Indtil for nyligt kunne det se ud som om, brugere af borgere.dk var logget ud, selvom de faktisk var logget på. Nu har Digitaliseringsstyrelsen, efter en læser gjorde Version2 opmærksom på problemet, lukket for det potentielle sikkerhedshul.
Fejlen, som V2-læseren opdagede og har testet i Chrome, kunne fremkaldes på følgende måde:
Først skal en bruger bevæge sig ind på på borger.dk, dernæst klikke på det grønne faneblad ‘MinPost’ og så logge på med NemID. Når der derefter bliver klikket på den grå forside knap øverst til højre, så vil der nu stå ‘log på’, hvor der i skærmbilledet før stod ‘log af’ – selvom brugeren stadig er logget på.
Dermed kan en bruger tro, at han eller hun er logget af, selvom det altså ikke er tilfældet.
Og bliver der ikke logget rigtigt af på eksempelvis en offentlig tilgængelig computer ville andre i princippet kunne fortsætte brugerens NemID-session på den digitale selvbetjeningsportal.
Læs også: Kun godt halvdelen af Danmark meldt til Digital Post – kommuner trækker tablet-præmie-kortet
Kontorchef for Center for Systemforvaltning og sikkerhed i Digitaliseringsstyrelsen, Morten Mejer-Warnich, medgiver, at den slags fejl ikke må optræde på borger.dk.
»Vi har kunnet rekonstruere scenariet, hvor man fra digital post går tilbage til forsiden. Man vil stadig være logget ind, men tilstanden, som skal definere, hvorvidt man bliver præsenteret for en logud-knap, den kommer ikke til at fremstå korrekt,« siger han og tilføjer
»Og jeg er helt enig i, at det sagtens kan føre til en tvivl om, hvorvidt man er logget ud eller ej. Der må ikke kunne opstå den type misforståelser, når man navigerer rundt på sitet. Så derfor skal vi selvfølgeligt have rettet den slags til.«
Morten Mejer-Warnich fortæller, at fejlen blev rettet på baggrund af Version2′s henvendelse, i går, tirsdag, og at det var en mindre justering af hjemmesiden, der skulle til for at løse problemet.
Leave a Reply