4 resultats trobats

1. Revisar e incrementar la seguridad del código de acceso

   Datos requeridos

   Nombre de entidad desde la que se envía la sugerencia: Fundació i2CAT, Internet i Innovació Digital a Catalunya
   * Esta sugerencia no representa ni comparte necesariamente la posición oficial de esta entidad

   Detalles sobre la sugerencia

   Posible problemática: revisar cuán factible es que un usuario ajeno a una comunicación determinada pueda acceder a un informe activo mediante fuerza bruta. Es decir, al emitir como anónimo una nueva comunicación en el servicio "Bústia Ètica" se genera un código numérico de acceso de 16 dígitos, con el cual el autor puede acceder posteriormente. Por una parte, es un número suficientemente largo y no consecutivo como para que otros miembros puedan llegar a encontrar un número cuyo informe esté activo dentro de su organización. Por otra, si se es capaz de automatizar mediante scripts el proceso de generación de códigos numéricos (salvando las limitaciones de memoria del ordenador) y también la obtención de token y código de sesión para acceder a los informes, no parece arriesgado pensar en que es factible obtener datos de informes ajenos.

   Sugerencia: la complejidad de que alguien ajeno pudiese acceder a un informe dado podría incrementarse sensiblemente (en tiempo y en memoria) con ciertos cambios. Posibles opciones: (1) que el código de acceso incluyese caracteres alfanuméricos e incluso símbolos; (2) que se incluyese una segunda clave que sí fuese alfanumérica (p.ej. el mismo UUID4) o con símbolos; (3) que se permitiese introducir un correo anonimizado (bajo la propia responsabilidad del informante, como ya sucede al escribir el propio informe) pero sin necesidad de identificarse con nombre y DNI, y con el cual se podría utilizar 2FA (autenticación en dos factores) para enviar un código temporal de acceso; (4) que se generase un secreto diferente por cada informe activo e indicaciones para que cada informate pudiese configurar un código TOTP (Time-based One Time Password), cuyo código generado variase con el tiempo.

   Datos requeridos

   Nombre de entidad desde la que se envía la sugerencia: Fundació i2CAT, Internet i Innovació Digital a Catalunya
   * Esta sugerencia no representa ni comparte necesariamente la posición oficial de esta entidad

   Detalles sobre la sugerencia

   Posible problemática: revisar cuán factible es que un usuario ajeno a una comunicación determinada pueda acceder a un informe activo mediante fuerza bruta. Es decir, al emitir como anónimo una nueva comunicación en el servicio "Bústia Ètica" se genera un código numérico de acceso de 16 dígitos, con el cual el autor puede acceder posteriormente. Por una parte, es un número suficientemente… Més

   6 vots

   vot vot vot

   Ens alegra que estiguis aquí

   Inicieu la sessió per deixar comentaris

   Identificat com a (Sortir)

   Tanca

   Tanca

   vot

   T'enviarem actualitzacions en aquesta idea

   0 comentaris  ·  Canal d'alertes (Bústia ètica)  ·  elimina…  ·  Admin →
   Què tan important és això per a tu?

   Poc Primer has d'iniciar sessió! Normal Primer has d'iniciar sessió! Molt Primer has d'iniciar sessió!

   Ens alegra que estiguis aquí

   Inicieu la sessió per deixar comentaris

   Identificat com a (Sortir)

   Tanca

   Tanca

   Submit Rating

2. Bústia ètica-Logotip pel portal WEB

   Un logotip igual per tothom que identiqui l'accés a bústia ètica des del portal WEB

   1 vot

   vot vot vot

   Ens alegra que estiguis aquí

   Inicieu la sessió per deixar comentaris

   Identificat com a (Sortir)

   Tanca

   Tanca

   vot

   T'enviarem actualitzacions en aquesta idea

   3 comentaris  ·  Canal d'alertes (Bústia ètica)  ·  elimina…  ·  Admin →
   Què tan important és això per a tu?

   Poc Primer has d'iniciar sessió! Normal Primer has d'iniciar sessió! Molt Primer has d'iniciar sessió!

   Ens alegra que estiguis aquí

   Inicieu la sessió per deixar comentaris

   Identificat com a (Sortir)

   Tanca

   Tanca

   Submit Rating

3. bustia ètica: Poder realitzar videotrucades dins de l'eina/context

   BÚSTIA ÈTICA-CANAL INTENR D'INFORMACIÓ: Possibilitat de realitzar videotrucades dins de l'eina/context

   1 vot

   vot vot vot

   Ens alegra que estiguis aquí

   Inicieu la sessió per deixar comentaris

   Identificat com a (Sortir)

   Tanca

   Tanca

   vot

   T'enviarem actualitzacions en aquesta idea

   0 comentaris  ·  Canal d'alertes (Bústia ètica)  ·  elimina…  ·  Admin →
   Què tan important és això per a tu?

   Poc Primer has d'iniciar sessió! Normal Primer has d'iniciar sessió! Molt Primer has d'iniciar sessió!

   Ens alegra que estiguis aquí

   Inicieu la sessió per deixar comentaris

   Identificat com a (Sortir)

   Tanca

   Tanca

   Submit Rating

4. BÚSTIA ÈTICA: Poder enviar missatges d'àudio dins del canal d'informació per part de la persona alertant

   Possibilitat d'enviar missatges d'àudio dins del canal d'informació per part de la persona anunciant. ( distorsió de la veu?)

   1 vot

   vot vot vot

   Ens alegra que estiguis aquí

   Inicieu la sessió per deixar comentaris

   Identificat com a (Sortir)

   Tanca

   Tanca

   vot

   T'enviarem actualitzacions en aquesta idea

   0 comentaris  ·  Canal d'alertes (Bústia ètica)  ·  elimina…  ·  Admin →
   Què tan important és això per a tu?

   Poc Primer has d'iniciar sessió! Normal Primer has d'iniciar sessió! Molt Primer has d'iniciar sessió!

   Ens alegra que estiguis aquí

   Inicieu la sessió per deixar comentaris

   Identificat com a (Sortir)

   Tanca

   Tanca

   Submit Rating