網域名稱俱樂部


返回   網域名稱俱樂部 > 電腦與網路技術 > 數位化世界新聞與觀察評論

回覆
 
主題工具
  #1  
舊 2017-06-28, 09:27 AM
chennien 的頭像
chennien chennien 目前離線
進階會員
 
註冊日期: 2007-03-15
住址: nien.com
文章: 814
發送 ICQ 消息給 chennien 發送 AIM 消息給 chennien 發送 MSN 消息給 chennien 發送 Yahoo! 消息給 chennien 發送 Skype™ 消息給 chennien
帖子 未用 HTTPS、明文傳輸密碼,pay.taipei 北市府支付平台安全性不及格



原本預計 5 月初上線,由台北市政府推行的一站式繳費平台 pay.taipei 經歷延後推出,終於在 6/25 正式上線。

然而上線後網友卻不太滿意,從圖示、logo 太醜,到使用體驗太差的意見都有,也可以從 Google Play 上 1.4 顆星的評價看出,底下光登入流程都會卡住的留言絕非個案。

更嚴重的問題是,身為政府支付平台,pay.taipei 的 app 安全性嚴重不足,更可能將大眾的資訊暴露於危險當中。Gandi.net 亞洲區總經理 Thomas Kuiper 試用後, 發文 指出 pay.taipei 的 app 連 https 都沒用上,密碼還是以純文字傳送,而且用固定 IP 傳輸資料。他也向 INSIDE 補充,「就算專案預算『只有』700 萬台幣 ,資料防護不是可有可無的選項之一而已。」(Data protection is not only an option, even if the budget of a project is "just" 7 million NT$.)



台北市資訊局長李維斌在今年 2 月的 記者會 上,表示 pay.taipei 平台企圖整合各類繳費項目,並且支援多家支付業者,除了提供民眾更多元的繳費方案以外,也能推廣台灣的數位支付使用情境,系統由藍新科技建置,也耗費了不少時間與各家支付業者協調及介接系統。

儘管可以理解統整資源來建置統一繳費入口 pay.taipei 並不容易,而且根據李維斌所說,主要為面向支付業者提供資源,但市政府自家 app 資料傳輸的安全性卻是不容妥協與忽視的問題,除了應儘速修補外,對於 pay.taipei app 整體的使用體驗和目的性可能要再多花點心思及專業來重新考量。

文章來源:www.inside.com.tw/2017/06/27/pay-taipei-failed-on-safety-levels
__________________
--

nien.com | 網路檢測 | 網速測試 | 顧問服務
回覆時引用此篇文章
  #2  
舊 2017-12-09, 04:50 PM
chennien 的頭像
chennien chennien 目前離線
進階會員
 
註冊日期: 2007-03-15
住址: nien.com
文章: 814
發送 ICQ 消息給 chennien 發送 AIM 消息給 chennien 發送 MSN 消息給 chennien 發送 Yahoo! 消息給 chennien 發送 Skype™ 消息給 chennien
帖子 〈自由時報〉薪資系統個資外洩,北市府遭糾正

為處理轄下機關、學校、議會人員薪資發放、考績等業務,台北市政府斥資開發設計的「薪資發放管理系統」,由於沒有妥善保護個人資料,導致部分公務員姓名、薪資、考績等資料曝光在網路,以及台北市政府「智慧支付平台 pay.taipei」及「單一陳情系統 Hello Taipei Android版 App」有使用者帳號、密碼外洩情形,監察院內政及少數民族委員會前天為此審查通過監委高鳳仙、江綺雯調查報告並糾正台北市政府。

2千多人受害 嚴重疏失
高鳳仙、江綺雯指出,台北市政府於一百年間,將薪資系統主機由內網移至DMZ(邊界網路)區,卻未完善資安防護配套,一○六年一月間爆發員工個資外洩事件,使四萬餘名市政府員工陷於個資外洩風險,且因一百九十筆薪資報表檔案連結外露,其中十八張報表連結疑遭廿三個外部 IP連結或下載,實際受影響員工數達二千三百一十三人,直到監察院約詢後,才個別通知疑遭個資外洩員工並採取因應措施,有嚴重疏失。

根據監委調查,台北市政府近三年來,共編列約二億一千萬餘元的資安防護預算,卻發生至少十九起資安事件,其中十七起有「系統漏洞且有明確事證可證實已發生資料遭洩漏」、「系統或資料遭竄改」或「業務運作遭影響或系統停頓」情事,高達十二起肇因於「應用程式漏洞」或「軟硬體漏洞」,兩起個資外洩,六起遭外部有心人士實際入侵,違失情節明確。

