Det er positivt at det er fleksibilitet i systemet. Problemet her er ikke fleksibiliteten, men sikkerhetsløsningen som Visma har valgt å bruke. Visma krever at en må bruke en database admin bruker når en installere systemet for at systemet skal kunne opprette databasene. Det som jeg syns er spesielt er at systemet bruker denne brukeren til all framtidig kommunikasjon med databasen. Systemet burde opprettet en bruker som den brukte mot egne databaser og glemt database admin brukeren som blir brukt under installasjon. Det som gjør det ekstra kritisk er jo at systemet lagrer dette i klartekst slik at en bruker med litt IT kunnskaper kan finne passordet og få full tilgang til alle databasene på den database instansen. Vi har hatt 3 Visma forhandlere de siste 15 årene og ingen av disse har informert meg om disse svakhetene. Dette er noe jeg selv har oppdaget. Dette problemet har jeg tatt opp med to ulike Visma forhandlere og har fått informasjon om at slik er systemet og at dette har vært en kjent svakhet for Visma i mange år. Ingen av disse forhandlerne jeg har snakket med har kommet med forslag til en løsning på denne utfordringen. Grunnen til at brukerne må ha tilgang til Visma mappen er jo at programmet krever tilgang til denne mappa. Det vil jo ikke være mulig for brukerne å installere Visma uten å ha tilgang til konfig filen. Jeg har opprettet en sak på forumet her for å få fokus på problemet, samt tipse andre Visma brukere om hvordan de bør sikre seg. Jeg tror ikke folk er klar over hvor kritisk denne sårbarheten er. Med litt dårlig sikring av konfig filen, samt at firmaet i tillegg har Autopay fra Visma uten noe godkjennelse i banken så har de jo åpnet opp for at hvem som helst i firma kan overføre penger på vegne av hvilken som helst Visma bruker. Dette er jo også en svakhet som kan utnyttes med et virus.
... Vis flere