• Post Recenti

  • Php-stat e tempi di permanenza sballati
  • Quando le università si girano dall’altra parte
  • Ajax: Sviluppare applicazioni Web 2.0
  • Corso per amministratore di sistema in ambiente open source
  • RAD per wxPython
  • Html.it e “il virus perfetto”
  • Precariato e sviluppo in Italia
  • Come imparare a lavorare sul web
  • Aree riservate e login: OpenID
  • Pile e parser RPN in Python

• Categorie

  • (in)Security
  • @Work
  • Libri
  • Programmazione
    • Ajax
    • PHP
    • Python
  • Websurf

• Archivio

  • Marzo 2008
  • Febbraio 2008
  • Dicembre 2007
  • Novembre 2007
  • Ottobre 2007
  • Luglio 2007

• Admin

  • Registrati
  • Login
  • Wordpress
  • XHTML

• Ricerca

Pochi giorni fa è comparso sulla famosa lista di sikurezza.org un messaggio che segnalava un problema di sicurezza sul sito dell’università in questione.

Subito qualcuno fa notare all’autore del messaggio che, prima di rendere nota a vulnerabilità, avrebbe dovuto aspettare che l’università tappasse la falla.

Forse come quando io, quasi quattro anni fa, segnalai un problema di SQL injection nel sistema di gestione delle prenotazioni agli esami di una delle facoltà dell’università di Cagliari. La risposta fu rapida:
Univ: - È una cosa grave?
Io: - Vedete voi: chiunque può registrare un qualsiasi studente ad un esame giusto per gioco oppure, peggio ancora, rasarvi a zero il Db in piena sessione di esami e lasciarvi con un bel problema da risolvere, visto che i vostri docenti non hanno idea di cosa sia un foglio di prenotazione.

Quattro anni dopo, la situazione non è cambiata.

E poi, ogni tanto, qualcuno ha ancora il coraggio di chiedermi come mai non reputo Html.it un sito “serio”.

Come si fa a pubblicare articoli come questo?
Più che un articolo che tratta di sicurezza informatica sembra un estratto a metà fra Voyager e quel nuovo programma trasmesso da Italia1 sulle leggende metropolitane.

Inizio settimana decisamente poco felice per Mozilla, che dopo aver per prima puntato il dito contro Microsoft per una vulnerabilità di IE, scopre che il suo più celebre browser soffre dello stesso problema.

Come se non bastasse, ecco un’altro problema - stavolta nella gestione automatica delle password - sempre in casa Mozilla: tramite un banalissimo codice JS, è possibile recuperare le password salvate tramite il gestore integrato del browser.
La prova di quanto sostenuto non tarda ad arrivare: ecco pronto l’exploit che sfrutta il problema di sicurezza, con un banale

1

document.form.field.value;

• Chi sono

  • Il mio curriculum vitae
  • Il mio portfolio

• Contatti

  • e-mail: corrado.napoli_AT_gmail.com
  • PGP public key: download

• Links

  • Likemind - Iniziativa simpatica, nata negli Stati Uniti e che ora sta prendendo piede anche in Italia
  • Punto informatico - Quotidiano sulle nuove tecnologie

• Licenza

  
  
  
  Il contenuto di questo blog e di tutto il sito è pubblicato sotto licenza Creative Commons 2.5.