doccle link

Hier horen vragen over google, irc, nieuwsgroepen, e-mail, enzovoort
StarWing
Elite Poster
Elite Poster
Berichten: 922
Lid geworden op: 28 jan 2006, 17:21
Uitgedeelde bedankjes: 41 keer
Bedankt: 75 keer
Recent bedankt: 1 keer

Bericht

Eigenlijk ben ik niet echt pro-doccle, maar wegens omstandigheden toch maar geactiveerd omdat ik een groot deel papierwerk verwacht wegens medische redenen.
Nu valt er mij toevallig iets op. Ik heb een doccle document geopend via de site zelf van de mutualiteit, en dit document heeft een bepaalde url. Als ik die url dagen nadien open (via de history), en zonder in te loggen, kan ik dit document perfect openen.
Sterker, als ik deze url copy/paste in een andere browser, dewelke nog nooit doccle geopend heeft op mijn pc, dan kan ik dit document ook openen.

Ben ik nu paranoia, of is dit een security breach ?
Gebruikersavatar
heist_175
Moderator
Moderator
Berichten: 15806
Lid geworden op: 07 okt 2010, 07:35
Locatie: Kempen
Uitgedeelde bedankjes: 398 keer
Bedankt: 772 keer
Recent bedankt: 5 keer

Bericht

Zo werkt doccle, al zit er op elke URL wel een "validity period".
Als je die URL over 3 maanden nog eens probeert, zal het niet werken.

Of dat een security breach is, weet ik zo niet.
De URL's zijn belachelijk lang en dus niet "te raden".
butskristof
Elite Poster
Elite Poster
Berichten: 1538
Lid geworden op: 19 dec 2011, 17:42
Locatie: Heist-op-den-Berg
Uitgedeelde bedankjes: 413 keer
Bedankt: 99 keer
Recent bedankt: 1 keer

Bericht

Die URL bevat normaal een security token dat je toegang verschat tot het bepaalde document. Dat token is natuurlijk uniek aan dat document, en heeft normaal ook een bepaalde geldigheidsdatum. Wij hanteren standaard bijvoorbeeld 10 of 15 minuten in gelijkaardige situaties. Op zich is dat systeem veilig: je kan enkel zo'n token bekomen als je ingelogd bent, en heeft dus die ingebouwde vervaldatum.
Dat wil echter niet zeggen dat dat niet kan mislopen, ook bij de groten der aarde: https://tweakers.net/nieuws/213730/ai-o ... -data.html .
Soms worden dergelijke tokens dus ook gegenereerd tijdens development zònder zo'n geldigheidsperiode, en als die dan uitlekt heb je problemen.
Gebruikersavatar
on4bam
Moderator
Moderator
Berichten: 6098
Lid geworden op: 05 mei 2006, 14:05
Locatie: 127.0.0.1 of elders
Uitgedeelde bedankjes: 277 keer
Bedankt: 511 keer
Recent bedankt: 11 keer

Bericht

Zonder inloggen zou zo'n document toch nooit beschikbaar mogen zijn? Het kan dan wel moeilijk zijn om aan de URL te geraken, je kan nooit uitsluiten dat iemand aan de mails kan.
Terwijl men overal aandringt om 2FA/MFA te gebruiken is dit toch een voorbeeld van hoe het niet moet.

edit: 10-15 minuten... de TS geeft aan "enkele dagen".
Bye, Maurice
https://on4bam.com
StarWing
Elite Poster
Elite Poster
Berichten: 922
Lid geworden op: 28 jan 2006, 17:21
Uitgedeelde bedankjes: 41 keer
Bedankt: 75 keer
Recent bedankt: 1 keer

Bericht

in dit geval, is het al mee dan een week.
butskristof
Elite Poster
Elite Poster
Berichten: 1538
Lid geworden op: 19 dec 2011, 17:42
Locatie: Heist-op-den-Berg
Uitgedeelde bedankjes: 413 keer
Bedankt: 99 keer
Recent bedankt: 1 keer

Bericht

Dat token zit dan normaal ook niet in de mail. Via de link in de mail wordt je eerst naar het portaal geleid, waar je dus eerst moet inloggen, en daarna wordt je doorverwezen met naar het document. Pas op dat moment zie je in je browser een URL waar dat token in zit, die je wel "standalone" kan gebruiken vanaf dan, totdat de geldigheid van dat token verstreken is.
Dat is in ieder geval hoe ik de OP interpreteer: link in email -> doccle -> PDF link -> PDF link uit de history gehaald.

Het systeem op zich is veilig hoor, maar de exacte parameters (oa geldigheidstermijn dus) maken wel dat je het onveilig kan maken. Dat is bij alle system zo, en er steeds een tradeoff tussen security (heel beperkte geldigheidsduur) en gebruiksgemak (via de history de link nog kunnen gebruiken).

