Date : 1/11/2016 6:39:15 AM
From : "Asaf Amar"
To : "Marina Benikov"
Cc : "tzvika.zaharia@mail.gov.il" , "Zvika Zaharia" , "Eitan Borvick" , "Oren Beckman" , "Gal Holtzman" , "Eyal Reissman"
Subject : RE: סטאטוס SAFET בתאריך 6.1
Attachment : 141733_image001.png;141733_image002.png;141733_image003.png;


היי

 

אני עונה בנתיים על מה שאני יודע:

1. קודי שגיאה – הסברנו בעל פה גם ליוגב וגם לעודד שככה עובד המנגנון .net שאיתו אנחנו עובדים. לשנות את זה אומר לקחת מוצר עובד ולבצע עליו מניפולציות – זו המשמעות המיידית. בין היתר זה אומר בדיקות מלאות לכל האתר – זה בטוח לא יסתיים עד ה17.1.

2. וידוא צד שרת של מנגנון captcha – אני צריך לבדוק אם אכן אין כזה.

 

3. מנגנון נעילת משתמשים – יוגב תיאר לי תסריט שבו אין נעילה על ת.ז., אם יש זה באג – בכל מקרה אני לא הצלחתי לשחזר בQA את מה שהוא אמר אז אני צריך תיאור יותר מפורט של מה שעשיתם.

 

4. סביבת בדיקות מקבילה בממשל זמין – מבחינתי קחו את f7 ותחברו אותו לDB QA.

 

5. שכתוב הודעות שגיאה – בהמשך לסעיף 1 – זה אומר לשכתב מנגנון .net קיים ועובד.

 

6. מבחינתנו אין בעיה לשנות את ההודעת שגיאה – צביקה דורש גם התייחסות שלכם.

 

 

אסף עמר| מנהל פרויקטים | חטיבת פתרונות פננסיים וטכנולוגיות | מטריקס |
נייד: 053-3305911 | asafam@matrix.co.il | www.matrix.co.il

 

From: Marina Benikov
Sent: Monday, January 11, 2016 8:22 AM
To: Asaf Amar <asafam@matrix.co.il>
Cc: tzvika.zaharia@mail.gov.il; Zvika Zaharia <zzvika@gmail.com>; Eitan Borvick <eborvick@gmail.com>
Subject: FW: סטאטוס SAFET בתאריך 6.1

 

היי,

 

להלן הנחיות א"מ :

 

האתר מאושר לעלות לאוויר בהתאם לתיקון הממצאים עד לאתריך 17.1.2016.

 

היות ותהליך הקשחת השרת בנושא הודעות שגיאה לא צלח עקב כך שהאפליקציה תלויה בשגיאות החוזרות אליה, הנושא נבחן בשנית ונמצא כי:

·         המערכת חושפת שגיאות שאינן כלליות (מה שמנע את הקשחת השגיאות בשרת ומצריך החרגה ב-WAF), לדוגמה בעת תהליך אימות המשתמש, ברגע ששם המשתמש או הסיסמה אינם תקינים, חוזרת שגיאת קוד 400, ופירוט מלא של השגיאה לדוגמה:

{"error":"Bad Request","error_description":"{\"Status\":2,\"IsfirstLogin\":false,\"CaptchaNeaded\":false,\"GoToRoute\":12,\"IsUserLoked\":false,\"CaptchaPassed\":false,\"NayadNotFound\":false,\"NayadForGUI\":null,\"NewPasswordNeeded\":false,\"SendSMSFailed\":false,\"Failure\":false,\"ErrorOrTimeout\":false,\"Locked\":false,\"IsRegulationsNeeded\":false,\"IsShamapNeeded\":false}"}

·          מעבר לכך נראה כי שינוי השגיאה החוזרת בצד המשתמש משפיעה על התנהגות הקליינט, לדוגמא על יד שינוי פרמטר (true\false) ניתן לעקוף את מנגנון ה-Captcha

 

נושא נוסף הינו מנגנון נעילת המשתמשים (היות ובשלב הבדיקות לא היה ניתן לבדוק עם מנגנון הנעילה, הוא בוטל לטובת הבדיקות), נמצא כי נעילת המשתמשים הינה על סמך כתובת IP ולא על סמך שם המשתמש איתו מתחברים לשירות.

 

הנושאים הנ"ל חורגים ממדיניות פיתוח מאובטח של ממשל זמין.

 

פעולות שיש לבצע:

·         אנו צריכים סביבת בדיקות מקבילה לסביבת הייצור (שרת היושב בממשל זמין) בכדי לתחקר את האפליקציה מעבר

·         שכתוב הודעות השגיאה להודעות כלליות עם סטטוס קוד 200 וללא החזרת פרמטרים המאפשרים שינוי בצד הלקוח הגורמים לשינוי בתהליך כגון ביטול Captcha

·         שינוי מנגנון הנעילה כך שיתבסס על חסימת המשתמשים על בסיס המשתמש עצמו ולא על בסיס IP בלבד

·         במקרה של נעילת המשתמש אין להודיע על כך באופן מפורש בכדי למנוע מצב של מיפוי שמות משתמשים בעזרת נעילה מכוונת.

ניתן לדווח על הנעילה ישירות לדואר האלקטרוני של המשתמש או בהודעת הכישלון בהתחברות הרגילה ("שם משתמש וסיסמא לא נכונים, יתכן והמשתמש ננעל אם ניסית מספר רב של פעמים")

בברכה,

 

cid:image006.png@01CEFEF3.B84BDA90cid:image007.png@01CEFEF3.B84BDA90

מרינה בניקוב  |  מנהלת פרוייקטי IT  |  ממשל זמין

טל.  

02-6664819

  |  

050-2113276

  |  

marinab@gov.il

   cid:image008.png@01CEFEF3.B84BDA90      

 

 

 

 

תוכן הודעת דואל זו שייך בלעדית לממשל זמין ומיועד אך ורק למכותבי ההודעה אם אינך אחד מהמכותבים, כל פעולות חשיפה, העתקה או הפצה של ההודעה הינן אסורות



This mail was received and tested using PineApp