אבטחה בעייתית ?! של אתרי הממשלה, למשל אתר התשלומים\טפסיםפסים

[needusernam3]

אבטחה בעייתית ?! של אתרי הממשלה, למשל אתר התשלומים\טפסיםפסים

היי,
כשנכנסתי לאתר הממשלה [מדור דרכונים =] בשבוע שעבר, שמתי לב למה שהדפדפן מעיד "התוכן אינו מאובטח" "קיים ערבוב של תכנים ממקורות לא מאובטחים" , משהו בסגנון, הבנתם את הכוונה...
וזה למרות שהכתובת היא HTTPS ולמרות הצהרות האתר על רמת אבטחה גבוהה...
אני פשוט תוהה, אם דפדפן פשוט [גם כרום וגם פיירפוקס] מעיר לי על בעית אבטחה [בועה וסימן על גבי המנעול שאינו ירוק מלא כתמיד] - האם אין זו סיבה לדאגה?
הגעתי אחרי כמה זמן לאיש טכני מסוים במשרד - אמר שאין מה לדאוג.
בנתיים לאחר מייל אחד גם ממנהל אבטחה במדור - גם הוא מרגיע אותי ולא היה בטוח למה אני מתכוון, אז הבהרתי שוב, בתקווה שאני טועה וזו סתם אזהרה לא רלוונטית מצד הדפדפן...
ציפיתי שידאגו וירימו גבה הרבה יותר ממני שם במשרד, הרי יש לממשלה הרבה יותר אינטרסים לאבטחת המידע, גם אם זה "רק" מספרי ת"ז , כתובות ופרטי אשראי של התושבים בישראל...
לא נשמעו דואגים כ"כ...
אני לא מומחה אבטחה, אך נמנעתי מלהזין פרטים באתר, קראו לזה "זהירות יתר" אם תרצו, אבל לא הרגשתי נוח....
ממתין לתשובה במייל מצדם היום, ואעדכן גם כאן אם תרצו, אבל אשמח לדעת החברים הבקיאים כאן,
תודה ויום טוב בע"ה =)
לינק לדוגמה:
https://forms.gov.il/globaldata/getsequence/getHtmlForm.aspx?formType=[email protected]

 

[needusernam3]

שמתי לב שהלינק לא עובד [ההפניה המובנית "שוברת אותו" אז...

הנה לינק אחר במקום, פשוט להקליק על מילוי הטופס , ותופנו אל האתר עם הבעיה
https://www.gov.il/he/service/apply_for_passport

 

[needusernam3]

ו....תמונה, למי שלא מעוניין להקליק בעצמו =]

 

[Piav]

זו פרצה

רמת החומרה תלויה בתוכן הלא מאובטח. כשמדובר בתוכן פסיבי (למשל תמונות או וידאו, שזה מה שנראה לפי התמונה שצירפת), הסכנה פחות חמורה (זו לא צפירת הרגעה). תוקף יכול לנצל את שילוב האלמנטים הלא מאובטחים כדי לשתול תמונות משלו, לשאוב מידע על התנהגות המשתמש (באילו עמודים ביקרת) ואפילו להתחזות אליך בתקשורת מול השרת (Session hijacking). אם היה מדובר בתוכן אקטיבי (סקריפטים), השמים הם הגבול עבור התוקף (ואז היית רואה מנעול אדום ולא צהוב).

 

[needusernam3]

OH!!! לכזו תגובה הייתי מצפה מאנשי אבטחת המידע שניסיתי ליצור

אתם קשר שם!
ואז אפילו בתוספת "צפירת הרגעה" חצי מזוייפת.
אבל העובדה שלא "ראו" את הבעיה במה שהצבעתי ... זו בעיה בפני עצמה...
אז האתר לא ברמת סיכון גבוהה, לכאורה, אבל זו עדיין בעיה...
&nbsp
תודה!!

 

[uzi2]

בדקתי עכשיו. הזיהוי של הסרטיפיקט והאתר תקין.

והתקשורת המוצפנת אליו תקינה. או שהבעיה היתה בעדכון CA בדפדפנים, או שהיתה בעיה באתרים והיא תוקנה.

 

[needusernam3]

אתה מדבר על אתר הטפסים??? הנה הלינק שוב:

forms.gov.il
אני עדיין רואה שם את אותה הבעיה!
שים לב שלא מדובר בלינק הראשי שציינתי שיש להקליק שם על "מילוי טופס"...
פשוט ההפניה של תפוז משמידה את הלינק המקורי...
אך גם זה שציינתי בתגובה הנוכחית יראה לך את הבעיה
לרגע שמחתי, שהתלונה שלי אולי הועילה לכולם...
כנראה שעדיין לא =]

 

[uzi2]

צודק. חשבתי שאתה מדבר על האתרים המקדימים.

חשבתי שעליו אתה מצביע בתור הבעיה.

אכן חשוב שהם יתקנו את זה - זה לא בהכרח פירצת אבטחה, כי עדיין ייתכן שהתקשורת מעבירה את החומר הרגיש במוצפן לשרת האמיתי, אבל זה בהחלט מה שמצויין - כלומר אתר שחלקים ממנו לא מאובטחים, ולפיכך המשתמש לא אמור לסמוך עליו, כך שזה בהחלט דבר שהם חייבים לטפל בו.