Try HWzone in English English
עבור לתוכן
  • צור חשבון
  • מי אנחנו?

    שלום אורח/ת!

     
    שים לב - על מנת להשתתף בקהילה שלנו, להגיב ולפתוח דיונים חדשים, עליך להצטרף כחבר רשום.

    החברים שלנו נהנים מיתרונות רבים, כולל היכולת להשתתף בדיונים, להנות מהגרלות ומבצעים לחברי האתר, ולקבל מידי שבוע את התכנים הבולטים שלנו ישירות במייל.

    לא אוהבים שמציקים לכם במייל? ניתן להירשם לאתר אך לוותר על הרישום לעידכוני המייל השבועיים.

yoel14

אבטחה בעייתית ?! של אתרי הממשלה, למשל אתר התשלומים\טפסים

Recommended Posts

היי,
כשנכנסתי לאתר הממשלה [מדור דרכונים =] בשבוע שעבר, שמתי לב למה שהדפדפן מעיד "התוכן אינו מאובטח" "קיים ערבוב של תכנים ממקורות לא מאובטחים" , משהו בסגנון, הבנתם את הכוונה...
וזה למרות שהכתובת היא HTTPS ולמרות הצהרות האתר על רמת גבוהה...
אני פשוט תוהה, אם פשוט [גם וגם פיירפוקס] מעיר לי על בעית [בועה וסימן על גבי המנעול שאינו ירוק מלא כתמיד] - האם אין זו סיבה לדאגה?
הגעתי אחרי כמה זמן לאיש טכני מסוים במשרד - אמר שאין מה לדאוג.
בנתיים לאחר מייל אחד גם ממנהל במדור - גם הוא מרגיע אותי ולא היה בטוח למה אני מתכוון, אז הבהרתי שוב, בתקווה שאני טועה וזו סתם אזהרה לא רלוונטית מצד הדפדפן...
ציפיתי שידאגו וירימו גבה הרבה יותר ממני שם במשרד, הרי יש לממשלה הרבה יותר אינטרסים לאבטחת המידע, גם אם זה "רק" מספרי ת"ז , כתובות ופרטי אשראי של התושבים בישראל...
לא נשמעו דואגים כ"כ...
אני לא מומחה , אך נמנעתי מלהזין פרטים באתר, קראו לזה "זהירות יתר" אם תרצו, אבל לא הרגשתי נוח....
ממתין לתשובה במייל מצדם היום, ואעדכן גם כאן אם תרצו, אבל אשמח לדעת החברים הבקיאים כאן,
תודה ויום טוב בע"ה =)
לינק לדוגמה:
https://forms.gov.il/globaldata/getsequence/getHtmlForm.aspx?formType=dr1@moin.gov.il

ותמונת המחשה למי שלא יכול\אין לו זמן להקליק על הלינק
 

Screenshot - 02_01_2017 , 10_31_25.png

נערך על-ידי yoel14

שתף דיון


קישור ישיר להודעה
שתף באתרים אחרים

בגדול האתר מאובטח והפרטים שאתה מוסר כנראה שנשלחים בצורה מוצפנת (לא בדקתי) אבל באמת שלא עשו שם עבודה הכי טובה. האזהרה שאתה רואה היא בגלל שחלק מהדברים באתר בעיקר התמונות נשלחות אליך בצורה לא מאובטחת, תאורטית זה הופך את האתר לקצת יותר פגיע לסוגים שונים של מתקפות אבל זה לא נחשב בעיה חמורה וזה לא אומר שהאתר פרוץ או משהו.

בשנים האחרונות יצרני הדפדפנים החליטו להחמיר וכל פעם מוסיפים דרישות ,  מה שפעם היה נחשב מאובטח מספיק היום כבר מראה אזהרות שונות בדפדפן. אני נוטה להסכים שמבאתר ממשלתי כזה אני מצפה שיקחו את הדברים יותר ברצינות מאשר להגיד לך להתעלם מהאזהרות אבל ככה נראה הרבה מהשירות הציבורי שלנו תחליט לבד כמה אתה חושב שזה באמת קריטי.  

שתף דיון


קישור ישיר להודעה
שתף באתרים אחרים

כן, זה גם מה שחשבתי לעצמי...:facepalm:
והבחור מהממשלה טרם ענה למייל שלי מאתמול...
נו טוף...:nixweiss:

שתף דיון


קישור ישיר להודעה
שתף באתרים אחרים

תפתח developer tools ותראה שיש בעמוד 13 שנטענות מHTTP.

לא הייתי מגדיר את זה כחור באבטחת מידע, אבל זה בהחלט לא משהו חכם לעשות.

שתף דיון


קישור ישיר להודעה
שתף באתרים אחרים

בדיוק שילמתי אגרה ונתקלתי בזה. בדף שאני נכנסתי מדובר על הלוגואים ושטויות כאלו. לאחר התשלום יש אפשרות למלא משוב ושם הזכרתי את הנקודה הזו. נראה אם זה יזיז להם.

שתף דיון


קישור ישיר להודעה
שתף באתרים אחרים

כן, גם אני 'נכנעתי' והשתמשתי [אתמול] באתר בלית ברירה!
עמדת השירות בסניף שלי מקולקלת גם כך, אז זה או דרך האתר או לשלם מחיר מלא אצל פקיד.
אגב, הנציגה שענתה לי בפניות הציבור טענה שעמדת השירות שבסניפים נותנת לי בעצם את אותו ממשק שיש לי במחשב הביתי ולא "משהו אחר" , כך שגם בעמדה , אם היתה עובדת, הבעיה היתה אמורה להופיע גם כן :facepalm:
נו טוב..
בזמן התשלום בכרטיס האשראי העמוד דוקא היה מאובטח ללא בעיות...
אולי פחות מדאיגה האבטחה מאשר הגישה אליה שננקטת ע"י מי שממונה עליה
חומר למחשבה :hi:

נערך על-ידי yoel14

שתף דיון


קישור ישיר להודעה
שתף באתרים אחרים

הצטרפ/י לדיון

בשלב זה תוכל/י להצטרף לדיון, ולאחר מכן להצטרף לקהילה שלנו. אם כבר יש לך חשבון אצלנו, אנא התחבר/י עכשיו על מנת להגיב תחת שם המשתמש שלך.
לתשומת לבך: התגובה תופיע לגולשים לאחר אישור של צוות הנהלת הפורומים.

אורח
הוסף תגובה

×   התוכן שהודבק הוא עם עיצוב.   הסר עיצוב

  Only 75 emoji are allowed.

×   הקישור שלך הוטמע אוטומטית.   הצג כקישור רגיל

×   התוכן הקודם שלך שוחזר אוטומטית.   נקה הכל

×   You cannot paste images directly. Upload or insert images from URL.


×
  • צור חדש...