Afgelopen vrijdag heeft de regering van Suriname een site geopend waarbij zogenaamde PSA mensen (Personen van Surinaamse Afkomst) zich kunnen registeren bij diezelfde Surinaamse overheid (zodat men "daar" weet wat men "hier" in petto heeft).
Nieuwsgierig als ik ben, heb ik de site bezocht - http://diaspora.sr/survey/web/
Wat gelijk al opvalt, is dat het protocol onbeveiligd is - niet heel handig als je privacygevoelige persoonsgegevens naar een overheid stuurt.
Vervolgens kom je bij een standaard-survey-tool uit met wat vragen - waarvan je de conditional logic zelf moet aansturen.
Dit is vreemd, omdat je dat eenvoudig kan automatiseren - vooral omdat de site (blijkbaar) betaald is door het IOM Development Fund - https://developmentfund.iom.int/
Geen kleine partij, dus een paar honderd euro om zo'n survey te maken moet toch betaalbaar zijn?
Maar we zijn er nog niet - toen ik de surey als test invulde, heb ik de Developers Console geopend om te zien "wat de site op de achtergrond doet".
Wat bleek? Op het einde van de survey wordt je input gepost (via AJAX) naar een niet afgeschermd adres.
Als je dit adres bezoekt, en de variabele in de URL (je sessie-token) weglaat - kom je op een wel hele interessante pagina terecht;
http://diaspora.sr/survey/web/app_dev.php/_wdt/
Een foutmelding van een niet valide AJAX-call naar de Symphony-backend van de site... met onderaan een debugbar waar je notabene PHP-Info() kan oproepen...
http://diaspora.sr/survey/web/app_dev.php/_profiler/phpinfo
Met deze informatie zie je direct alle settings en variabelen terug van de server... waarmee je in theorie nog verder het systeem in zou kunnen komen.
Als je vervolgens kijkt wat er nog meer over het netwerk gaat, zie je gemixte content van een externe WordPress-site voorbij komen;
http://onepagewebs.it/
Die site is dan weer blijkbaar van de persoon die deze gesubsidieerde survey in elkaar heeft gestoken - afgaande van hun profieltekst.
Natuurlijk enkele momenten na de lancering (voor het weekend) alle betrokken partijen al op de hoogte gesteld - maar nog geen antwoord gehad.
Dus mijn prangende vraag is en blijft... hoe kan een (internationaal) gesubsidieerde site op zo'n onveilige manier in elkaar worden gestoken? Ergens moet er toch verantwoording worden afgelegd?
Nieuwsgierig als ik ben, heb ik de site bezocht - http://diaspora.sr/survey/web/
Wat gelijk al opvalt, is dat het protocol onbeveiligd is - niet heel handig als je privacygevoelige persoonsgegevens naar een overheid stuurt.
Vervolgens kom je bij een standaard-survey-tool uit met wat vragen - waarvan je de conditional logic zelf moet aansturen.
Dit is vreemd, omdat je dat eenvoudig kan automatiseren - vooral omdat de site (blijkbaar) betaald is door het IOM Development Fund - https://developmentfund.iom.int/
Geen kleine partij, dus een paar honderd euro om zo'n survey te maken moet toch betaalbaar zijn?
Maar we zijn er nog niet - toen ik de surey als test invulde, heb ik de Developers Console geopend om te zien "wat de site op de achtergrond doet".
Wat bleek? Op het einde van de survey wordt je input gepost (via AJAX) naar een niet afgeschermd adres.
Als je dit adres bezoekt, en de variabele in de URL (je sessie-token) weglaat - kom je op een wel hele interessante pagina terecht;
http://diaspora.sr/survey/web/app_dev.php/_wdt/
Een foutmelding van een niet valide AJAX-call naar de Symphony-backend van de site... met onderaan een debugbar waar je notabene PHP-Info() kan oproepen...
http://diaspora.sr/survey/web/app_dev.php/_profiler/phpinfo
Met deze informatie zie je direct alle settings en variabelen terug van de server... waarmee je in theorie nog verder het systeem in zou kunnen komen.
Als je vervolgens kijkt wat er nog meer over het netwerk gaat, zie je gemixte content van een externe WordPress-site voorbij komen;
http://onepagewebs.it/
Die site is dan weer blijkbaar van de persoon die deze gesubsidieerde survey in elkaar heeft gestoken - afgaande van hun profieltekst.
Natuurlijk enkele momenten na de lancering (voor het weekend) alle betrokken partijen al op de hoogte gesteld - maar nog geen antwoord gehad.
Dus mijn prangende vraag is en blijft... hoe kan een (internationaal) gesubsidieerde site op zo'n onveilige manier in elkaar worden gestoken? Ergens moet er toch verantwoording worden afgelegd?
:strip_exif()/u/290839/crop5b757283a589c_cropped.gif?f=community)
:strip_icc():strip_exif()/u/81797/crop682244fc1c298_cropped.jpg?f=community)
/u/1906/crop5dfd46928e003.png?f=community)
/u/691318/crop60e513eca9f68_cropped.png?f=community)
/u/199524/axva.png?f=community)
:strip_icc():strip_exif()/u/289675/crop6401bf2c85501_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/67783/icon_small.jpg?f=community){kind=icon}
:strip_icc():strip_exif()/u/5964/crop56503163e97a5.jpeg?f=community)
:strip_icc():strip_exif()/u/86599/crop681cb5088171b_cropped.jpg?f=community)
:strip_exif()/u/26373/anim4.gif?f=community)
