Det er rigtigt, at man som beskrevet kan finde en brugbar kombination af brugernavn og kodeord og dermed tilgå Medlemsinfo, der ellers er forbeholdt medlemmer. Det er også rigtigt, at dette har været tilfældet i adskillige år.
Sekretariatet undersøgte for nogle år siden, hvordan vi kunne undgå denne sikkerhedsbrist, men valgte ikke at bruge ressourcer på at lukke hullet. Det skete ud fra en samlet afvejning af, at der ikke er tale om statshemmeligheder, at vores it-system til at vedligeholde hjemmesiderne står overfor en snarlig udskiftning under alle omstændigheder, samt besværet og omkostningerne ved at lukke hullet.
Det indgik også i overvejelserne, at vi jo ikke ligefrem behøver at reklamere med, at ikke-medlemmer nemt kan logge på Medlemsinfo. Selvom kendskabet til muligheden nu er øget ved denne tråd på Debatten, er vores anbefaling til klubberne dog stadig at offentliggøre både mesterpoint- og handicaplister på klubbernes egne hjemmesider.
Vi vil nu genoverveje, om vi skal bruge de nødvendige midler på at lukke sikkerhedshullet her og nu, eller om vi fortsat kan leve med det, til vi får en ny hjemmesidegenerator.
Det er rigtig godt, at Debatten bruges flittigt. Spørgsmål om mulige sikkerhedsbrist vil jeg dog foretrække at få pr. telefon eller mail i første omgang. Hvis svaret fra sekretariatet ikke er tilfredsstillende, kan man herefter bruge Debatten til at drøfte, om det valgte sikkerhedsniveau er godt nok.
Med venlig hilsen
Flemming Bøgh-Sørensen
Generalsekretær
|