El sitio web no siempre me desconecta. ¿Preocupación por la privacidad o estoy exagerando?

2

He estado solicitando para algunos trabajos y uso una cierta página de carreras con cierta frecuencia. He empezado a notar que no siempre me desconecto, incluso si hago clic en "cerrar sesión" y veo un mensaje que dice que me he desconectado correctamente. Después de cerrar sesión, hacer clic en el botón que se supone que me lleve a la página de inicio de sesión a veces me lleva directamente a mi cuenta, donde puedo ver toda la información de mi cuenta o modificar y guardar detalles, o incluso eliminar la cuenta. El cierre de sesión funciona tal vez el 75% del tiempo, pero el otro 25% no lo hace, y eso parece ocurrir siempre después de que recibo un error sobre mi token de SSO al iniciar sesión. Por lo tanto, creo que está relacionado. aunque no estoy seguro de cómo.

Video subido aquí: enlace

Lo mencioné con su departamento de TI. Su respuesta fue que no admiten computadoras individuales y las diferentes configuraciones que pueden tener los usuarios, y es muy probable que sea un problema con la configuración de mi computadora o navegador web. No es que mi configuración sea tan inusual (Chrome actualizado sin extensiones en una computadora de escritorio y computadora portátil con Windows 7, y Firefox 22 en otra computadora de escritorio con Windows 7). La computadora que ejecuta Firefox está detrás de un proxy corporativo y dijeron que el proxy probablemente está causando problemas con el cierre de sesión. Nuevamente, me dijeron que no están en el negocio de dar soporte a las PC individuales de los usuarios, por lo que no pueden hacer mucho para solucionar cómo se comporta con los proxies, y debería encontrar una computadora en la que la desconexión funcione correctamente.

¿Son mis expectativas de privacidad de seguridad simplemente demasiado altas? Un cierre de sesión funcional parece una expectativa simple y básica. Si su sitio web es tan frágil que los proxies o ciertos navegadores tienen problemas con cosas fundamentales, como desconectarse, me preocupa que alguien que sepa lo que están haciendo pueda causar mucho daño. ¿Tengo preocupaciones legítimas o esto no es nada fuera de lo común?

    
pregunta frogpizza 01.02.2014 - 19:24
fuente

2 respuestas

2

Usted tiene toda la razón de que el sitio web no se comporte de esta manera. Yo diría que este problema en particular es un riesgo bastante bajo. Pero me pregunto: si tienen este problema, ¿qué otros problemas tienen? Problemas más serios, como la inyección SQL, podrían permitir que un atacante robe todos los datos de los usuarios.

La respuesta de su departamento de soporte no es satisfactoria. Sin embargo, he descubierto que este es un problema muy generalizado, incluso con algunos servicios con los que generalmente estoy feliz de hacer negocios.

¿Qué tanto de este problema te presenta? Supongo que confía en el sitio con algunos datos personales, pero ¿cuánto? ¿Cómo impactaría una brecha en ti? Con el sitio de reclutamiento, las personas a menudo se preocupan por que su empleador actual descubra que están en el sitio. Por lo general, creo que es poco probable que su jefe realice un ataque de piratería en un sitio para ver si alguno de los miembros del equipo lo está utilizando. Es mucho más probable que sea una pandilla organizada de delitos cibernéticos que espera usar los datos para obtener ganancias financieras.

Hay algunos pasos prácticos que puede tomar para defenderse, como usar una dirección de correo electrónico de un solo propósito que haya creado solo para usar con ese sitio. En última instancia, debe decidir si los riesgos de seguridad superan los beneficios para usted de estar en el sitio.

    
respondido por el paj28 02.02.2014 - 00:44
fuente
0

Si tiene un "token de SSO", entonces parece plausible que el token sea el culpable. Se supone que ese tipo de sistema, por diseño, "inicia sesión automáticamente" cuando se requiere alguna autenticación. Como un sistema externo, el token debe reconocer de alguna manera cuando un sitio solicita autenticación (para proporcionar credenciales automáticamente), pero también debe notar cuando voluntariamente quiere "cerrar sesión", para detener el inicio de sesión. automáticamente. Este proceso de reconocimiento es de naturaleza heurística; ocurre sin conocer el sitio en sí, y se basa en una cierta coincidencia de patrones difusos en el contenido y el comportamiento del sitio; y puede fallar. Creo que observas una situación donde falla. El token de SSO no comprende que realmente quería desconectarse y vuelve a iniciar sesión porque cree que es su trabajo.

Si tiene que plantear el problema a otra persona, le sugiero que hable con el proveedor para obtener ese "token de SSO".

    
respondido por el Thomas Pornin 02.02.2014 - 00:17
fuente

Lea otras preguntas en las etiquetas