KAZIK, M. Bezpečný přístup do webového rozhraní [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2009.

Posudek vedoucího

Rášo, Ondřej

Diplomant měl vytvořit bezpečné webové rozhraní, rozhraní bylo sice vytvořeno, ale obsahuje plno chyb. Z těch závažnějších je možno uvést například špatnou generaci identifikátoru spojení (SID). Diplomant sice ve své práci tvrdí, že by tento identifikátor měl být jedinečný a měl by se měnit po každém požadavku/odpovědi, ale v práci tak nečiní. I když diplomant použil SSL/TLS ochranu, je možno se k webovému rozhraní připojit bez této ochrany. Přenos hesla pak dokonce probíhá v textové podobě. Dále měl diplomant vytvořit klientský certifikát pro vyšší úroveň zabezpečení, to však neučinil. Formálnímu zpracování práce lze vytknout přílišnou obecnost. Celkově je práce neucelená, probírána látka je mnohdy jen na úrovní lehkého seznámení s problematikou. Práce by dopadla mnohem lépe, kdyby student využíval konzultaci, o ty však diplomant nejevil zájem a tak prakticky neprobíhala.

Posudek oponenta

Hajný, Jan

Práce si klade za cíl vytvořit systém pro bezpečný přístup k webovým stránkám. V textu se střídá teoretický popis hrozeb s jejich praktickým řešením. Zde bych považoval za vhodnější nejdříve uvést teoretický rozbor problematiky a následně popsat řešení. Systém použitý v práci je neucelený, témata jsou často měněna bez hlubšího rozboru. V praktickém řešení považuji za nebezpečné ponechání systému bez SSL/TLS ochrany. V současném stavu není problém odchytit uživatelská jména/hesla i session klíče, což vede k úplnému prolomení systému. Session ID by mělo být měněno, stejně jako sůl. Po formální stránce by bylo vhodné vyvarovat se gramatických chyb jak v českém tak anglickém abstraktu. S ohledem na uvedené skutečnosti navrhuji hodnocení 74b/C.

eVSKP id 21802