Sirvi Autor "Eesmaa, Gregor" järgi

Tulemuste filtreerimiseks trükkige paar esimest tähte
Nüüd näidatakse 1 - 2 2
  • Pisipilt
    listelement.badge.dso-type Kirje ,
    Account Existence Leaks in Estonian Online Services
    (Tartu Ülikool, 2025) Eesmaa, Gregor; Paršovs, Arnis, juhendaja; Tartu Ülikool. Loodus- ja täppisteaduste valdkond; Tartu Ülikool. Arvutiteaduse instituut
    Konto olemasolu leke on turvanõrkus, mis võimaldab ründajal tuvastada, kas kasutaja on veebiteenuses registreeritud. Seda viga saab ära kasutada nii laiaulatuslikuks kontode loendamiseks kui ka sihitud rünneteks, mis kujutab endast märkimisväärset privaatsusriski ja on tõenäoliselt vastuolus EL-i isikuandmete kaitse üldmäärusega (IKÜM). Käesolev magistritöö uurib selle haavatavuse levimust populaarsetes Eesti veebiteenustes, mis kasutavad kontotunnusena meiliaadresse. Töös viidi läbi süstemaatiline turvaanalüüs 55 populaarsel Eesti veebilehel ja mobiilirakenduses, testides haavatavuse suhtes selliseid funktsionaalsusi nagu sisselogimine, parooli lähtestamine, kontode registreerimine ja e-posti aadressi muutmine. Tehnilisele analüüsile järgnes mitmeetapiline vastutustundliku avalikustamise protsess, mis hõlmas kohandatud haavatavusaruandeid ja ametlikke IKÜM-i andmesubjekti päringuid nõuetele mittevastavatele teenusepakkujatele. Uuringust selgus, et kõik testitud teenused olid haavatavad konto olemasolu leketele vähemalt ühe vektori kaudu, kusjuures konto registreerimise ja e-posti muutmise vormid olid kõige sagedamini haavatavad. Enamus testitud teenuseid, 31 (56%), võimaldas varjatud lekkeid ja neil nähtavasti puudusid elementaarsed automatiseerimisvastased meetmed, võimaldades seeläbi varjatud ja massilist kontode loendamist. Nii esialgne vabatahtlik avalikustamine kui ka ametlikud IKÜM-i päringud osutusid tõhusateks vahenditeks paranduste esilekutsumisel, mille tulemusel 15 (27%) testitud teenustest vea täielikult parandasid. Tulemused viitavad süsteemsele kultuurilisele ja regulatiivsele hooletusele konto olemasolu lekete ennetamisel. See uurimus on esimene põhjalik ja laiaulatuslik konto olemasolu lekete analüüs Eesti kontekstis, mis kinnitab IKÜM-põhise teavitusstrateegia tõhusust nõuetele vastavuse saavutamiseks ning pakub praktilisi soovitusi teenusepakkujatele, poliitikakujundajatele ja kasutajatele selle laialt levinud privaatsusriski maandamiseks.
  • Pisipilt
    listelement.badge.dso-type Kirje ,
    Authorization of Web Requests Based on Merkle Trees
    (Tartu Ülikool, 2020) Eesmaa, Gregor; Krips, Kristjan, juhendaja; Tartu Ülikool. Loodus- ja täppisteaduste valdkond; Tartu Ülikool. Arvutiteaduse instituut
    People should not have access to unauthorized data. Web applications can employ many different authentication and authorization schemes to accomplish this. To prove user permissions, session IDs or signed sets of claims are often used. However, scalability and efficiency are increasingly important in microservice architecture. It is also beneficial to decrease privacy risks when communicating with unknown parties. Thus, we propose a way of signing and selectively transmitting a large set of claims using the Merkle tree. In addition, we implement a JavaScript library based on the concept, that is optimized