Vlákno názorů k článku
Vláda schválila nový pokus o migraci státní správy na jednotnou doménu .gov.cz do roku 2025
od Sofistes - Když už jsme u toho Alicornu. Na ap.alicorn.gov.cz...
-
Když už jsme u toho Alicornu. Na ap.alicorn.gov.cz je toto API:
API_URL = 'https://ap.alicorn.gov.cz'; ADMIN_URL = '/manager/api'; PUBLIC_URL = '/public/api'; PORTAL_URL = '/portal/api'; WEBCHAT_URL = 'https://webchat.teamontherun.com'; TOTRADMIN_URL = 'a.alicorn.gov.cz';
Přístup k němu je autentizován. Po zavolání
API_URLnásleduje přesměrování na přihlašovací stránku https://ap.alicorn.gov.cz/#/dashboard/login. Po úspěšné autentizaci dojde k vydání relačního cookie. Aplikace nevaliduje vstupní hlavičku Origin, lze injektovat např.:GET / HTTP/2 Host: ap.alicorn.gov.cz Origin: www.cookiestealer.cn Cookie: PHPSESSID=9bnld1f1jnb9coadddmh03vp53; Accept: text/html Accept-Encoding: gzip, deflate Accept-Language: cs-CZ,cs;q=0.9
Další požadavky jsou na tom stejně. V reakci na to server vrací následující konfiguraci výstupních hlaviček CORS:
HTTP/2 200 OK Server: nginx Date: Sun, 03 Sep 2023 21:30:53 GMT Content-Type: text/html; charset=UTF-8 Vary: Accept-Encoding Access-Control-Allow-Credentials: true Access-Control-Allow-Origin: www.cookiestealer.cn
To by se určitě dít nemělo. Samozřejmě, tohle není phishing. Odbočili od tématu. Je to ale další z řady ukázek toho, že když jsou takovéhle aplikace sesypávány do domény gov.cz, tak to jejich bezpečnosti přinejmenším nepomáhá (https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Allow-Credentials). Namísto toho, aby byl přesun do domény gov.cz spojen s kontrolou bezpečnosti aplikací, byly sem prostě jen nahrnuty. Doufejme, že se to snad zlepší časem. Inventura by nejspíše neuškodila. Příležitost zlepšit stav bezpečnosti aplikací, které jsou sem umisťovány, je už ve vícerých případech promeškána. Zatím to vypadá spíše tak, že by se to nemuselo změnit ani v případě těch, které sem teprve budou přicházet. Naděje i tak zůstává.
-
Filip JirsákStříbrný podporovatelOdbočili od tématu.
Nikoli, vy jste neodbočil od tématu. Vy jste tady k tématu nikdy nezačal psát.když jsou takovéhle aplikace sesypávány do domény gov.cz, tak to jejich bezpečnosti přinejmenším nepomáhá
Zdaleka největší přínos domény gov.cz je v tom, že uživatelům umožňuje bránit se proti phishingu zaměřenému na veřejnou správu. Takže uživatelům to pomůže výrazně. Jenže na to, abyste to pochopil, byste musel chápat, co je phishing a jak se proti němu lze bránit.Namísto toho, aby byl přesun do domény gov.cz spojen s kontrolou bezpečnosti aplikací, byly sem prostě jen nahrnuty.
Netuším, proč si myslíte, že se ta aplikace někam přesouvala. Každopádně vzhledem k tomu, že bezpečnost aplikací s doménou gov.cz prakticky nijak nesouvisí, není důvod, proč to na sebe navzájem vázat. Je to jako kdybyste zapínání bezpečnostních pásů v autě odkládal do té doby, než si syn udělá řidičák na auto. Jasně, když bude mít syn řidičák, bude to lepší, ale pásy vám pomohou i bez toho.Příležitost zlepšit stav bezpečnosti aplikací, které jsou sem umisťovány, je už ve vícerých případech promeškána.
No, zatím jste uvedl jediný příklad, kde je taková malinká drobnost. Zbytek, co jste popisoval, je bohužel nerelevantní, protože jste dosud neobjevil existenci protokolu HTTPS.
