Re: [新聞] 未用 HTTPS、明文傳輸密碼,pay.taipei
大家都知道買豬肉 要買有認證的豬肉就要經過CAS認證
寫App也是有資安認證的 MAS (mobile app security)
也就是 經濟部工業局 行動應用App基本資安自主檢測推動制度
這次台北市自己沒有經過資安認證 可見
又是地方政府與中央不同調的關係
------------------
如果App 又牽涉到金流的部分
不單單只是要經過國家的驗證 更是要經過國際的認證
而不是App開發完就Release
台北市政府資訊局如此行事真的令人擔憂
※ 引述《clsshan2010 (livingroom)》之銘言:
: 未用 HTTPS、明文傳輸密碼,pay.taipei 北市府支付平台安全性不及格
: 更新:
: 台北市政府資訊局 27 日晚間 發出聲明 ,表示已於 6 月 27 日下午 2 時發現 app 存
: 在資安風險,背景資料未採用較安全的方式傳輸,並於當日下午 4 時 做應變處理完畢。
: 因系統上線仍有資料更新及修正所需時間,網站會 在 6 月 27 日完成更新重新上線,而
: app 暫停服務會需要 2 到 3 天左 右的時間再度上線提供服務。
: 原本預計 5 月初上線,由台北市政府推行的一站式繳費平台 pay.taipei 經歷延後推出
: ,終於在 6/25 正式上線。
: 然而上線後網友卻不太滿意,從圖示、logo 太醜,到使用體驗太差的意見都有,也可以
: 從 Google Play 上 1.4 顆星的評價看出,底下光登入流程都會卡住的留言絕非個案。
: https://goo.gl/7RTW6j
: 更嚴重的問題是,身為政府支付平台,pay.taipei 的 app 安全性嚴重不足,更可能將大
: 眾的資訊暴露於危險當中。Gandi.net 亞洲區總經理 Thomas Kuiper 試用後, 發文 指
: 出 pay.taipei 的 app 連 https 都沒用上,密碼還是以純文字傳送,而且用固定 IP 傳
: 輸資料。他也向 INSIDE 補充,「就算專案預算『只有』700 萬台幣 ,資料防護不是可
: 有可無的選項之一而已。」(Data protection is not only an option, even if the
: budget of a project is "just" 7 million NT$.)
: http://imgur.com/a/rmnrT
: 台北市資訊局長李維斌在今年 2 月的 記者會 上,表示 pay.taipei 平台企圖整合各類
: 繳費項目,並且支援多家支付業者,除了提供民眾更多元的繳費方案以外,也能推廣台灣
: 的數位支付使用情境,系統由藍新科技建置,也耗費了不少時間與各家支付業者協調及介
: 接系統。
: 儘管可以理解統整資源來建置統一繳費入口 pay.taipei 並不容易,而且根據李維斌所說
: ,主要為面向支付業者提供資源,但市政府自家 app 資料傳輸的安全性卻是不容妥協與
: 忽視的問題,除了應儘速修補外,對於 pay.taipei app 整體的使用體驗和目的性可能要
: 再多花點心思及專業來重新考量。
: 原網址連結:
: https://www.inside.com.tw/2017/06/27/pay-taipei-failed-on-safety-levels
: 心得:
: 聽說連Layout都不是自己拉的,還是從Github載下來
: https://github.com/Friend-LGA
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.165.2.95
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1498629998.A.C71.html
推
06/29 10:02, , 1F
06/29 10:02, 1F
→
06/29 11:15, , 2F
06/29 11:15, 2F
推
06/29 15:23, , 3F
06/29 15:23, 3F
→
06/29 15:24, , 4F
06/29 15:24, 4F
→
06/29 15:24, , 5F
06/29 15:24, 5F
→
06/29 15:25, , 6F
06/29 15:25, 6F
推
06/29 16:43, , 7F
06/29 16:43, 7F
推
07/01 07:23, , 8F
07/01 07:23, 8F
討論串 (同標題文章)
完整討論串 (本文為第 2 之 2 篇):