[新聞] 未用 HTTPS、明文傳輸密碼，pay.taipei

看板Soft_Job作者clsshan2010 (livingroom)時間7年前 (2017/06/28 09:11)推噓24(25推 1噓 19→)

留言45則, 38人參與討論串1/2 (看更多)

未用 HTTPS、明文傳輸密碼，pay.taipei 北市府支付平台安全性不及格更新：台北市政府資訊局 27 日晚間發出聲明，表示已於 6 月 27 日下午 2 時發現 app 存在資安風險，背景資料未採用較安全的方式傳輸，並於當日下午 4 時做應變處理完畢。因系統上線仍有資料更新及修正所需時間，網站會在 6 月 27 日完成更新重新上線，而 app 暫停服務會需要 2 到 3 天左右的時間再度上線提供服務。原本預計 5 月初上線，由台北市政府推行的一站式繳費平台 pay.taipei 經歷延後推出，終於在 6/25 正式上線。然而上線後網友卻不太滿意，從圖示、logo 太醜，到使用體驗太差的意見都有，也可以從 Google Play 上 1.4 顆星的評價看出，底下光登入流程都會卡住的留言絕非個案。 https://goo.gl/7RTW6j 更嚴重的問題是，身為政府支付平台，pay.taipei 的 app 安全性嚴重不足，更可能將大眾的資訊暴露於危險當中。Gandi.net 亞洲區總經理 Thomas Kuiper 試用後，發文指出 pay.taipei 的 app 連 https 都沒用上，密碼還是以純文字傳送，而且用固定 IP 傳輸資料。他也向 INSIDE 補充，「就算專案預算『只有』700 萬台幣，資料防護不是可有可無的選項之一而已。」（Data protection is not only an option, even if the budget of a project is "just" 7 million NT$.） http://imgur.com/a/rmnrT 台北市資訊局長李維斌在今年 2 月的記者會上，表示 pay.taipei 平台企圖整合各類繳費項目，並且支援多家支付業者，除了提供民眾更多元的繳費方案以外，也能推廣台灣的數位支付使用情境，系統由藍新科技建置，也耗費了不少時間與各家支付業者協調及介接系統。儘管可以理解統整資源來建置統一繳費入口 pay.taipei 並不容易，而且根據李維斌所說，主要為面向支付業者提供資源，但市政府自家 app 資料傳輸的安全性卻是不容妥協與忽視的問題，除了應儘速修補外，對於 pay.taipei app 整體的使用體驗和目的性可能要再多花點心思及專業來重新考量。原網址連結: https://www.inside.com.tw/2017/06/27/pay-taipei-failed-on-safety-levels 心得: 聽說連Layout都不是自己拉的，還是從Github載下來 https://github.com/Friend-LGA -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 125.227.21.55 ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1498612295.A.559.html ※ 編輯: clsshan2010 (125.227.21.55), 06/28/2017 09:13:35 ※ 編輯: clsshan2010 (125.227.21.55), 06/28/2017 09:16:43

推

jsgolang

06/28 09:18, , 1^F

06/28 09:18, 1^F

→

robler

06/28 09:28, , 2^F

06/28 09:28, 2^F

→

faintbreeze

06/28 09:30, , 3^F

06/28 09:30, 3^F