Subito qualcuno fa notare all’autore del messaggio che, prima di rendere nota a vulnerabilità, avrebbe dovuto aspettare che l’università tappasse la falla.

Forse come quando io, quasi quattro anni fa, segnalai un problema di SQL injection nel sistema di gestione delle prenotazioni agli esami di una delle facoltà dell’università di Cagliari. La risposta fu rapida:
Univ: – È una cosa grave?
Io: – Vedete voi: chiunque può registrare un qualsiasi studente ad un esame giusto per gioco oppure, peggio ancora, rasarvi a zero il Db in piena sessione di esami e lasciarvi con un bel problema da risolvere, visto che i vostri docenti non hanno idea di cosa sia un foglio di prenotazione.

Quattro anni dopo, la situazione non è cambiata.

Come si fa a pubblicare articoli come questo?
Più che un articolo che tratta di sicurezza informatica sembra un estratto a metà fra Voyager e quel nuovo programma trasmesso da Italia1 sulle leggende metropolitane.

Come se non bastasse, ecco un’altro problema – stavolta nella gestione automatica delle password – sempre in casa Mozilla: tramite un banalissimo codice JS, è possibile recuperare le password salvate tramite il gestore integrato del browser.
La prova di quanto sostenuto non tarda ad arrivare: ecco pronto l’exploit che sfrutta il problema di sicurezza, con un banale

1

document.form.field.value;