FreeOZ论坛

标题: 上myGov删cookies 不然泄露隐私! [打印本页]
作者: 周星星1832    时间: 19-11-2015 14:24
标题: 上myGov删cookies 不然泄露隐私!
        本报综合讯      据《悉尼先驱晨报》的报道,因为澳洲税务局(ATO)与政府网站myGov的在线服务连接出现严重错误,纳税人的私人记录失去保障。联邦政府的在线服务也不是第一次出现安全隐患了。
有位试图报告问题的纳税人声称两度被税务局及人类服务部客服中心的职员挂电话,对此,专家表示担心2个部门处理IT安全问题的方式。
悉尼IT专家JP Liew近期发现了此次的漏洞,当时他想登陆myGov来提取在线税务记录,却发现看到的是他妻子的。
Liew录制了一段视频进行展示——点击myGov邮箱中的1个链接下载1份PDF版信件后,会产生1个“cookie”(储存在用户本地终端上的数据),它可以让用户登入税务局的网站ato.gov.au。
由于点击PDF的链接不会打开ato.gov.au的浏览器页面,因此,那个页面不会被关闭,“cookie”也不会失效,意味着下一个登入myGov并点击导向ato.gov.au链接的用户会看到前一个用户的记录。
Liew在视频中说:“我刚刚花了约1个小时打电话给4个myGov 的技术支持人员来解释,其网站上有个严重的故障,在共享电脑和浏览器的情况下会暴露彼此的税务局信息。在职场和公共图书馆,这(共享电脑)是非常普遍的。不过,他们似乎都没有理解我的意思。”
税务局声称本周已修复了问题。Liew也在对方提出安全担忧后删除了YouTube 的那段视频。
有安全分析师认为,其它政府服务,包括Medicare和Centrelink,也很可能存在该缺陷。
税务局并未透露该缺陷存在多久了,但声称知道会出现的背景非常有限——第1个用户登出myGov之前没有登出税务局网站(或登入没有自动过时),以及2个用户使用同个设备和浏览器。
人类服务部的发言人表示,myGov方面没有故障,此次问题是税务局那边的。
CQR Security的创始人科尼克(Phil Kernick)也指出,删除“cookie”的责任在接入myGov的机构身上,而不是myGov本身。
不过,安全研究员库布里洛维奇(Nik Cubrilovic)声称故障的起因根植于myGov及其SSO流程的结构,以及认证用户这个非常基础的板块。
一年半前他曾致信人类服务部,提出修复至少12个myGov安全问题的建议,但目前仍有一半没有得到实施。当中最简单的就是让用户明确知道要通过哪个渠道来举报故障。
               
            
        

作者: 周星星1832    时间: 19-11-2015 14:25
it's a joke
作者: jgpyjwc    时间: 19-11-2015 15:05
啊啊啊 怎么回事呀? 怎么弄?
作者: 周星星1832    时间: 19-11-2015 15:07
jgpyjwc 发表于 19-11-2015 15:05
啊啊啊 怎么回事呀? 怎么弄?

说已經修复了。。。
作者: 我爱猫眯    时间: 19-11-2015 15:12
作者: Samuel_ChenSJ    时间: 19-11-2015 16:38
周星星1832 发表于 19-11-2015 11:25
it's a joke

无网不漏
作者: 周星星1832    时间: 19-11-2015 16:55
Samuel_ChenSJ 发表于 19-11-2015 16:38
无网不漏

那是肯定得。。没有绝对得安全
作者: 他乡作故乡    时间: 19-11-2015 17:55
作者: Serin    时间: 19-11-2015 20:01
用自家电脑问题不大。
作者: 周星星1832    时间: 20-11-2015 06:00
Serin 发表于 19-11-2015 20:01
用自家电脑问题不大。

恩。。别去library的就行。。。
作者: suzhi82    时间: 28-4-2016 19:23
普通老百姓上个网站还要关心小甜饼的问题,搞得民众都可以当IT 码农了。
作者: 周星星1832    时间: 28-4-2016 20:45
suzhi82 发表于 28-4-2016 18:23
普通老百姓上个网站还要关心小甜饼的问题,搞得民众都可以当IT 码农了。

恩。。。。太不靠谱
作者: 周星星1832    时间: 28-4-2016 20:45
suzhi82 发表于 28-4-2016 18:23
普通老百姓上个网站还要关心小甜饼的问题,搞得民众都可以当IT 码农了。

恩。。。。太不靠谱
作者: chubbycat    时间: 28-4-2016 22:58
作者: 周星星1832    时间: 29-4-2016 07:37
chubbycat 发表于 28-4-2016 21:58

What
作者: kjfads    时间: 29-4-2016 14:37
学习了



欢迎光临 FreeOZ论坛 (https://www.freeoz.org/bbs/) Powered by Discuz! X3.2