Opinion nga Blerim Rexha
Trusti, dje pasdite hapi ueb aplikacionin (www.trusti10.org), që të iu mundësoi qytetarëve të Kosovës të aplikojnë për 10% e kursimeve të tyre. Që aplikimi të jetë vetëm online, është padyshim një qasje e mirë sidomos tani në kohë pandemie – dhe për të evituar tollovitë eventuale para sporteleve të Trustit.
Por aplikacioni në formën që është prezantuar (https://bentenapp.azurewebsites.net/) kërkon edhe shumë punë administrative (back office) nga zyrtarët e Trustit – sepse ky ueb aplikacion nuk ka autentikim! Një (keq)përdorues ka mundësi të aplikoj për krejt qytetarët e Kosovës. Algoritmi i gjenerimit të numrit personal (modulo 11) nuk është sekret, dhe një aplikacion i thjesht mund të gjeneroj për disa sekonda krejt numrat personal të qytetareve të Kosovës (detyrë klase për studentët ). Pastaj sulmuesi jep vetëm llogarinë e tij, në formatin e kërkuar, dhe në faqen e dytë disa numrat të telefonit dhe disa email adresa! Një skenario sulmi kibernetik lehtë i implementueshëm me veglën BurpSuite.
Trusti do të ndalte një sulm të tillë, duke aplikuar teknikat e mbrojtjes me reCAPTCHA. Numri i kërkesave paralele do të zvogëlohej, sikur të përdorej edhe ndonjë algoritëm për ndarje p.sh në bazë të shifrës së fundit të numrit personal (çift/tek) apo ndarje edhe në grupe tjera që do ta zvogëlonte kërkesën.
Aplikacioni është i thjeshtë për përdorim, dhe vërehet qartazi se zhvilluesit e ueb aplikacionit këtu kanë bërë kompromis në dobi të thjeshtësisë së përdorimit (usability) e për më shumë punë krahasuese në “back end” edhe për më shumë punë (manuale në back office) për zyrtarët e Trustit.
Nga aspekti i besueshmërisë (reliability) ueb aplikacionit i mungon edhe nga një email/sms konfirmues, për përmbylljen me sukses të aplikimit.
Trustit tani i mbetet puna më e vështirë – të vërtetoj se kërkesa e parashtruar është legjitime, pra secili qytetarë e ka bërë kërkesën për vete dhe llogaria bankare e dhënë është e parashtruesit të kërkesës. Punë të mbarë!
(Blerim Rexha është profesor i rregullt në Fakultetin e Inxhinierisë Elektrike dhe Kompjuterike të Universitetit të Prishtinës. Profesor Rexha, njëkohësisht është edhe bashkëpunëtor profesional i hibrid.info)
