PI cura un bug di sicurezza

Lo ha segnalato alla redazione un giovane bug hunter e divulgatore informatico che ha scoperto una vulnerabilità CSS di rischio moderato

Roma - Punto Informatico è dovuto correre ai ripari nella giornata di ieri dopoché Salvatore Aranzulla, bug hunter 15enne e da tempo divulgatore informatico anche attraverso una propria newsletter sulla sicurezza, ha segnalato al quotidiano informatico la sussistenza di un bug nel codice del nuovo sito adottato da PI nei giorni scorsi.

Aranzulla, già scopritore di alcune falle in sistemi gestiti da Google e Yahoo!, ha spiegato che "nella vostra nuova versione di PI è presente un pericoloso bug XSS (o CSS), ovvero di inserimento codice HTML nelle vostre pagine, da parte di un attaccante esterno".

Come già accaduto in altri casi del tutto simili, il bug avrebbe consentito la falsificazione dei cookie e quindi delle credenziali di un utente registrato. Nel caso di Punto Informatico, tuttavia, sarebbe potuto accadere dell'altro: un cracker avrebbe potuto inserire uno script all'interno della URL con effetti potenzialmente dannosi per gli utenti.
"La risoluzione del problema è molto semplice - ha scritto Aranzulla - basta filtrare la variabile "r", con la quale si identifica quale sezione del sito si sta visitando, in questo modo: r = Server.HtmlEncode(Request("r"))". E, in effetti, bastava questo.
TAG: sicurezza
134 Commenti alla Notizia PI cura un bug di sicurezza
Ordina

  • - Scritto da: Anonimo
    > di Aranzulla numero 6 e numero 10
    >
    > http://www.salvatore-aranzulla.com/test_browser.ph
    >
    >
    > succede anche a voi ????????????????
    >

    no.
    Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.8) Gecko/20050509 Firefox/1.0.4

    nessun problema
    non+autenticato
  • Mah, io ho notato che e` "vulnerabile" a quelli che mascherano l'indirizzo indicato nella barra di stato, come il numero 3.

    (probabilmente fa onmouseover=window.status,
    e non me ne potrebbe fregare di meno...)
    non+autenticato
  • sì ma quando clicchi va sul sito "buono", non su quello ove il "malintenzionato" vorrebbe portartiSorride

    A me la 1.04 ha passato tutti i test senza problemi. A dire il vero anche Explorer NON è più vulnerabile alla maggior parte di quei problemi di sicurezza. Sarò io che tengo il PC sempre aggiornato o è solo fortuna ? boh ^_^

    Comunque FireFox è sempre il migliore ^_^

    non+autenticato
  • - Scritto da: Anonimo
    > sì ma quando clicchi va sul sito "buono", non su
    > quello ove il "malintenzionato" vorrebbe portarti
    >Sorride

    Ah, sissi`.

    > A me la 1.04 ha passato tutti i test senza
    > problemi. A dire il vero anche Explorer NON è più
    > vulnerabile alla maggior parte di quei problemi
    > di sicurezza. Sarò io che tengo il PC sempre
    > aggiornato o è solo fortuna ? boh ^_^

    Mah, la fortuna con un computer non dovrebbe averci a che fare.
    Due minuti fa ho risposto a un post nel forum informatico dove si consideravano "piccoli problemi ma noiosi", in cui dicevo appunto questo.
    Il fatto che gli elefanteschi sistemi che girano da 9 anni a questa parte, che sembrano vivere di vita propria, abbiano reso il tutto piu` sfumato e abituato l'utenza a un certo livello di "tolleranza" nei confronti delle stravaganze del sistema, non mi ha ancora personalmente convinto che 2+2 non faccia quattro anche per il processore.
    Infatti continuo a sperare in un futuro un po' meglio del presente, quando forse i system designers rinsaviranno (o l'attuale generazione si suicidera` dopo aver realizzato quante bischerate hanno fatto)...
    non+autenticato
  • il ragazzino se la cava anche col sito, ha anche forma, non solo contenuti, in pratica vi si mette in tasca cari quarantenni, non è il solito azzeccato.

    complimenti totò

    MaX
    non+autenticato
  • Potreste diventare amministratore di una community in un server irc.
    Oppure avviare e mantenere un server irc.

