Siamo in mani sicure?

23 luglio 2007 § Lascia un commento

Prendo spunto da un commento ad un recente post di Edit, Quando la sicurezza è un optional, per segnalare un curioso e preoccupante link ad una pagina della Marina militare italiana, quella ai bandi di gara.

Chi ha qualche dimestichezza con la programmazione Web avrà già notato la parte preoccupante del link (strsql=select+%2A+from+bandigara++order+by+data%5Fgara+DESC%2C+id+%3B).
Per chi non si occupa di programmazione, basta sapere che nel link vengono rese note informazioni interne del database del sistema, nello specifico il nome della tabella che contiene i bandi pubblicati e i nomi di due campi della suddetta tabella.

Di per sè potrebbe sembrare un’informazione di poco conto, ma andrebbe in realtà presa in seria considerazione per almeno un paio di motivi:

  1. Non è necessaria una grande competenza per fare dei potenziali danni al database del sistema. Immaginate se qualche birbantello inserisce un delete al posto del select
  2. Chi ha avuto la brillante idea di inserire il codice SQL nel link non può vantarsi di essere un buon programmatore e questo preoccupa per la leggerezza con la quale vengono affidati certi incarichi da parte di un organismo preposto alla nostra sicurezza

Purtroppo il caso della Marina militare italiana non è isolato.
Se provate a fare una ricerca su Google vedrete che ci sono in giro diversi siti che utilizzano questa tecnica suicida per pubblicare dati prelevati da un database.
Ma mentre per un sito amatoriale la cosa è (parzialmente) perdonabile, per un sito istituzionale come quello della Difesa reputo la cosa molto grave!

Tag:, , ,

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Che cos'è?

Stai leggendo Siamo in mani sicure? su Andrea Chiarelli.

Meta

%d blogger cliccano Mi Piace per questo: