steinarnoem
commented
1 year ago Jeg synes dette er et godt forslag. Slike tiltak har en lav kostnad, men en stor sikkerhetsmessig gevinst.
Open richardhus opened 1 year ago
steinarnoem
commented
1 year ago Jeg synes dette er et godt forslag. Slike tiltak har en lav kostnad, men en stor sikkerhetsmessig gevinst.
runegri
commented
8 months ago HelseID tar i mot code og system fra EPJ. Resten blir fylt ut av HelseID i et beriknings-steg. Både code og system blir validert opp mot kjente verdier (kodesystem for informasjonselementet og verdi innen for kodesystemet), så det skal ikke være behov for en slik filtrering der. Er enig i at eventuelle fritekstfelt bør i det minste filtreres på denne måten.
runegri
commented
8 months ago Er det forresten behov i arbeidsgruppen for en gjennomgang av hvordan HelseID håndterer innkommende attest?
mortsten
commented
8 months ago @runegri : tror det kan ha stor verdi med en gjennomgang. Gir en forståelse av hvor stor grad kildene/API-eier må validere innhold i attesten.
steinarnoem
commented
8 months ago
Alle attributter som potensielt har fritekst fra fagsystemer (id/code/name/text/description/system/assigner/authority) er potensielle angrepsvinkler for injection-kode eller annen ondsinnet kode (OWASP). Det bør derfor vurderes om denne risikoen kan reduseres ved tiltak ala filtrering av tegn og begrensning av antall tegn som kan formidles.