Als ik inlog in het i-loket met de eID, kan een andere gebruiker na mij opnieuw in mijn naam inloggen. Dit lijkt mij uiteraard een beveiligingsprobleem, bijvoorbeeld op een publieke computer.
Start het i-loket (bijvoorbeeld gemeente Diepenbeek)
Steek de eID in de lezer
Klik op "Aanmelden met de eID"Klik op "aanmelden met elektronische identiteitskaart" (waarom die tussenstap?)Je bent ingelogd (merk je naam en rijksregisternummer bovenaan de pagina)Klik op "Afmelden"Je bent nu uitgelogd. Klik op "Klik hier om terug naar de startpagina te gaan."Haal je eID uit de kaartlezer
Herhaal stappen 2 en 3 (dus zonder kaart in de lezer)Je bent terug ingelogd!
Ik heb het gemerkt onder Internet Explorer, ik weet niet of andere browsers ook dit probleem hebben.
Cipal, help, what's going on?
| Auteur | Bericht |
|---|---|
|
|
|
|
|
|
Dit is inderdaad een serieuze beveiligingsissue.
In IE is het geen probleem wanneer je het browservenster sluit nadat je uitgelogd bent, maar dat kan je van een gebruiker niet verlangen. Wanneer er dus iemand meteen na jou inlogt (zonder dat 't IE-venster is afgesloten), heeft ie zicht op al jouw gegevens. Bij Firefox lijkt zich dit probleem niet te stellen. Daar mag je dus het browservenster gerust open laten staan. Firefox vraagt steeds naar je pincode. Bestaat dit probleem zowel met de middleware van Fedict als met software van derden? Heeft iemand eventueel contacten bij Fedict om dit na te gaan, ttz is het een probleem van de middleware of van de browsers? Hoe reageren andere browsers op dit fenomeen? Er moet alleszins gezorgd worden dat dit probleem zich nergens kan stellen, browseronafhankelijk dus. Dixit. |
|
|
|
|
Antwoord van Cipal (via de gemeente Diepenbeek):
Uw opmerking is terecht.
Dit probleem is reeds meermaals gemeld geweest aan Fedict (overheidsinstantie) en Microsoft. Ze kennen het probleem maar hebben het blijkbaar nog steeds niet opgelost. Het heeft te maken met een bepaalde sessie die blijft open staan tussen de client en de middleware van Fedict. |
|
|