečích aplikace ohlásí). Najede tedy znovu na Badis a objeví se přihlašovací obrazovka :) Já bych tedy nabyl dojmu, že jsem se skutečně odhlásil. Vím, že se nejedná o nic závažného. Chtěli jsme na to pouze upozornit.
Mě to chybu nedělá. Každopádně udělat systém ve flashy :D to chce odvahu.
Informační systém ve flashi? LOL. Tím se ČZU skutečně blýskla, ted se nám krom cvutu zřejmě směje už i kdejaká střední :D
Ono už fakt, že je to ve flashi je bezpečnostní díra. O tom, že ČZU nemá bůhví jaké zabezpečení ví snad každý a kdo chce, může si po odhlášení smáznout sušenky a historii. :D
určitě chyba... Modelová situace: Jsem na kompu na chodbě, edituju si svůj badis... Zavřu kartu bez odhlášení. Přijde někdo jiný, zadá badis.czu.cz, vyskočí okno s přihlášením... On zadá své přihlašovací jméno a heslo - klikne na Login, a ejhle je přihlášen po mým účtem. Řešením je automatické odhlášení (3 minuty) nebo při návratu na badis vynechat stránku s loginem aby bylo vidět že už někdo přihlášený je...
Co se tyce systemu, tak popravde se s timto chovanim lze setkat celkem casto. Pravdou je, ze vetsina systemu na tuto skutecnost upozorni, popr. uzivatele prihlasi primo do systemu. Zavre-li uzivatel zalozku, neukoncil korektne celou session s aplikaci, navic aplikace se v podstate ani nema jak dozvedet, ze uzivatel zalozku zavrel, coz jakozto informatik jiste vite :). Viz. Facebook, google, atp. zavrete zalozku napisete URI znova a jste opet prihlaseni. Pravda, Badis se pta znova na prihlaseni. IMHO to bezpecnostni chyba zas tak neni, spise to je spatne vyresene. Me se zase nelibi, ze ten clanej vyzniva celkove negativne a radoby senzacne i pres to, ze Vam bylo sdeleno, ze to resi (coz objektivne zminujete) a nedate jim sanci na opravu. Ale chapu, ze jsou takoveto clanky uporoznujici na chyby popularni a zrejme ocekavate okamzitou opravu, nejlepe z titulu tohoto clanku.
V článku je zmíněno, že jsem sám na to upozorňoval před čtrnácti dny. Navíc, dle mých informací, na to bylo upozorňováno již v dubnu. Vzhledem k tomu, že toto chování je v aplikaci nejspíše od začátku, myslím, že na opravu bylo již dost dlouho. Nemyslíte?
Ja se priznam, ze uz radeji nemyslim. Kazdopadne mi prijde, ze se to predchozi upozorneni nedostalo tak daleko jako to Vase. Coz je jedine dobre. IMHO by bylo fer se jich pred vydanim clanku optat, proc to tak dlouho trva. Muze to mit nejaky racionalni duvod a vy timto akorat tak prilevate olej do ohne.
Posílal jsem dotaz, v jakém časovém horizontu se oprava chystá. Odpověď jsem nedostal.
Nechci se nikoho zastavat, e-mail muze "zapadnout" ci proste z "nejakeho" duvodu zustane nezodpovezen (take se mi to obcas a zcela neumyslne stane). Kdyz by jste mel opravdu zajem na oprave, tak napisete jeste jeden ci dva (nic to nestoji) s informaci jaky mate umysl (napr. napsat o te "chybe" clanek). To, ze Vam nikdo neodpovedel se proste "hodilo do kramu", ale kauzu mate. Na jednu stranu schvaluji to co delate, ale nadruhou se mi nelibi jak to delate. Je tam videt ten prvotni zajem o senzaci a reseni problemu je az druha vec. Daleko hezci by byl clanek, nasli jsme problem a spolecne jsme ho vyresili, nez to co tu je nyni. Ale chapu, ze "uspechy" netahnou ...
Jak bylo již řečeno v komentech, o chybě se ví již od dubna. Na chybu jsme upozornili před více než 14ti dny. Jelikož se závada neopravila v tak velkém časovém horizontu, nedovedu si představit, jak by pomohla informace o uveřejnění článku. S Vaší narážkou na to, že úspěchy netáhnou Vám doporučím číst izun častěji, neboť články o úspěších našich studentů a univerzity píšeme velmi často. Fotografické soutěže, umístění ve sportovních kláních, mistrovství v orbě, hrdina z FLD a mohl bych pokračovat ještě dál.
Myslim, ze informace o pripadem clanku o teto chybe mohla vest k tomu, ze by lide zodpoveni za dany system meli sanci na vyjadreni. Vy nevite proc je to tak jak to je, ci proc to nebylo od zminovaneho dubna opraveno. Na to, ze jste univerzitni noviny a mate tedy k univerzite blize nez "normalni" student bych ocekaval, ze se to pokusite vyresit interne a clanek bude to posledni reseni. Nehlede na to, ze od ITaku z CZU muzete v budoucnu neco potrebovat a lide si pamatuji :). Co se tyce me posledni vety, tak jsem to myslel obecne a ne konkretne. Kazdopadne se staci podivat na temer vsechny informacni portaly, kladnych zprav aby clovek pohledal ... takova je proste nalada ve spolecnosti (mysleno opet obecne) AD komentar JM: zapadat by nemely ale stane se. Nechci obhajovat to ze neodpovedeli na e-mail (je to jejich prace), ale popravde, staraji se o stovky, resp. tisice studentu a muze se to stat. Ale za pripadne upozorneni clovek nic neda.
A iZUN jednou vydá trochu negativní článek a oheň je na střeše:) Vím, že to bylo myšleno obecně... Ještě budu citovat článek: "Tímto článkem chceme především na toto chování upozornit, abyste si mohli dát pozor."
Také musím uznat, že na tom co píšete je něco pravdy... Ale takovéto emaily by "zapadat" neměly.