Achterliggend is de reden trouwens dat die document in een totaal ander systeem bewaard worden (genre S3 bucket, Azure Storage, ...) dat wellicht op een ander domein draait en dus geen toegang heeft tot de authenticatiesessie van de gebruiker in het eigenlijke portaal.
StarWing
Elite Poster
Elite Poster
Berichten: 922
Lid geworden op: 28 jan 2006, 17:21
Uitgedeelde bedankjes: 41 keer
Bedankt: 75 keer
Recent bedankt: 1 keer

Bericht

Daar moet ik het antwoord schuldig op blijven. Ik het het per toeval ontdekt door op de link te klikken. Maar dan nog, ik open de link op een voor doccle onbekende browser, na meer dan een week en ik kan deze openen zonder authenticatie.
Ik ga het eens proberen simuleren.

//Edit, het betrof toch een link via een email. Antwoord van Doccle:
Hallo,

Sommige van onze partners zoals Telenet, CM en De Watergroep, wensen dat hun klanten niet moeten inloggen op Doccle maar dat ze hun facturen meteen vanuit de notificatiemail kunnen raadplegen.

Zij plaatsen de documenten in dit geval achter de desbetreffende link, welke het document in pdf-formaat in een nieuw browservenster opent.

Mocht je nog vragen hebben, laat het gerust weten.
Al bij al vind ik het toch maar een rare manier van werken. Iedereen kan zomaar aan je privé gegevens zonder authenticatie.
In mijn geval gaat het om de mutualiteit, wat toch gevoeliger is dan uw afrekening van water/gas etc.
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5720
Lid geworden op: 10 maa 2010, 11:30
Uitgedeelde bedankjes: 57 keer
Bedankt: 492 keer
Recent bedankt: 4 keer

Bericht

het is in theorie niet meer/minder veilig dan de brievenbus (daar kan ook iedereen de brief uithalen).
verder snap ik de CM wel, zeker omdat ik bv ook geen doccle-fan ben en dus nooit op doccle inlog, maar voor de documenten van de CM van mijn moeder opte volgen,
hoeft dat dus gelukkig ook niet.

de link is belachelijk lang (en indien dus een beetje deftig, ook niet te raden) + de geldigheid van de link is +/- 1 maand.
er is ook geen informatie te wijzigen, het is niet te linken aan een doccle gebruiker, en er zijn geen documenten te raadplegen buiten dat 1ne document.

is het extreem veilig? mss niet (maar een login kan even onveilig zijn indien slecht gemaakt)
is het echt onveilig? nee, dat denk ik niet.

en ja, die link krijg je via mail.... maar als iemand je mails onderscheppen zou, kunnen ze ook mogelijks je login gegevens gaan resetten,
dus dan maakt die link het verschil ook niet.

zelf ben ik persoonlijk nog steeds voorstander van "stuur mij mijn documenten via mail, naar mijn mail, en ik doe de rest wel" ipv het ene in doccle, het andere in ebox, nog een ander in nog een andere klantenzone, ....
dus de tussenoplossing van de CM (het is niet dadelijk mijn document in mijn mailbox - maar ik moet ook geen moeite doen om het vlug even te zien) kan ik mee leven.


en qua gevoeligheid:

op zich denk ik niet dat berichtgeving van de mutualiteit (noodzakelijk) veiliger of onveiliger zou moeten behandeld worden.
zowel de facturen van de nutsvoorzieningen, als de berichten van de mutualiteit bevatten steeds voldoende info om gebruikt te worden voor identiteitsfraude
(naam, adres, rekeningnr, klantnr)
met dat 1 verschil dat een document van de mutualiteit natuurlijk ook nog je RRN bevat meestal (dus in principe is dat natuurlijk net iets gevoeliger nog)
dragonflo
Elite Poster
Elite Poster
Berichten: 940
Lid geworden op: 30 dec 2009, 22:49
Uitgedeelde bedankjes: 11 keer
Bedankt: 24 keer

Bericht

butskristof schreef: 24 nov 2023, 11:40 ...

Achterliggend is de reden trouwens dat die document in een totaal ander systeem bewaard worden (genre S3 bucket, Azure Storage, ...) dat wellicht op een ander domein draait en dus geen toegang heeft tot de authenticatiesessie van de gebruiker in het eigenlijke portaal.
Dat zou toch niets mogen uitmaken? De backend haalt de documenten op bij aws of azure en streamt die vervolgens naar de gebruiker. Niet geauthentiseert is geen toegang. Er zijn web frameworks waar dit standaard inzit, zou exotisch zal die oplossing wel niet zijn.
Gebruikersavatar
heist_175
Moderator
Moderator
Berichten: 15806
Lid geworden op: 07 okt 2010, 07:35
Locatie: Kempen
Uitgedeelde bedankjes: 398 keer
Bedankt: 772 keer
Recent bedankt: 5 keer

