Het on-line reserveringsysteem Aleph van de TU bibliotheek heeft een toegankelijk achterdeurtje. De catalogus op de website van de bibliotheek lijkt het niet zo nauw te nemen met de veiligheid. Via de site kunnen gebruikers sinds kort onder meer boeken reserveren.
Delen
Voor vastberaden kwaadwilligen is het echter vrij makkelijk om op een inlogsessie in te breken.
Wie de on-line catalogus raadpleegt krijgt tijdelijk een uniek sessienummer toegewezen. Iedereen die dit nummer gebruikt kan de sessie vervolgens kapen, en op naam van een ander boeken bestellen of zijn persoonsgegevens inzien.
Aangezien de sessienummers willekeurig worden toegewezen, is niet direct af te leiden wie onder welk nummer de catalogus raadpleegt. Het kapen van een sessie vereist dan ook enig giswerk. Hoewel de bibliotheek dit veiligheidsprobleem van Aleph erkent, maakt men zich er dus geen grote zorgen over. ,,Wij denken niet dat er veel mensen misbruik van zullen maken, de toegewezen sessienummers zijn tenslotte niet bekend”, aldus een woordvoerder. ,,We hebben nog wel overwogen anonieme sessies aan te bieden, maar dat lost maar een deel van het probleem op.” De bibliotheek heeft de leverancier van Aleph daarom inmiddels verzocht naar een oplossing te zoeken.
De catalogus op de website van de bibliotheek lijkt het niet zo nauw te nemen met de veiligheid. Via de site kunnen gebruikers sinds kort onder meer boeken reserveren. Voor vastberaden kwaadwilligen is het echter vrij makkelijk om op een inlogsessie in te breken.
Wie de on-line catalogus raadpleegt krijgt tijdelijk een uniek sessienummer toegewezen. Iedereen die dit nummer gebruikt kan de sessie vervolgens kapen, en op naam van een ander boeken bestellen of zijn persoonsgegevens inzien.
Aangezien de sessienummers willekeurig worden toegewezen, is niet direct af te leiden wie onder welk nummer de catalogus raadpleegt. Het kapen van een sessie vereist dan ook enig giswerk. Hoewel de bibliotheek dit veiligheidsprobleem van Aleph erkent, maakt men zich er dus geen grote zorgen over. ,,Wij denken niet dat er veel mensen misbruik van zullen maken, de toegewezen sessienummers zijn tenslotte niet bekend”, aldus een woordvoerder. ,,We hebben nog wel overwogen anonieme sessies aan te bieden, maar dat lost maar een deel van het probleem op.” De bibliotheek heeft de leverancier van Aleph daarom inmiddels verzocht naar een oplossing te zoeken.
Comments are closed.