Lokakuun lopussa julkaistu Abitti-versio korjasi vakavia tietoturva-aukkoja. Vakavin tietoturva-aukoista oli koetilan palvelimella. Haavoittuvuus mahdollisti koetilan palvelimella olevien tietojen (esim. kokelaan henkilötiedot, koesuoritukset ja kokelaiden tallentamien tiedostojen varmuuskopiot) muokkaamisen ja lataamisen. Toinen korjattu haavoittuvuus oli nippu keskenään samankaltaisia tapoja, jotka mahdollistivat pääkäyttäjän oikeuksien saamisen kokelaan omaan tietokoneeseen. Lisäksi kokelaan koneen käyttöoikeussopimuksen versionumero oli virheellinen. Tietoturva-aukot ovat …
Lue lisää…

Vanhalla koe-editorilla laadittujen MEB-kokeiden latausmahdollisuus päättyy tänään 10.10.2022. Vanha koeformaatti on ollut käytössä vuodesta 2015, mutta viimeiset ylioppilaskokeet sillä tehtiin syksyllä 2019. Uuden MEX-koeformaatin editori Bertta on ollut käytössä Abitissa alkuvuodesta 2022 alkaen. Syyslukukaudella valtaosa Abitti-kokeista on tehty MEX-formaatilla. Abitti-kokeissa käytetyt koeformaatit vuonna 2022. Keltainen = MEB-formaatin kokeita, sininen = automaattisesti MEB-formaatista MEX-formaatiksi muunnettuja kokeita, …
Lue lisää…

Tänä syksynä Abittiin tehdään sen tähänastisen historian suurin muutos. Vuonna 2015 julkaistussa Abitissa lanseerattu MEB-koeformaatti, toiselta nimeltään JSON-formaatti, poistetaan palvelintikuilta. Tämän seurauksena vanhalla MEB-formaatilla tehtyjä kokeita ei voi enää järjestää. YTL poistaa MEB-formaatin tuen Abitista, koska sitä ei ole enää vuosiin käytetty ylioppilaskokeissa. Bertta-editorin valmistumisen jälkeen uuden formaatin MEX-kokeita voi laatia helposti Abitissa. MEB-formaatti poistuu …
Lue lisää…

Lopetimme Abitissa käytettävien USB-muistitikkujen kirjoittamiseen käytetyn AbittiUSB-ohjelman jakelun vuosi sitten. Tätä ennen olimme jo vuosien ajan suositelleet muistitikkujen kirjoittamiseen balenaEtcher-ohjelmaa. Se on helppokäyttöinen, avointa lähdekoodia ja saatavilla useille eri käyttöjärjestelmille – kaiken kaikkiaan niin hyvä, että YTL:n oman AbittiUSB:n ylläpito tuntui verorahojen haaskaamiselta.  AbittiUSB:n käyttö päättyi lopullisesti 20.6.2022. Ohjelma ei enää saa YTL:n palvelimelta tietoa …
Lue lisää…

Abitin verkkopalvelussa oma.abitti.fi:ssä on hitautta. Asiaa selvitellään parhaillaan ja väliaikatietoja päivitetään tälle sivulle. Maanantai 30.5. klo 11.10 Abitin verkkopalvelun taustalla oleva tietokanta on hidas. Selvitellään mistä kutsuista tulee kuormaa kannalle. klo 11.45 Tietokannalle ajetaan huoltotoimenpide, jolla yritetään korjata kannan suorituskykyä. klo 13.30 Huoltotoimenpide jatkuu edelleen. klo 14.28 Huoltotoimenpide on valmis, mutta palvelussa on edelleen hitautta. …
Lue lisää…

Abitista on korjattu kolme tietoturva-aukkoa. Kriittisin haavoittuvuuksista on mahdollistanut hyökkäyksen oma.abitti -verkkopalvelun käyttäjää (esim. opettajaa) vastaan. Kaksi muuta haavoittuvuutta liittyivät koetilanteeseen. Kaikki ilmoitukset perustuvat Ylioppilastutkintolautakunnan ulkopuoliselta henkilöltä saatuun ilmoitukseen. Kokeen liitetiedostot oma.abitti.fi-verkkopalvelussa Oma.abitissa kokeen arvostelija voi palauttaa arvioidut ja arvostellut koetehtävät kokeen suorittajille. Palautus tapahtuu siten, että kokeen suorituksen yhteydessä suorittajalle lähetetään sähköpostilinkki, jota klikkaamalla …
Lue lisää…

Olemme arvioineet Ylioppilastutkintolautakunnan pyynnöstä YTL:lle toimitettujen haavoittuvuuskuvausten havaintojen vaikuttavuutta sekä suositelleet korjausehdotuksia haavoittuvuuksien paikkaamiseen Toimeksiannon aloituspalaverissa meille toimitettiin YTL:än saamat kuvaukset haavoittuvuuksista sekä haavoittuvuuksiin liittyvistä hyväksikäyttömenetelmistä. Haavoittuvuuskuvauksia hyödynnettiin arviointia tehdessä, mutta arvioinnin yhteydessä havaittiin myös laajempia haavoittuvuuksien hyväksikäyttömahdollisuuksia. Havaittuja hyväksikäyttömenetelmiä ovat esimerkiksi liitetiedostojen hyödyntäminen tietojen kalasteluun, jossa käytetään hyväksi oma.abitti.fi -domainin luotettavaa asemaa. Haavoittuvuusanalyysia suoritettaessa …
Lue lisää…