Bericht

butskristof schreef: 24 nov 2023, 11:40 Dat is in ieder geval hoe ik de OP interpreteer: link in email -> doccle -> PDF link -> PDF link uit de history gehaald.
Doccle documenten kan je ook zonder login bekomen.
CM stuurt mij zo links en ik hoef nooit in te loggen (en er zijn geen cookies ed in mijn browser).
boonpwnz
Elite Poster
Elite Poster
Berichten: 5414
Lid geworden op: 05 jul 2017, 07:50
Uitgedeelde bedankjes: 75 keer
Bedankt: 135 keer
Recent bedankt: 1 keer

Bericht

Ik ontvang mijn loonfiche op doccle. Ook heel handig.
lirec
Elite Poster
Elite Poster
Berichten: 789
Lid geworden op: 03 aug 2010, 12:43
Uitgedeelde bedankjes: 77 keer
Bedankt: 93 keer

Bericht

Zodat er wat meer in praktijk dit bekeken word dan in theorie:
1)hieronder is zo een link van doccle (verlopen link, waaraan ik ook nog eens enkele letters wijzigde):

https://secure.doccle.be/doccle-euui/di ... Kg?lang=NL

2) dat zijn 150 karakers tussen de 01/ en ?lang=NL
3) op het eerste zicht gebruiken ze minstens 54 verschillende karakters

4) Dat geeft in aantal mogelijke combinaties: 249577102920666167729057498823275044646500
(bron: https://www.calculatorsoup.com/calculat ... ations.php)
om te kunnen rekenen in excel word dat 249577102920667000000000000000000000000000

5) Laten we extreem overdrijven door te veronderstellen dat :
-er elke maand 1000 documenten in doccle beschikbaar komen (realiteit: 1 tot 5 per maand allicht voor de meeste gebruikers)
-voor elke 12.000.000 belgen (ze hebben maar 2,7 miljoen gebruikers)
=> dan is je kans om 1 willekeurig document te krijgen met 1 gok 1 op 20798091910055600000000000000000
- Als je vervolgens gedurende 30 dagen (zou 15 moeten zijn in realiteit zelfs want links worden inactief) gaat gokken
- En je kan dat (zonder detectie/blokkage vanuit doccle) doen aan 100 gokken per seconde (onmogelijk uiteraard)
=> dan is je kans 1 document te zien te krijgen 1 op 432.000.000 op een maand tijd

Ik stel voor:
- dat je meedoet aan euromillions. Daar is je kans op het groot lot zelfs 3x hoger: 1 op 139.838.160
- dat je probeert doccle zelf te hacken en niet 1 string te gokken. Dat gaat veel makkelijker zijn en dan heb je toegang tot alle documenten ipv er 1.
- dat je iemand zijn mail probeert te hacken dant dat is niet zo moeilijk en dan krijg je de link naar het document, of kan je een reset initieren van al zijn web-account wachtwoorden waar meer teurg te vinden is dan 1 document.

=> laten we dus concluderen dat het "guessen" van een document onmogelijk is.
butskristof
Elite Poster
Elite Poster
Berichten: 1538
Lid geworden op: 19 dec 2011, 17:42
Locatie: Heist-op-den-Berg
Uitgedeelde bedankjes: 413 keer
Bedankt: 99 keer
Recent bedankt: 1 keer

Bericht

Fijn dat Doccle zelf meer informatie verschaft. Vanuit Doccle vertrekt er dus niets, zij verdelen enkel de links die zij binnen krijgen. Voor de opbouw van de link zelf hangt het dus af van de implementatie van de verzender, die voor zichzelf bepaalt waar ze security en gebruiksgemak laten samen komen.
Zoals hierboven aangetoond is er met een voldoende hoge entropie al een heel lage kans dat je ergens iets kan vinden. Toch voelt iets zo publiek verstoppen heel naar aan. Zij zullen dan de afweging gemaakt hebben dat voor het uitlezen van documenten het voor hun veilig genoeg is.
dragonflo schreef: 24 nov 2023, 14:21 Dat zou toch niets mogen uitmaken? De backend haalt de documenten op bij aws of azure en streamt die vervolgens naar de gebruiker. Niet geauthentiseert is geen toegang. Er zijn web frameworks waar dit standaard inzit, zou exotisch zal die oplossing wel niet zijn.
In de praktijk wordt dit tegenwoordig minder gedaan bij cloud-native toepassingen. Op die manier betaal je twee keer: eerst voor de read uit de storage container, daarna voor de egress bandwidth vanuit de backend naar de gebruiker. Veel goedkoper om dus met behulp van bv een SAS-token de gebruiker rechtstreeks (gelimiteerde) toegang te verschaffen tot de storage. Daarbij komt dan ook nog dat het trager is om het eerst via de backend te laten passeren, en compute vergt.