Tax on web: opnieuw aanloggen zonder pincode?

Meerdere keren aanloggen op taxonweb.be, zonder dat er opnieuw naar je pincode gevraagd wordt.
 
Getest op: Ubuntu + Firefox + ACR83u cardreader & Ubuntu beid packages - Windows XP + Firefox + eid software.
 
1. Login op taxonweb met je EID en pincode zoals je normaal zou doen
2. Bekijk iets in je "taxbox" en klik op logout
3. Klik op "Ga naar onthaalpagina" en doorloop de login-procedure opnieuw. Je pin wordt niet meer gevraagd en je kan in Tax-on-web alles doen wat je voordien kon.
 
Heb ook geprobeerd om tussen twee sessies Firefox te herstarten én de beid daemons te stoppen (/etc/init.d/beid stop|start). In beide gevallen met ps gecheckt of er nog een proces draait en desnoods hardhandig gekilled, maar dit maakt geen enkel verschil. De eid moet nog (gelukkig) nog wel in je cardreader blijven zitten, anders werkt het niet.
 
Waar en waarom die pin precies gecachet wordt is me niet duidelijk en het is nu ook geen echt mega-groot security leak, maar het lijkt me op zijn minst niet consequent dat je nadat je op logout geklikt hebt opnieuw kan inloggen zonder PIN als je je eid in de reader laat.

Dit is volledig waar. Weet ook dat eens je je pincode ingegeven hebt de website ALLE gegevens kan uitlezen uit je cardreader.

Adres, naam, geboortedatum,...

Is dit wat ze 'safe-on-web' noemen?
Besluit: Steek je kaart enkel op de site van de staat en haal hem er direct uit als je klaar bent.

Een gemeente heeft iets ge-dev die die rechten beperkt. De naam was iets met privacy en eID. Het is opensource want op email-aanvraag krijg je de source (ergens in m'n inbox op m'n privé laptop).

Lode (not verified)

Fri, 29/06/2007 - 12:18

Christophe, klopt niet op de manier waarop je je bij Tax on web wordt aanmeldt. Bij authenticatie op basis van het certificaat krijgt de webserver enkel je naam en rijksregisternummer. Voor de andere gegevens (foto, adres) is een interface met de middleware nodig, die verloopt via een Java applet, wat je nog apart toestemming moet geven.

Zowieso kan een "rogue" website nooit aan je gegevens zonder je pincode te vragen.

Het schijnt volgens Wouter simpelweg een nogal vreemde default value in /etc/beidbase.conf te zijn:
        # Single Sign-On
        #
        # This option lets the PKCS11 lib clears the CKF_LOGIN_REQUIRED
        # flag for each token info, and sets each session info state
        # to CKS_RW_USER_FUNCTIONS.
        #
        # This way, applications won't (shouldn't) ask a PIN to the user,
        # this PKCS11 lib itself will ask for the PIN if no login has
        # been done before.
        #
        # Default: true
        allow_sso = true;
 

Add new comment

The content of this field is kept private and will not be shown publicly.

Filtered HTML

  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.