Publikujemy list naszego czytelnika, Grzegorza Szczechowiaka, na temat bezpieczeństwa danych znajdujących się na platformie ePUAP:

"Kto będzie dbał o bezpieczeństwo systemu e-PUAP i na jakim poziomie będą zabezpieczone dane osobowe znajdujące się w tym systemie?

To pytanie zadaliśmy sobie sprawdzając jaka wersja oprogramowania odpowiada za bezpieczeństwo systemu e-PUAP.

Jak to sprawdzić?

Chociażby poprzez http://validator.w3.org/   (walidator stron html'a) w polu adres podajemy: http://epuap.gov.pl/wps/portal i zaznaczamy "Verbose Output".

Z opisu daje się wyczytać, że aktualna wersja serwera WebSphere, któryzarządza treścią systemu e-PUAP to 6.0.2.25 i jest wersją z dnia 21 stycznia 2008 r.

Obecnie udostępnione poprawki są z dnia 18 lipca 2008 r., wersja 6.0.2.29

Dwie aktualizacje, które zostały udstępnione, naprawiają dwa potencjalne błędy bezpieczeństwa oraz zawierają poprawki wydajności serwera WebSphere.

Cross-site scripting (XSS) - sposób ataku na serwis WWW polegający na osadzeniu w treści atakowanej strony kodu (zazwyczaj JavaScript), który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji. Skrypt umieszczony w zaatakowanej stronie może obejść niektóre mechanizmy kontroli dostępu do danych użytkownika. ( http://pl.wikipedia.org/wiki/Cross-site_scripting )

Zastanawiające jest to, czy ktoś administruje platformą e-PUAP od prawie 6 miesięcy, czy po zdaniu jej przez wykonawcę będzie ona tak samo dziurawa jak większość rządowych serwisów www np.: sejm, kancelaria prezydenta itp.

Należy zaznaczyć, że do sprawdzenia wersji oprogramowania użyto ogólnodostępnych narzędzi, którymi sprawdza się zgodność stron www ze standardami".

Grzegorz Szczechowiak
MADKOM