Blog

En uppdatering för med sig två nya egenskaper i provvyn. De nya egenskaperna underlättar avläggandet av proven:

• Till vänster om provuppgifterna på uppgiftsfliken visas en innehållsförteckning för provet. Detta gör det lättare att röra sig i provet. I innehållsförteckningen visas också vilka uppgifter examinanden redan har besvarat och varnas ifall något av svaren överstiger den maximala längd som eventuellt angetts för uppgiften ifråga. Innehållsförteckningen anpassas till fönsterstorleken. Innehållsförteckningen visas inte i prov som avläggs med hjälpmedel för synskadade, eftersom dess funktion överlappar funktionerna i hjälpmedlen för synskadade.
  
  Bild: Skärmdump ur ett modellprov som visar innehållsförteckningen
• Examinanden kan nu om hen så önskar öppna svarsrutan i helskärmsläge genom att klicka på den ikon som finns i övre hörnet av svarsrutan. Alla de verktyg som finns i svarsrutan finns tillgängliga också i helskärmsläget. Svaret examinanden skriver sparas automatiskt på servern utan att examinanden själv måste komma ihåg att spara svaret. I helskärmsläget visas uppgiften ifråga. Helskärmsläget kan stängas genom att på nytt klicka på ikonen i det övre hörnet.
  
  Bild: Öppning av helskärmsläget
  
  Bild: Stängning av helskärmsläget

Egenskaperna tas i bruk i Abitti i de övningsprov som laddas ned från tjänsten efter att den nya versionen getts ut. De nya egenskaperna kommer också att finnas i höstens studentexamensprov. Själva avläggandet av proven ändrar inte, och proven kan fortfarande avläggas utan att man använder sig av de egenskaper som nu införs.

Den version av Abitti (ABITTI2332G och SERVER2332I) som idag ges ut motsvarar den version som används i höstens studentexamensprov. Ett nytt startalternativ (Nihonium) förbättrar stödet för trådlösa provnät på vissa datorer. Vissa andra tekniska förbättringar har också gjorts.

Den version som nu ges ut är kompatibel med de Abittiversioner som getts ut i oktober 2022 eller senare.

De nya Abittiversionerna som ges ut idag innehåller några små förbättringar. Otavas MAOL digitala tabeller har uppdaterats och anvisningarna för provmiljön är nu mer tillgängliga.

På tekniksidan har firmware-filerna för några apparater uppdaterats. Efter uppdateringarna fungerar vissa wifi- och ljudkretsar bättre än tidigare.

Dessutom har två datasäkerhetsuppdateringar gjorts på examinandpinnen.

• Det var tidigare möjligt att använda rättstavningskontroll på engelska i Libre Office. Detta har nu förhindrats. Tack till Santtu Savola som upptäckte denna egenskap.
• Det är möjligt att se namnen på de wifinät som datorn upptäcker. Det är möjligt att använda dessa namn för att förmedla information till examinanden. Möjligheterna att utnyttja denna attackmetod i studentexamensproven ökar hela tiden då gymnasierna övergår till att använda trådlösa examensnätverk. Den nya Abittiversionen döljer namnet på alla nät för användaren ifall de är längre än 20 tecken. I studentexamensproven kommer filtret att vara ännu striktare. Tack till Mika K som meddelade om denna möjlighet och beskrev flera sätt att utnyttja den.

Versionerna som nu ges ut kan användas tillsammans med de versioner som getts ut i oktober 2022 eller senare.

Abitti-versionerna som publicerats idag (ABITTI2307P och SERVER2307S) lämpar sig för att testa arrangemangen inför vårens studentexamen.

Följande fixar har gjorts i examinandens dator:

• 3D-visningen av GeoGebra 5 och MarvinSketchs MarvinSpace, som gör att strukturella modeller kan ses i tre dimensioner, har fixats i examinandens pinne.
• I version ABITTI2302L slutade ljudet i examinandens dator att fungera när användargränssnittets språket ändrades till svenska. Denna bugg har åtgärdats.
• I vissa övningsprov har ljudfiler påträffats, som har inkluderat videoinnehåll. Tidigare har sådana filer inte fungerat som inspelningar med begränsad lyssning. Nu spelas bara ljudet från inspelningarna och allt videoinnehåll ignoreras.

Loggdata som skickas från examinandens dator till provlokalens server är krypterad, vilket gör det svårt att avlyssna datatrafiken. Trots detta kommer versionerna som publiceras nu att fungera med Abitti-versionerna som publicerades i oktober 2022 och senare.

Läs mera:

• Förändringsloggen (på finska)

Abitti-versionen som publiceras idag är den sista som publiceras innan vårens studentexamen. Den innehåller endast en synlig ändring för examinander: när du öppnar en PDF-fil som är bilaga till prov, är det lätt att öppna bilagan med ett annat program än webbläsaren (t.ex. Okular).

Tre datasäkerhetssårbarheter har åtgärdats i den nu publicerade Abitti, varav den allvarligaste gjorde det möjligt att logga in på provet med fel personbeteckning.

Den nya versionen är kompatibel med Abitti-versionerna som publicerats efter vecka 43 år 2022:

• ABITTI 2243K, 2244B, 22451
• SERVER 22436, 2244T

Sårbarheterna hittades under ett evenemang för hackare

Säkerhetshålen hittades i HackDay-tävlingen som anordnades av LokalTapiola för så kallade white hat-hackare den 15.10.2022. Studentexamensnämnden har behandlat resultaten enligt sin normala politik så att de publiceras inom tre månader från kungörandet. På grund av hackerevenemangets konfidentiella karaktär känner Studentexamensnämnden inte till namnen på alla de team och teammedlemmar som hittade sårbarheterna.

Studentexamensnämnden tackar LokalTapiola och alla de som rapporterat sårbarheter.

Nedan följer kortfattade beskrivningar av de nu åtgärdade sårbarheterna.

1. Det var möjligt att logga in på provet med fel personbeteckning

Vid inloggning i Abitti används examinandens personbeteckning som övervakaren kontrollerar och ger examinanden en bekräftelsekod att ange i inloggningsvyn. Vid attacken loggar man in i provsystemet genom att maskinellt ange personbeteckningen och verifieringskoden tills rätt kombination hittas (brute force). På detta sätt kan man avlägga provet med falsk identitet.

Sårbarhetsklassificering: CVSS-poäng 8,3 (högt)

2. Sessionsidentifieraren mellan övervakarens dator och provlokalens server var hårdkodad

Provanordnaren kan starta datorer för övervakare i provnätverket, från vilka de kan övervaka den rådande situationen av provtillfället genom provsystemet. En hårdkodad sessionsidentifierare har använts i kommunikationen mellan övervakarens dator och provlokalens server. Som sådan öppnar den inte åtkomst till provlokalens server, eftersom övervakarnas datorer är auktoriserade med ett lösenord som lottas av servern.

Sårbarhetsklassificering: CVSS-poäng 5,0 (medium)

3. Examinander kunde spara inspelningar med begränsade lyssningsgånger

I sårbarheten använder den fuskande examinanden monitorljudutgången från PulseAudio-ljudmjukvaran som används i Abitti. Med hjälp av programvara i Abitti sparas signalen som kommer från monitorutgången till en fil. Efter detta kan inspelningen fritt lyssnas på av examinanden.

Sårbarhetsklassificering: CVSS-poäng 3,3 (lågt)

Vi tackar teamet Testausserveri: Ruben Mkrtumyan, Mikael Hannolainen, Santtu Sievänen, Veeti Ojanperä och Taavi Väänänen.