11/7/2016
Czytelnicy zgłaszają nam od rana link do serwisu Ministerstwa Finansów umożliwiającego sprawdzenie statusu zwrotu podatku. Robią to, ponieważ link wygląda na podejrzany:
Po pierwsze, zamiast domeny w linku jest adres IP. Po drugie, serwis prosi o PESEL i kwotę przychodu, ale nie szyfruje tych danych (brak HTTPS), a zatem naraża każdego korzystającego z niego internautę na wyciek jego danych, nie mówiąc już o tym, że łamie dobre praktyki.
Co prawda w serwisie nie ma możliwości wykonania jakiejś operacji na “koncie” użytkownika, czy też przekierowaniu jego zwrotu na inny numer rachunku, ale wciąż — nie przystoi ministerstwu prowadzenie takiego serwisu. Dlaczego taki “potworek” powstał? Czyżby Ministerstwo Finansów nie miało finansów na certyfikat SSL?
PS. Szczęśliwie, nie wszystkie Urzędy Skarbowe korzystają z tego serwisu — pytanie dla czego, czyżby same wiedziały, czym to grozi?
stan zealizowany ??
no fake jak nic ;)
“Czyżby Ministerstwo Finansów nie miało finansów na certyfikat SSL?”
Przecież mogą użyć Let’s Encrypt :D
Tylko to koszt pseudo-informatyka, który wklepie jedno polecenie raz na trzy miesiące…
A zauważyłeś, że LE wydaje tylko DV, a tutaj potrzeba EV?
@mpan
Lepsze DV niż nic. Zresztą sprawdziłem kilka urzędowych stron, większość nawet jak ma https to nie ma EV.
“Aplikacja do sprawdzania postępu w załatwianiu zwrotu z zeznań rocznych”? To nie jest ani po polsku, ani po urzędowemu, skąd pomysł, że jest to serwis Ministerstwa Finansów?
Zostało to zweryfikowane.
Nom, tak od rana (w pewnej strefie czasowej) 17 marca z grubsza ;) Wtedy też się zastanawiałem, czy da się to wykorzystać do złożenia korekty 1%.
dla czego (?)
Jeez….
Też mnie to jakoś ukłuło w oczy. Może dlatego, że do webowej fuszerki naszych urzędów już się przyzwyczaiłem. :P