Stor säkerhetslucka i Stockholms stads it-system – sårbart för attacker
Stockholms stads inloggningssystem har en omfattande säkerhetslucka, kan Ny Teknik avslöja. Staden har känt till luckan, som i interna mejl beskrivs som ”permanent och enorm”, sedan åtminstone i december, utan att täppa till den.
Säkerhetsluckan omfattar alla inloggningar på sajten stockholm.se. När användaren loggar in sparas en cookie med information i webbläsaren. Vid explicit utloggning raderas cookien, men om fliken bara stängs ner sparas kakan i webbläsaren och fortsätter att spåra användaren under lång tid. Detta gör systemet sårbart för en typ av it-attack som kallas för Cross Site Request Forgery (vi återkommer till vad det är).