Príklad
Pracuješ na redakčnom systéme, kde sú minimálne tri roly: autor (redaktor), editor a admin.
Autor môže vytvoriť článok a uložiť ho ako draft. Editor ho môže upraviť a schváliť na publikovanie.
Problém nastane v praxi:
Zrazu nejde len o UI, ale o reálne porušenie procesu a bezpečnosti.…
Séria: Ako písať dokumentáciu a manuály v IT projekte
Tester hlási:
„Používateľ vidí dáta, ktoré by nemal.“
Vývojár odpovie:
„Ale je prihlásený.“
Používateľ je prihlásený.
Ale nemá mať prístup k týmto dátam.
Nakoniec sa zistí:
Používateľ prešiel autentifikáciou.…
Séria: Ako písať dokumentáciu a manuály v IT projekte
Používateľ videl dáta, ktoré nemal vidieť.
Support to označil ako bug.
Vývoj odpovedal:
„To nie je bug, to je zlé nastavenie práv.“
Otvorili sme admin manuál.
Bola tam kapitola „Používatelia a roly“.
Popisovala, že existuje admin, manažér a používateľ.…
Príklad
Používateľ si kúpi prístup k filmu na 48 hodín. Film si večer pozrie na mobile, ráno chce pokračovať na notebooku – ale systém mu zobrazí hlášku „prístup vypršal“, aj keď ešte nemal.
Naopak, iný používateľ má obsah dostupný aj po 3 dňoch, pretože expirácia sa nesprávne počítala podľa lokálneho času zariadenia.…
Príklad
Predstav si vodiča nákladného auta, ktorý používa elektronické mýto.
Systém eviduje ŠPZ vozidla, prejazdy cez mýtne brány, čas prejazdu a účet dopravcu.
Jedného dňa zákazník požiada o výpis údajov o svojich prejazdoch. Operátor mu však omylom zobrazí aj údaje o inom vozidle, ktoré patrí inej firme.…
Správne nastavené roly a prístupové práva sú základom bezpečnosti a funkčnosti každého systému. Rozhodujú o tom, kto čo môže vidieť, upravovať alebo spúšťať. Nižšie je prehľad najčastejších typov rolí, práv a ich rozdielov.
Príklad
Predstav si klienta, ktorý po rokoch využívania bankovej aplikácie požiada o zrušenie účtu a vymazanie všetkých svojich osobných údajov. Ak systém údaje nesprávne ponechá (napr. e-mail v marketingovej databáze alebo históriu prihlásení v logoch), vzniká riziko porušenia GDPR a vysokých pokút. Tester má preto overiť, že proces výmazu je konzistentný, auditovateľný a nezanecháva citlivé zvyšky.…
Príklad
Klient nahlásil, že zamestnanec pobočky upravil kontaktné údaje na účte bez súhlasu. Prišiel s tým, že operácia prebehla rýchlo, bez viditeľného auditu. Po preštudovaní záznamov sa zistilo, že pracovník mal nadlimitované práva (možnosť upravovať údaje) a systém nezaznamenal detailné kroky (kto, kedy, aké polia), čo skomplikovalo vyšetrenie a spätnú opravu.…
Príklad
Klient si chce otvoriť účet cez mobilnú aplikáciu. Aplikácia požiada o nahratie fotografie dokladu (občiansky preukaz/pas) a selfie na overenie zhody tváre. Po úspešnom overení systém aktivuje účet; pri chybe sa žiadosť zamietne a používateľ dostane vysvetľujúcu správu. Cieľ testovania: overiť, že proces je spoľahlivý, bezpečný, používateľsky zrozumiteľný a súladný s právnymi a ochrannými požiadavkami (GDPR/KYC).…
Príklad:
Predstav si, že si tester v banke a máš za úlohu overiť, že bežný zákazník nemá prístup k údajom iného klienta. V praxi to znamená, že ak sa prihlásim ako používateľ A, nesmiem vidieť zostatky, IBANy ani výpisy používateľa B – a naopak.
V jednej firme, kde som testovala, sa stalo, že backend posielal viac údajov, než bolo potrebné.…
Príklad:
Predstavte si mobilnú bankovú aplikáciu, kde sa zákazník neprihlasuje heslom, ale potvrdí vstup buď odtlačkom prsta, rozpoznaním tváre, alebo jednorazovým kódom cez mobilný token. Tento spôsob je dnes bežný v bankovníctve – heslo je slabé miesto, biometria či token výrazne zvyšujú bezpečnosť.
Ako to otestovať?…
1. Overenie toku autentifikácie:
2. Správnosť a jedinečnosť kódu:
Príklad:
Predstavte si interný systém na správu podujatí – organizátori môžu pridávať eventy, upravovať detaily alebo pozývať účastníkov. Dobrovoľníci majú prístup len na čítanie. A bežní používatelia môžu vidieť len verejné podujatia. Všetko beží cez REST API.
Čo všetko treba otestovať:
Zmeny roly môžu výrazne ovplyvniť, čo používateľ vidí, čo môže robiť a čo má zakázané. A práve to je výzva pre testerov.
Príklad:
Máme interný systém, kde môže byť používateľ zamestnancom, manažérom alebo adminom. Každá rola má iné oprávnenia – napríklad zamestnanec môže vidieť len svoje dáta, manažér údaje svojho tímu a admin všetko vrátane nastavení systému.…