    Quante soddisfazioniA bocca aperta
    non+autenticato
  • Internet Abduction :/

    http://www.salvatore-aranzulla.com/

    beh questo ragazzino di solo 15 anni fà impressione per le capacità informatiche che possiede (dedotto visitando il suo sito, esemi ecc...)
    soprattutto per uno come mè che anche se grande appassionato,
    non arriva ad un quarto dellè capacità di questa persona.
    Quindi non ne posso che dedurre che se uno a 15 anni è già così
    è solo questione di patrimonio genetico o dono di natura che si vogliaSorride .

    Però io ho 40 anni e passo diverse ore davanti al pc, navigando eccetera... e obbiettivamente mi rendo conto dei danni che può
    causare anche in una persona "adulta" nella vita di relazione con gli altri; figuriamoci in un ragazzino di questa età.

    Potrà dire quando avrà la mia età ( magari seduto dietro il tavolo di qualche importantissima azienda informatica) che ha passato i migliori anni della sua giovinezza "attaccato ad un computer" piuttosto che a divertirsi e a godersi l'adolescenza... e penso che allora del rammarico per il tempo bruciato in parte ne avrà.

    Resta una mia opinione condivisibile o meno, ma daltronde lui stesso dice:

    "Non pratica sport, ma una vita sedentarisssssima (qualche volta non potrà più alzarsi dalla sedia Sorride )"

    e quindi se ne rende anche conto in parte... Ciao
    non+autenticato
  • - Scritto da: Anonimo
    > Potrà dire quando avrà la mia età ( magari seduto
    > dietro il tavolo di qualche importantissima
    > azienda informatica) che ha passato i migliori
    > anni della sua giovinezza "attaccato ad un
    > computer" piuttosto che a divertirsi e a godersi
    > l'adolescenza... e penso che allora del rammarico
    > per il tempo bruciato in parte ne avrà.
    >
    > Resta una mia opinione condivisibile o meno, ma
    > daltronde lui stesso dice:
    >
    > "Non pratica sport, ma una vita sedentarisssssima
    > (qualche volta non potrà più alzarsi dalla sedia
    > Sorride )"
    >
    > e quindi se ne rende anche conto in parte... Ciao

    Io ho speso gran parte della mia vita "attaccato al PC", come Salvatore anche io ho una vita "sedentarissssssima", ma non me ne pento. Non me ne pentivo allora e non me ne pento ora.
    Ho fatto delle scelte, la passione per imparare, per i computer, ecc. era di gran lunga più forte che andare a cazzeggiare in giro in bici (nonostante facessi anche questo di tanto in tanto) o "andarmi a drogare con gli amichetti".
    Alla sua età anche io ero piuttosto bravino (certo, all'epoca Internet non c'era e potevo studiare solo su quei quattro o cinque libri che avevo), se Internet fosse esistito all'epoca (o meglio, sicuramente esisteva ma non avevo certo i mezzi per permettermelo) probabilmente non sarei stato diverso da Salvatore.

