Il sito web non mi disconnette sempre - Preoccupazione della privacy o sto esagerando?

Naviga le tue risposte
2

Ho fatto domanda per alcuni posti di lavoro e uso una certa pagina di carriera in qualche modo regolarmente. Ho iniziato a notare che non sempre viene disconnesso anche se faccio clic su "Esci" e vedo un messaggio che dice che ho eseguito correttamente il logout. Dopo logout, fare clic sul pulsante che dovrebbe portarmi alla pagina di login a volte mi porta a destra di nuovo al mio account dove posso visualizzare tutte le informazioni sul mio account o modificare e salvare i dettagli, o addirittura eliminare l'account. Il log-off funziona forse il 75% del tempo, ma il restante 25% non lo fa, e che sembra sempre accadere dopo ottengo un errore circa il mio token SSO momento del login. Quindi credo che è legata, sono non sono sicuro di come.

Video caricato qui: link

L'ho portato con il loro dipartimento IT. La loro risposta è stata che non supportano i singoli computer e le diverse configurazioni che gli utenti potrebbero avere, ed è molto probabilmente un problema con il mio computer o con la configurazione del browser web. Non che la mia configurazione sia così insolita (Chrome aggiornato senza estensioni su desktop e laptop Windows 7 e Firefox 22 su un altro desktop Windows 7). Il computer che esegue Firefox è dietro un proxy aziendale e hanno affermato che il proxy sta probabilmente causando la disconnessione dei problemi. Anche in questo caso mi è stato detto che non sono nel business di sostenere i PC dei singoli utenti in modo che non possono fare molto per risolvere il problema come si comporta con i proxy, e dovrei trovare un computer in cui la disconnessione funziona correttamente.

Le mie aspettative sulla privacy sono troppo alte? Una disconnessione funzionale sembra un'aspettativa semplice e basilare. Se il loro sito Web è così fragile che i proxy o alcuni browser hanno problemi con cose fondamentali come il log out, sono preoccupato che qualcuno che sa quello che stanno facendo potrebbe davvero fare un sacco di danni. Ho dei dubbi legittimi o non è niente fuori dall'ordinario?

    
posta frogpizza 01.02.2014 - 19:24
fonte

2 risposte

2

Hai assolutamente ragione che il sito web non dovrebbe comportarsi in questo modo. Direi che questo particolare problema è piuttosto a basso rischio. Ma mi chiedo: se hanno questo problema, quali altri problemi hanno? Problemi più seri come l'iniezione SQL potrebbero consentire a un utente malintenzionato di rubare tutti i dati degli utenti.

La risposta dal loro reparto di supporto non è soddisfacente. Tuttavia, ho scoperto che si tratta di un problema molto diffuso - anche con alcuni servizi sono generalmente contento di fare affari con.

Quanto di questo problema ti presenta? Presumo che tu stia confidando nel sito con alcuni dati personali, ma quanto? In che modo una violazione potrebbe influire su di te? Con il sito di reclutamento, le persone spesso si preoccupano del loro attuale datore di lavoro che scopre di essere sul sito. Di solito penserei che sia improbabile che il tuo capo monti un attacco di hacking su un sito per vedere se qualcuno della squadra lo sta usando. È molto più probabile che si tratti di una banda di criminalità informatica organizzata che spera di utilizzare i dati per ottenere un guadagno finanziario.

Ci sono alcuni passaggi pratici che puoi intraprendere per difenderti, come l'uso di un indirizzo e-mail monouso che hai creato solo per utilizzare con quel sito. In definitiva, è necessario decidere se i rischi per la sicurezza superano i benefici derivanti dall'essere sul sito.

    
risposta data 02.02.2014 - 00:44
fonte
0

Se hai un "token SSO", allora sembra plausibile che il token sia il colpevole. Questo tipo di sistema dovrebbe, in base alla progettazione, automaticamente "accedere" ogni volta che è richiesta un'autenticazione. Come un sistema esterno, il token deve in qualche modo riconoscere quando un sito richiede l'autenticazione (per fornire automaticamente le credenziali) ma anche quando volontariamente vuole "disconnettersi", in modo da interrompere l'accesso automaticamente. Questo processo di riconoscimento è di natura euristica; succede senza conoscenza del sito stesso, e si basa su alcuni pattern fuzzy corrispondenti ai contenuti e al comportamento del sito; e potrebbe fallire. Credo che tu osservi una situazione in cui fallisce. Il token SSO non capisce che volevi davvero essere disconnesso e ti ricollega perché crede che sia il suo lavoro.

Se devi sollevare il problema con qualcun altro, ti suggerisco di parlare con il fornitore di quel "token SSO".

    
risposta data 02.02.2014 - 00:17
fonte

Leggi altre domande sui tag

Come funziona Ram Scraper? Documentazione su Meterpreter Shells