Altinn / altinn-infoportal-optimizely

CMS for altinn.no
1 stars 0 forks source link

HOTFIX: Google reCAPTCHA v3 inn på kontaktskjemaet i Infoportalen #161

Closed ferkinx closed 7 months ago

ferkinx commented 9 months ago

Description of the bug

Kontaktskjemaet til ABS og Starte-/drive-bedrift-redaksjonen ble utsatt for botangrep på mandag og har vært avpublisert siden da. Siden Altinn er på full fart inn i høytrafikkperioden, ønsker vi snarest å få skjemaet i produksjon igjen, men da med bruk av Google reCaptcha v3 implementert a la måten det er gjort på i kontaktskjemaet hos Mnemonic - etter anbefaling fra Wilhelm/KnowIT. Denne implementasjonen medfører IKKE noen ekstra innsats fra brukerne av skjemaet ("Hvilke ruter viser trafikklys" eller lign.), og bør derfor ikke medføre høyere terskel for bruk av skjemaet.

Samtidig bør vi informere brukerne om at denne sikkerhetsmekanismen er tatt i bruk, med lenke til mer informasjon i personvernerklæringen. Dette ønsker jeg som en setning øverst i kontaktskjemaet, der teksten kan redigeres via redaktørgrensesnittet (ev. administratorgrensesnittet).

Steps To Reproduce

Se beskrivelse over

Additional Information

Lenke til kontaktskjemaet hos Mnemonic: https://www.mnemonic.io/company/get-in-touch/

Utviklerdokumentasjon hos Google: https://developers.google.com/recaptcha/docs/v3

annerisbakk commented 9 months ago

https://github.com/Altinn/altinn-support-private/issues/2408

MonaEbbesen commented 9 months ago

Kommentar fra @ferkinx torsdag 18.januar: Jeg har gjort foreløpige avklaringer om bruk av Google sin reCAPCHA-løsning med Linda jurist og Jan Vidar. Har opprettet en Google reCAPCHA-konto for Altinn og oversendt "Site Key" for løsningen til Wilhelm.

ferkinx commented 9 months ago

Vi deployet Infoportalen med Google reCAPTCHA-bestkyttelse fredag 26. januar ved lunsjtider. Deretter ble kontaktskjemaet satt i produksjon igjen.

Grunnen til at issuen ikke er satt til DONE ennå, er at KnowIT holder på å oppdatere til Google reCAPTCHA Enterprise, pga. at det ser ut som enterprise-versjonen er bedre mht. GDPR.

https://cloud.google.com/blog/products/identity-security/recaptcha-enterprise-and-the-importance-of-gdpr-compliance