Recentemente ho dovuto inviare un numero di documenti PDF riservati a un sito web. Questi documenti contengono più di informazioni sufficienti da utilizzare nel furto di identità e posso immaginare come altri utenti che utilizzano lo stesso sito caricheranno ancora più informazioni.
Durante la visualizzazione di questi documenti attraverso il sito Web, ho notato che il metodo di protezione del contenuto dall'accesso non autorizzato consiste nell'utilizzare una stringa lunga, apparentemente casuale:
https://eu-apps.groupdocs.com/document-viewer/Embed/52e0810668cb44883d39448d57f11dc26ab3a9322ee6ce6217349ba10cef914a
Ho anche notato che questo contenuto è suscettibile agli attacchi di tipo sslstrip , ad esempio http può essere usato al posto di https se forzato usando un MITM.
La mancanza di un vero controllo degli accessi al documento mi riguarda. Cronologia del browser, condivisione dei collegamenti, sniffing se si utilizza http; questi tutti perdono il documento e come accedervi.
C'è già una domanda e una risposta lungo queste linee " Gli URL casuali sono un modo sicuro per proteggere le foto del profilo? ", tuttavia, in questo caso:
- L'asset è un'informazione che potrebbe portare a un furto di identità, piuttosto che un'immagine del profilo.
- Una foto del profilo dovrebbe essere accessibile da molti altri nella maggior parte dei casi (almeno chiunque abbia firmato nello stesso sito web, al massimo tutti). I documenti in questo caso dovrebbero al massimo essere visibili a tre parti e essere privati di tutti gli altri.
- C'è un tentativo di nascondere l'URL usando https che può essere facilmente sovvertito.
- L'applicazione specifica è per l'aggiudicazione indipendente è controversie deposito di locazione. Le uniche parti che dovrebbero vedere i documenti sono l'inquilino, il proprietario e il giudice.
È considerata una sicurezza adeguata?