Nye sikkerhedsforanstaltninger på websitet

af Thomas Huulbæk Titanium den 22. November 2011 Thomas Huulbæk Titanium

Vi har indført krypterede forbindelser via SSL og kan samtidig løfte sløret for, hvordan de mere sikre afstemninger kommer til at foregå i fremtiden.

Alle demokrater kan nok blive enige om, at sikkerheden skal være i højsædet ved demokratiske afstemninger. Mens vi venter på at få implementeret NemID på websitet - som er en essentiel men bekostelig affære - så har vi taget andre sikkerhedsmæssige initiativer. Som det første har vi anskaffet et SSL-certifikat, der muliggør kryptering af forbindelsen mellem websitet og brugeren. Det betyder, at vi har indført obligatorisk kryptering visse steder - på login-siden og på afstemninger om forslag. Det betyder i praksis, at det bliver meget svært at aflytte, hvad brugerne stemmer og samtidig kan brugernes kodeord ikke opsnappes. Det næste tiltag, som ikke er helt klar endnu, betyder desværre, at vi må sige farvel til Enighedsmaskinen. Enighedsmaskinen er lidt en gimmick, der kan bruges til at se, hvor enig du er i din afstemninger med Folketingets medlemmer. Selvom det kan være meget sjovt og oplysende, så er vi desværre nødt til at droppe den, da den kræver, at systemet ved, hvad du har stemt til de forskellige afstemninger. Det betyder også, at det ikke bliver muligt at ændre sin stemme, når den først er afgivet. I fremtiden kommer afstemninger om forslag til at foregå på følgende måde: (1) Bruger afgiver sin stemme. (2) Bruger bekræfter sin stemme. (3) Systemet viser et nummer - f.eks. P 213 - til bruger. Nummeret knyttes ikke til bruger og det er kun bruger, der kender nummeret. (4) Når afstemningen er slut kan bruger - hvis bruger ønsker dette - verificere, at P 213 tæller rigtigt med i afstemningsresultatet. Når vi engang tager NemID i brug, vil der i nogle tilfælde være et ekstra trin, hvor bruger skal bekræfte sin identitet via NemID. Det kan f.eks. ske efter hver 10. afstemning eller lignende.

Læst 2358 gange

Emneord: sikkerhed afstemninger nemid

Relaterede artikler:

21.08.2013
 Ændringer i teknikken

22.05.2013
 To tabloid or not to tabloid

15.02.2013
 Kildekoden til afstemningssystemet

01.03.2012
 Mobilt website til afstemninger

23.02.2012
 Nu kan NemID benyttes

24. Nov 2011 15:55
Thomas Huulbæk Titanium
Medlem
 
VERIFICERET

Alle afstemninger om forslag er nu anonymiserede og sikre.

07. Dec 2011 09:36
Thomas Huulbæk Titanium
Medlem
 
VERIFICERET

Selvom alle afstemninger nu er anonyme, så er der faktisk et scenarie, hvor det er muligt at finde frem til, hvad brugeren har stemt. På vores Apache server gemmer vi 5 dages logfiler over alle besøgende med IP-adresser og så videre - det gøres for at kunne fejlsøge, hvis der sker uventede ting. Samtidig gør det dét muligt at analysere de hacker-angreb, som vi jævnligt udsættes for.

Hvis en hacker får adgang til disse filer, kan han sammenligne tidspunkter og IP-adresser i logfilen med de tidspunkter stemmerne blev afgivet på. Det kræver selvfølgelig også, at hackeren samtidig får adgang til hele databasen.

Det er kun mig og vores hosting-udbyder Pil.dk, der har adgang til disse filer. Men det er stadig ikke optimalt og jeg udtænker forhåbentligt en løsning.

08. Dec 2011 09:44
Thomas Huulbæk Titanium
Medlem
 
VERIFICERET

Hele sitet benytter nu SSL. Det skabte lidt problemer, at nogle sider ikke var krypterede. Det betyder dog, at vi mister nogle ting i forhold til Facebook, men det lever vi nok med.

Du burde være logget ind for at kommentere...



Informér om nye indlæg i denne debat?