Sdílejte
Novopečený ministr vnitra Jan Hamáček veřejnosti představil nový Portál občana, místo, kde by měl být každý občan České republiky vybavený novou elektronickou občankou (a hlavně starou datovou schránkou, ale o tom až jindy) získat přístup k široké škále služeb státu. Ten ač se na první pohled tváří povedeně, má poměrně podstatné vady na kráse.
autor Tomáš Bezouška
Komentář
10.07.2018
Jaké jsou první dojmy z této poslední vymoženosti českého eGovernmentu? Více než rozpačité. Na první pohled je zřejmé, že web je sice moderní a přehledný, ale s jeho bezpečnostní si hlavu nikdo příliš nelámal. Ilustrací přístupu k bezpečnosti hlavního portálového řešení České republiky budiž drobnost zvaná "Session Management". Zjednodušeně řešeno jde o to, za jakých okolností systém věří, že za počítačem přistupujícím k portálu skutečně sedíte vy.
Pro vstup do portálu je vyžadováno poměrně robustní ověření toho, kdo že se to pokouší služeb státu využívat. Máte možnost přihlásit se prostřednictvím osobní datové schránky, nebo pomocí elektronického občanského průkazu s čipem. Obě cesty jsou poměrně spolehlivou garancí identity uživatele. Potud je všechno v pořádku. Problém ale nastane v okamžiku, kdy systém dále používáte.
U bezpečných systémů je dobrou praxí, že vás systém odhlásí v případě delší neaktivity, ale, a to především, v případě že zavřete okno prohlížeče, ve kterém jste se systémem pracovali. Má to logický důvod – pokud má k počítači, na kterém jste byli do systému přihlášeni, přístup i někdo další, neměl by mít možnost navázat na práci s portálem jen tím, že znovu otevře prohlížeč a vstoupí na stránky portálu. V takovém případě systém musí vyžadovat nové přihlášení. A v této základní, ale současně velmi zásadní věci Portál občana žalostně selhává.
Tomáš Zelina @zelitomas
09.07.2018 01:09
Český #egov v kostce? Nově spuštěný portál občana (portal.gov.cz) po spuštění obsahuje celkem 3 relativně zbytečné služby, z čehož fungují jenom dvě. :D

Ale hlavně, že to má integrovaný google-like kalendář a další zbytečný interface pro datovky ❤
Testování bezpečnosti je u takových systémů, jakým by měl být i Portál občana, absolutní samozřejmostí. U aplikací využívajících internetové klienty je pak testování tzv. Session Management Vulnerabilities, tedy zranitelností souvisejících s udržováním přihlášení uživatele, naprostým základem. Nabízí se proto otázka, co všechno je ještě v rámci Portálu občana špatně, když ministerstvo ignorovalo i tento elementární a jednoduše ověřitelný bezpečnostní prvek ...
Tento web využívá cookies. Jeho používáním s tím vyjadřujete souhlas.
ROZUMÍM