Ricerca in FOLBlog

[SdSM] Javascript deve Morire!

 Scritto da alle 00:15 del 28/03/2009  Aggiungi commenti
Mar 282009
 
closeQuesto articolo è stato pubblicato 8 anni 7 mesi 23 giorni giorni fa quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi. Questo sito non è responsabile per eventuali errori causati da questo problema.

image

Ho gia’ detto prima ed ancora prima delle mie operazioni di “hackeraggio” contro il sito web di $noiguardiamoivostriinteressi.

Dopo il secondo round, pensavo che il concetto fosse stato compreso: lasciare perdere Javascript, mettere i controlli sul server, non fidarsi MAI di quello che “l’utente” invia, filtrare con il principio della “whitelist” e non della “blacklist”.

Lunedi’ mi arriva l’ennesima mail con il solito messaggio “stavolta non ce la fai”. Io ri-guardo il sito e, indovina un po’, il foxxuto Javascript e’ ancora li’. Ok, allora non lo capisci. Va bene, fino ad ora gli unici strumenti che ho usato sono stati un browser, un editor ed il mio cervello, adesso ti presento i miei amici: Nessus, Nikto e Paros.

Dopo 3 ore mi sono scaricato di nuovo il codice sorgente del suo sito ed ho di nuovo cambiato la password di Admin del server.

A questo punto gli spedisco indietro come risposta alla mail un dump della directory C:/ del suo server e riporto a DaBoss perche’, sinceramente, mi sono un po’ stufato.

IO – …quindi se non vogliono i nostri suggerimenti si arrangino, ma continuare cosi’ e’ una perdita di tempo sia per noi che per loro. Se non vogliono rimuovere quel javascript e ridisegnare il sito si arrangino. Per me l’audit e’ concluso ed il risultato e’ “fallito”.
DB – Ok, ne parlero’ con SL. A proposito, domani ci sei alla colo-night vero?
IO – La cocosa?
DB – La colo-night, e’ una specie di festa che si tiene tutti gli anni alla co-lo, e’ una occasione per fare un po’ di conoscenza con i vari clienti.
IO – Ossignur…

Cosi’ il giorno dopo mi ritrovo impegolato in questa “colo-night”, e scopro che la co-lo ha anche una specie di bar-terrazza. Che non e’ neanche tanto male. Vabbe’, assisto alla “presentazione” del mio collega sulla nuova interfaccia del software di scanning, varie ca$$ate, poi mi dirigo al buffet prima che le cavallette qui’ spazzolino via tutto. Mentre mi cerco un angolino tranquillo e penso a quando riusciro’ a mimetizzarmi e sparire un tipo sconosciuto, accompagnato da una tipa (che posso solo descrivere come “degna di nota”) si appropinqua.

Lui – Ah, lei deve essere D di $networkgestapo.
IO – In effetti lo sono.
Lui – Io sono SL di $noiguardiamoivostriinteressi, e questa (indicando lei) e’ J. E’ lei che ha fatto il nostro sito che… hummm… non ha retto bene i suoi tentativi di hacking…
IO – Ah, quindi lei sarebbe l’affezionata del Javascript.
J – Io penso che il Javascript sia una parte importante del sito…
IO – Salvo il fatto che e’ fondamentalmente rotto e non dovrebbe mai essere usato come unico o principale sistema di controllo dei dati immessi dall’utente, farlo significa andarsi a cercare dei guai.
J – Ma se il controllo avviene sul client e’ molto piu’ rapido…
IO – E mi basta spegnere javascript per disattivarlo.

A questo punto SL ha deciso di battere in ritirata e noi ci siamo trasferiti sul terrazzo.

J – Ma perche’ ce l’hai tanto con il Javascript?
IO – Perche’ e’ fondamentalmente bacato. Tutto quello che fa affidamento sul client e’ un problema in attesa di verificarsi.
J – Penso che tu stia esagerando la situazione, voglio dire, ok che dobbiamo mettere dei documenti legali sul sito, ma non penso che qualcuno potrebbe veramente…
IO – Ti faccio notare che complessivamente per smontarti il sito ci ho messo qualche cosa come 3 ore e la maggioranza del tempo l’ho passata cercando di ricordarmi come si programma in ASP.
J – Ah programmi in ASP anche tu?
IO – Non piu’. Comunque il concetto e’ che indipendentemente da quello che voi tenete sul server, un sistema che e’ prono all’hacking e’ una richiesta per problemi.
J – Ma non penso che…
IO – Un sito di phishing puo’ tirare su un paio di milioni di euro in pochi giorni. D’altra parte un paio di dozzine di foto porno del tipo sbagliato possono farvi finire in galera molto rapidamente. Sopratutto se salta fuori che eravate stati avvisati che il sito non era sicuro.

Lei rosicchia un tramezzino con aria pensierosa.

J – Quindi cosa consigli?
IO – L’ho gia’ detto cosa consiglio. Per scritto. 3 volte. Javascript deve morire!

Davide

legenda personaggi

Technorati Tags: Storie dalla Sala Macchine,humor

Articoli simili:

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

 Lascia un commento

Puoi usare questi tag e attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(richiesto)

(richiesto)

Pinterest
EmailEmail
PrintPrint
%d blogger hanno fatto clic su Mi Piace per questo: