| Autore |
 Discussione  |
|
|
freesdraaa
New Member
Città: roma
42 Messaggi |
 Inserito il - 29/12/2006 : 19:50:10
|
ciao, se trovo delle vulnerabilità in un sito, cosa devo fare secondo
voi? io ho avvertito i webmaster ma non mi stanno dando attenzione.
le vulnerabilità mi hanno permesso di accedere alla mia interfaccia di
amministrazione senza passare per il login; calcolando che loro
asseriscono di avere più di 350 mila iscritti con email numeri di
telefono password e nominativi(fra cui i miei!!!!) hanno il dovere di
darmi attenzione? dovrei forse rivolgermi a qualche associazione di
consumatori?
dal mio punto di vista è come se io avessi comprato un elettrodomestico
ed avessi scoperto che l'aggeggio acquistato mi apre la porta di casa
quando io dormo... e la ditta che l'ha prodotto non vuole fare nulla
per risolvere il problema.
Il punto è: stanno commettendo un illecito non dando la giusta
attenzione a questo problema?
voi che ne pensate?
grazie
ciao
P.S. dato che ho rivolto questa domanda ad altra gente, forum, ML, e che qualcuno ha detto "attento che ti arrestano" vorrei soltanto specificare meglio che io sono entrato soltanto dentro la MIA interfaccia di amministrazione e ho visualizzato solo i MIEI dati personali, ma l'ho fatto senza passare per il login e i loro log lo testimoniano; inoltre non ho alcuna intenzione di dire a nessuno nè il sito nè la vulnerabiltà, sarei idiota a farlo dato che ho scritto ai webmaster firmando con nome e cognome!!
|
Modificato da - freesdraaa in Data 29/12/2006 20:04:51
|
|
|
Cartesio
Advanced Member
Città: Alcatraz
Nota:
252 Messaggi |
Inserito il - 30/12/2006 : 18:58:32
|
| L'Admin di questo sito deve essere poco serio. La prima cosa che deve controllare un webmaster sul propio sito è la sicurezza dei propi utenti. |
 |
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 30/12/2006 : 20:00:30
|
Quoto Cartesio...
Bombarda l'admin di messaggi e e-mail. Perlomeno può risponderti, mica deve risolvere tutto dall'oggi al domani, ma almeno prendere in considerazione il problema... |
|
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 31/12/2006 : 00:50:55
|
Premetto che non è la mia materia (sono più ferrato in altre branche del diritto), però dico il mio punto di vista. Accettiamo che la vulnerabilità sia reale, realmente verificata, bisogna fare alcune considerazioni. Al momento dell'iscrizione al sito (forum o qualunque altro servizio telematico) hai espressamente accettato la/le clausole riguardanti la privacy (la cui legge, in merito, fa distinzione precisa fra dati personali e dati sensibili). In quel frangente, chi gestisce il sito (forum o qualunque altro servizio, d'ora in poi parlerò genericamente di sito) si impegna a gestire i tuoi dati personali secondo certi criteri, e questi criteri sono stabiliti dalla legge, (quella che comunemente chiamiamo legge sulla privacy, e gli atti normativi da essa derivanti). Ovviamente l'impegno a gestire i dati in un certo modo è soggetto a dei limiti, dei limiti oggettivamente accettabili, limiti derivanti dal fatto che la sicurezza al 100 % non esiste, quindi, qualsiasi dato personale, per quanto messo in condizioni di sicurezza, in realtà, davvero sicuro non lo sarà mai. L'importante è che, chi è responsabile di questi dati (siano essi dati personali o dati sensibili) si sia adeguatamente attivato per fare quanto nelle sue possiblità per tutelarli. Nel caso specifico, quindi, bisogna capire se il responsabile abbia davvero fatto il possibile oppure no. Beh, a mio avviso non ha fatto il possibile, e non perchè la vulnerabilità sia banale o dovuta a incompetenza nella realizzazione del sito (lungi da me fare una critica di carattere tecnico su cose che non conosco e che, peraltro, sono al di fuori delle mie reali competenze), ma solo perchè, il responsabile è stato avvisato e non ha dato notizie di se (ovviamente in tempi ragionevoli), ovvero, come si suol dire, lasciare accadere qualcosa che si può impedire, equivale a commetterla. Di conseguenza, l'admin, o qualunque persona responsabile del trattamento di questi dati, venendo a conoscenza di questo problema, secondo buon senso ed educazione, avrebbe dovuto risponderti ringraziandoti per la segnalazione, ed eventualmente avrebbe potuto chiederti dei chiarimenti in merito al problema e, se questo non si riesce a risolvere rapidamente, avrebbe dovuto fare in modo da rendere il sito inaccessibile in attesa della risoluzione del problema, cosa che in realtà non mi pare sia accaduta.
Ciò che, ripeto, da ignorante in materia quale sono, posso consigliarti è, se proprio non riesci ad avere notizie dell'admin, del webmaster, di chiunque in pratica sia responsabile di questi dati, certamente puoi rivolgerti alle associazioni consumatori (che da quanto mi risulta sono particolarmente sensibili di fronte a problematiche che riguardano la privacy) ma puoi anche rivolgerti a un qualunque ufficio della Polizia Postale, specificando che ci sono in ballo dati personali di un bel po' di persone e che nessuno si è degnato di risponderti quando hai segnalato la cosa. Sempre ammettendo che la vulnerabilità sia reale, verificata, sia chiaro, non voglio mettere in dubbio ciò che dici, ma, in buona fede magari si è incappati in un qualcosa che può apparirti come irregolare e in realtà non lo è (ad esempio non hai fatto il login perché in realtà il login lo fai in automatico quando ti connetti al sito grazie alla presenza di cookies)
Citazione:
qualcuno ha detto "attento che ti arrestano"
La risposta appare molto superficiale, sinceramente se uno non sa o non vuole rispondere non trovo giusto perdere tempo in risposte senza capo ne coda. Da parte tua c'è, presumo, buona fede, poi, per quale motivo ti si deve arrestare? Oggigiorno farsi arrestare è diventato difficile.
Comunque, se ho notizie, se vengo a sapere qualcosa di più specifico, magari incappo in qualche caso simile già trattato dalla giurisprudenza, sarà mia cura farlo sapere in questa stessa discussione. |
|
|
|
freesdraaa
New Member
Città: roma
42 Messaggi |
Inserito il - 31/12/2006 : 01:24:55
|
ooohh... finalmente una risposta che è degna di essere chiamata tale! :-)
allora, ti rispondo subito confermando la veridicità e l'affidabilità della vulnerabilità; apprezzo e condivido la tua moderazione a definire "la vulnerabilità", ma l'ho provata da diversi pc, non è una questione di cookies ;-) è proprio fallato quel sistema, e la falla è strutturale, non di codice. Una falla di codice con un buon tool di code review si becca, ma una strutturale è più difficile da scovare/risolvere anche in fase di produzione.
io programmo da quando ho 10 anni, ma ho iniziato a livello professionale solo da un paio di anni e nell'ultimo anno ho incentrato i miei studi sulla sicurezza, credo sia un dovere di ogni programmatore sapere il possibile su questo tema, in modo da realizzare sw meno attaccabili possibile. Probabilmente la rilevazione di questa vulnerabilità è stato proprio grazie all'occhio clinico che sto coltivando.
mi sembra di capire quindi che a tuo giudizio l'inadempienza del webmaster (se di inadempienza si può parlare) non è tanto quella di aver fatto un sw fallato, quanto più quella di non rispondere adeguatamente alla mia segnalazione; ho già chiesto un consiglio all'associazione consumatori, credevo mi rispondessero fra 6 mesi e invece in poche ore mi hanno consigliato di fare una "messa in mora", cioè di sollecitare il webmaster ad intervenire, ma non ho intenzione di farlo perchè immagino che semplicemente la mia segnalazione è passata inosservata per motivi di organizzazione, magari ricevono un milione di mail al giorno e la mia è l'ultima della file... cmq, molto bene, grazie, invierò ancora una segnalazione via mail indicando i link di questa discussione e delle altre che ho aperto in questi giorni, sperando di fare più "presa" sul webmaster.
Effettivamente la risposta "attento che ti arrestano" è stata proprio infelice, soprattutto perchè è stata fatta da un forte esponente dell'opensource, una persona che ho sempre stimato per i suoi interventi e che mi ha davvero deluso, inoltre io ho avuto accesso solo ai miei dati quindi... bhoo, vabè. |
|
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 31/12/2006 : 01:57:56
|
Citazione:
ooohh... finalmente una risposta che è degna di essere chiamata tale! :-)
Ogni utente risponde come può, secondo le sue conoscenze ed esperienze, sono altrettanto rispettabili le risposte date dagli altri due amici che hanno risposto prima di me (Cartesio e Floatman)
Citazione:
allora, ti rispondo subito confermando la veridicità e l'affidabilità della vulnerabilità; apprezzo e condivido la tua moderazione a definire "la vulnerabilità", ma l'ho provata da diversi pc, non è una questione di cookies ;-) è proprio fallato quel sistema
Sia chiaro, non per essere ripetitivo, ma non intendevo assolutamente mettere in dubbio la tua buona fede o competenza ma, non conoscendoti, ovviamente, le devo pensare tutte. Tanti utenti, purtroppo, non avendo competenze specifiche incappano in errori banali, subdoli, non c'è da fargliene una colpa ma, ovviamente, non si possono addossare colpe ad altri relativi a problemi nella realtà inesistenti.
Citazione:
Una falla di codice con un buon tool di code review si becca, ma una strutturale è più difficile da scovare/risolvere anche in fase di produzione.
Andiamo sul tecnico, almeno per me. Comunque davvero complimenti per la tua preparazione.
Citazione:
mi sembra di capire quindi che a tuo giudizio l'inadempienza del webmaster (se di inadempienza si può parlare) non è tanto quella di aver fatto un sw fallato, quanto più quella di non rispondere adeguatamente alla mia segnalazione;
Esatto, e neanche per non averti rispoto (che, comunque, sarebbe stata buona educazione farlo) ma, più che altro, per non aver visto nessun provvedimento in merito. In fondo, un errore può capitare a tutti, a volte alcuni errori sono meno tollerabili di altri, ma, purtroppo capitano e, ovviamente, bisogna fare in modo di riparare. Apprezzo comunque il tuo modo di vedere le cose, secondo un punto di vista ampio e che contempli anche eventuali elementi di discolpa nei confronti dei responsabili (numerose mail ricevute, ecc.) ecco perché, nel mio post precedente ho usato i termini "tempi ragionevoli", chiaramente ognuno ha la sua definizione di tempo ragionevole. Ad ogni modo, l'associazione consumatori ti ha dato un consiglio in merito al quale non mi esprimo, ognuno fa il suo lavoro, loro fanno il loro, immaginavo comunque che ci mettessero poco a darti una risposta (la volontà non gli manca), tu ritieni di dover adottare una strategia differente, almeno per il momento, e che io personalmente condivido. Comunque in bocca al lupo. Facci sapere.
P.S. Grazie per gli apprezzamenti miei confronti ma, come detto, sono incompetente e la mia preparazione in questo campo è davvero limitata.
P.P.S. Se ti può interessare fai un giro sul newsgroup it.diritto.internet , è molto interessante e vasto, potresti magari postare una richiesta di chiarimenti anche li. |
Modificato da - pedrus in data 31/12/2006 01:59:19 |
|
|
|
freesdraaa
New Member
Città: roma
42 Messaggi |
Inserito il - 31/12/2006 : 02:16:31
|
ops... ho fatto una imperdonabile gaff! quando ho esclamato che questa era la prima risposta decente che mi arrivava, non mi riferivo assolutamente alle altre due di questo forum!! mi sono collegato da poco e ho letto i tre post tutti insieme, anzi, hanno ragione, il webmaster non è stato serio, soprattutto perchè hanno i dati di più di 350 mila utenti!
mi rendo conto che mi sono espresso male e me ne scuso con tutti, il fatto è ci sono rimasto male per quella risposta di cui ho parlato, quella persona che stimavo molto che mi ha detto di stare attento perchè mi arrestano... e poi altri forum, dove mi hanno detto "vai in un internet point e cancella tutto, che te frega?"; io non ci vedo nulla di tecnicamente interessante a "cancellare tutto" e quindi ho espresso la mia soddisfazione per una risposta seria, era solo per quello, è che ho letto i tre post insieme, in effetti però leggendo quello che ho scritto era facilmente interpretabile in modo sbagliato, scusate, ancora.
allora, intanto "crepi il lupo" e ribadisco che hai fatto bene a specificare che quella che ho trovato potrebbe non essere una vulnerabilità, sai quanti granchi prendo di solito prima di trovare una vulnerabilità vera! ;-)
Vi tengo aggiornati sugli sviluppi.
ciao |
|
|
| |
Discussione |
|
|
|
Vulnerabilità su sito 350 mila contatti a rischio
Forum Bloccato