    Anche io per Salvatore ho qualche consiglio: attento a quello che fai Salvatore, nonostante ci siano diverse persone ragionevoli in giro per il mondo che sanno apprezzare i suggerimenti e persino ti ringraziano pubblicamente (come ha giustamente fatto PI), ce ne sono molte altre che non aprrezzano affatto che si vada a "ficcare il naso" nei loro "segreti". Tali persone sono solitamente imbecilli affamati di soldi che hanno passato la loro vita a cazzeggiare e sono dove sono solo perché tale lavoro gli permette di avere un buon stipendio con, relativamente, poco sforzo. Ecco dunque che quando tu segnali loro un bug essi si incazzano, gli stai dando del lavoro che non volevano e che non apprezzano, non sarebbe il primo caso in cui un bug-hunter finisce nei casini nonostante non abbia fatto danno alcuno. Se vuoi continuare segnala SEMPRE i bug che trovi al proprietario del sito, e non pubblicarli MAI prima che essi siano risolti (anzi, chiedi il permesso al proprietario del sito prima di farlo in ogni caso). Fin troppe volte mi è capitato di leggere su queste stesse pagine di ragazzini della tua età finiti nei problemi più neri per colpa di questi viscidi ed inutili esseri, zecche della società il cui unico scopo è quello di assorbire il sangue degli altri senza mai fare nulla in cambio. Stai inoltre attento a non farti tentare troppo dalle tue conoscenze, è molto facile, da Hacker, diventare Cracker... e il passo da lì alla galera è brevissimo. Usa la tua conoscenza in modo responsabile, fissa sempre bene una linea di demarcazione e controlla sempre di non passarla. Non limitarti a studiare un determinato linguaggio o SO, studia anche la _filosofia_ che ci sta dietro, è importante nella vita essere istruiti in molti campi, avere dei principi e saperli mettere in pratica. Sei sulla buona strada, lo vedo da molti segnali, tuttavia non fermarti qui e non pensare di "essere arrivato". Non so a che punto sei con l'inglese, tuttavia studiatelo bene, avrai accesso ad un'immensa quantità di materiale online, non avere paura a confrontarti con persone dalle idee e nazionalità diverse, fatti amici in giro per il mondo, impara da loro ed insegna loro ciò che vogliono sapere. Ricorda sempre che la condivisione della conoscenza è l'invenzione più importante dell'uomo, se togli quella tutto il castello di carte cade miseramente su sé stesso, e proprio la condivisione della conoscenza è alla base della cultura Hacker, cultura che nasce decine di anni fa sui Mainframe con Unix e compagnia bella e che oggi si fonde e si diffonde sugli invisibili canali di comunicazione di Internet. Ricorda inoltre che la vita è una, fai esperienza anche in campi non informatici (avrai altri hobby suppongo), ma spendila sempre come meglio credi essa vada spesa e non lasciarti dire dagli altri come tu dovresti impiegare il tuo tempo perché se permetti questo, avrai molto da rimpiangere nel tuo futuro, la vita è una, ma è anche tua e tuo è il compito di stabilire come spenderla.
    non+autenticato

  • - Scritto da: Anonimo
    > Internet Abduction :/
    >
    > http://www.salvatore-aranzulla.com/
    >
    > beh questo ragazzino di solo 15 anni fà
    > impressione per le capacità informatiche che
    > possiede (dedotto visitando il suo sito, esemi
    > ecc...)
    > soprattutto per uno come mè che anche se grande
    > appassionato,
    > non arriva ad un quarto dellè capacità di questa
    > persona.
    > Quindi non ne posso che dedurre che se uno a 15
    > anni è già così
    > è solo questione di patrimonio genetico o dono di
    > natura che si vogliaSorride .
    >
    > Però io ho 40 anni e passo diverse ore davanti al
    > pc, navigando eccetera... e obbiettivamente mi
    > rendo conto dei danni che può
    > causare anche in una persona "adulta" nella vita
    > di relazione con gli altri; figuriamoci in un
    > ragazzino di questa età.
    >
    > Potrà dire quando avrà la mia età ( magari seduto
    > dietro il tavolo di qualche importantissima
    > azienda informatica) che ha passato i migliori
    > anni della sua giovinezza "attaccato ad un
    > computer" piuttosto che a divertirsi e a godersi
    > l'adolescenza... e penso che allora del rammarico
    > per il tempo bruciato in parte ne avrà.
    >
    > Resta una mia opinione condivisibile o meno, ma
    > daltronde lui stesso dice:
    >
    > "Non pratica sport, ma una vita sedentarisssssima
    > (qualche volta non potrà più alzarsi dalla sedia
    > Sorride )"
    >
    > e quindi se ne rende anche conto in parte... Ciao

    è il classico ragazzino abbagliato dalla barba di stallman
    figurati che ha scritto un "libro pdf" su asp per principianti e lo regala alle case editrici che lo allegano alle riviste che la gente compra con i soldi

    la fama è una bella cosa, ma ho già visto troppa gente come te passare nell'oblio prematuramente

    poveri ingenui e sfruttati adolescenti...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 14 discussioni)