高鳳仙、江綺雯並表示,「智慧支付平台 pay.taipei」及「單一陳情系統 Hello Taipei」資安事件,係因採用國家發展委員會 GCA SSL憑證進行加密,但該憑證當時與
Google Play還不相容,台北市政府未能及時督促得標廠商改採其他商業電子憑證,以致短期間連續爆發兩件因未採用 https加密技術,而導致個資外洩爭議,核有疏失。

資訊局:已編補強、汰換預算
對此,台北市資訊局昨晚則發出聲明表示,資訊系統目前已規劃配合系統評估,進行資訊安全風險的補強,無法修補者會優先編列於明年度的預算中進行汰換,預算正在台北市議會審議中。另已對市府所有標準作業流程進行資訊安全檢測,並修訂市府 App上線 SOP及管理規定,要求市府所有 App均應符合經濟部工業局行動化應用軟體檢測標準,才能提供民眾下載使用。

資訊局也說,對於監察院的關心及指示,他們再一次表示感謝及虛心檢討,會在相關政策、處理流程及技術上持續加強。


news.ltn.com.tw/news/local/paper/1158614
__________________
--

nien.com | 網路檢測 | 網速測試 | 顧問服務
回覆時引用此篇文章
  #3  
舊 2017-12-15, 12:56 AM
dclee9 的頭像
dclee9 dclee9 目前離線
進階會員
 
註冊日期: 2013-11-15
住址: Taiwan
文章: 308
預設

現在有https

還是被罵了才改。
真是市政北七路
回覆時引用此篇文章
  #4  
舊 2017-12-15, 02:06 AM
哈啦 的頭像
哈啦 哈啦 目前離線
論壇管理員
 
註冊日期: 2002-05-28
文章: 23,053
預設

我半夢半醒間好像到了鏡花緣中的一個天蛇國裡看到以下一景。

工讀生做好網站後,某負責的公務員就去向某長官報告「長官,網站完成了。」
長官:「哦,看起來不錯,功能如何?你試用給我看看。」
於是該公務員就直接在電腦前操作一番,長官看了很滿意:「looks good」。
然後就一層一層上報,並且都由該公務員去更上層那裡演示,因為除了他之外,沒幾個人真的會用這個網站的功能。
然後就由新聞單位對外公開了。
然後一陣叫罵聲就來了。
大長官說:「外界批評這是什麼碗糕啊?什麼加密?你不用和我解釋,交待負責局處去解決。」
小長官被罵之後就叫該公務員來:「什麼網站沒有加密?這是啥意思?加什麼密?」
公務員就解釋了一下,小長官頻頻點頭,好似有懂但其實不懂,就說:「那快去改一下。」
該公務員就去line那個工讀生「網站為何沒有加密?」
工讀生「你也沒說,我怎知道。」
公務員「那快改一下啊?」
工讀生「這個更複雜了,要加錢喔。」
公務員「好啦,反正快弄。」
工讀生「ok」
公務員的同事說「靠,又要加錢,長官會准嗎?」
公務員:「怎會不准?現在當務之急就是讓外界沒有批評。而且長官根本沒有概念,只要說加密是很高科技的東西,一定會相信的,加多一點錢不是難事。」
__________________
咖啡走路
微博


您是網站站長嗎?歡迎到站長俱樂部 一起討論吧。
按我看版規
code.club
回覆時引用此篇文章
  #5  
舊 2017-12-15, 08:24 PM
dclee9 的頭像
dclee9 dclee9 目前離線
進階會員
 
註冊日期: 2013-11-15
住址: Taiwan
文章: 308
預設

真是幽默

的確,請醫生台推廣線上金流就是車拉驢,不是驢拉車。
上台推廣的因該是工讀生。
隔行如隔山。
回覆時引用此篇文章
回覆

主題工具

發文規則
不可以發表新主題
不可以發表回覆
不可以上傳附件
不可以編輯自己的文章

啟用 BB 代碼
論壇啟用 表情符號
論壇啟用 [IMG] 代碼
論壇禁用 HTML 代碼



所有時間均為 +8。現在的時間是 06:52 AM


本站主機由網易虛擬主機代管
Powered by vBulletin® 版本 3.8.4
版權所有 ©2000 - 2024,Jelsoft Enterprises Ltd.