Edit

I siti del network HTML.it

• HTML.it
• oneOpenSource
• HTML/XHTML
• CSS
• JavaScript
• PHP
• Grafica
• Web Design
• Marketing e Motori
• Programmazione

Commenti

1

… chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza …

Purchè ci siano queste misure di sicurezza.
Se un sito o un’area admin è stato sviluppato da una persona poco competente in materia e con la prima SQL injection si riesce a “buttar giù” il database quel sito non è protetto da misure di sicurezza e la sql injection potrei averla scritta “per sbaglio” con un copia e incolla.

Questo per dire che se tento di entrare in un sito certificato come very sign o altro rischio la galera, se invece mi spulcio tutto un database perchè il sito “me lo permette” e nessuno mi dice che il sito adotta misure di sicurezza (non ne è stata certificata l’affidabilità) non credo si possa parlare di illegalità … certo, se si fanno danni ok, ma se non se ne fanno qual’è il problema ?

Motivo in più per definire ruoli e competenze nel settore del web, troppo spesso ci si ritrova in aree admin, anche di interi portali, senza alcuno sforzo.

(mi è capitato anche di segnalare in pvt problemi di questo tipo, senza mai approfittarmene, ed alla domanda “cosa sono le sql injections ?” avrei voluto rispondere “come puoi pretendere di fare questo lavoro ed usare un database senza saperlo ?” … invece mi sono sempre trattenuto ed ho sempre consigliato almeno uno degli articolio a riguardo presente in questo portale :D)

Ritengo il progetto comunque interessante, soprattutto per il discorso “faccio tentativi con i siti certificati” … tipo la banca di cui sopra.

# - postato da andr3a - 07 Novembre 2006 - 10:24

2

caro andr3a tutto ciò mi ricorda una vecchissima discussione….

# - postato da Yan Raber - 07 Novembre 2006 - 23:15

3

@andr3a:
se per (sbaglio|leggerezza|stupidità|faciloneria)* lasci la porta di casa aperta (o meglio chiusa, ma non a chiave), chiunque ha diritto ad entrare?
E se qualcuno piglia l’intruso, costui non rischia nulla? ;)

# - postato da RimSa - 08 Novembre 2006 - 09:29

4

@andr3a:
non credo sia giusto quello che affermi. Entrare in un database senza alcuna autorizzazione è comunque un reato: tanto per citarne una, violi la legge sulla privacy. Il semplice fatto che nn sia protetto non autorizza nessuno a entrarci e guardare quello che c’è. Se i gestori del sito vorrebbero rendere pubblico un database lo farebbero pubblicandolo su una pagina specifica, no? Credo sia meglio rispettare gli altri anche quando è molto facile nn farlo!!!

# - postato da Alien - 08 Novembre 2006 - 10:50

5

Ma ragazzi stiamo scherzando ?

L’articolo parla esclusivamente di sistemi protetti.

Per avere un sistema protetto devo rivolgermi ad un esperto in sicurezza informatica, che sia Web, rete o altro.

La casa come esempio ? Perfetto !

Io voglio che la mia porta di casa sia blindata, chiamo la ditta specializzata per farmi montare una porta blindata.

Se tale ditta si presenta con una porta di carta velina trasparente con chi me la prendo ?

Con loro … e mi rivolgo ad un’altra ditta.

Io voglio un sistema sicuro ergo adotto le giuste misure di sicurezza.

L’azienda che si spaccia per specializzata deve essere in grado di garantirmi queste misure di sicurezza.

Poi se lascio tutte le finestre di casa aperte e mi ci ritrovo topi, gatti, o altro … prendo atto della mia stupidità ed adotto nuove misure di sicurezza.

Da come la mettete voi tutti i numerosi studi sulla sicurezza informatica non sono mai serviti a niente perchè nessuno deve entrare se c’è scritto log-in ???

Ma per favore, il web è pubblico … se io passo e trovo informazioni le leggo, se voi non volete mostrarle allora fate fare il lavoro a chi ha la giusta competenza per farlo.

Poi se entrano dal server ve la prendete con l’host … e se vi serve tanta sicurezza pagherete anche di configurazione host e manutenzione server.

A cosa servono le persone qualificate se chunque può fare una form ???

Per concludere:
la persona che non da esplicitamente il consenso ad entrare ma non adotta giuste misure di sicurezza non stà nemmeno comunicando esplicitamente che non bisogna entrare.
Se l’area è protetta, non bisogna peroccuparsi perchè non ci sarà modo di entrare (entro i limiti del possibile ovviamente).

Very Sign, Secure e tutte le aziende che ruotano attorno alle banche fanno proprio questo e si prendono anche enormi responsabilità.

Voi vorreste fare le form vulnerabili e sentirvi tutelati da una legge pur non adottando le giuste misure di sicurezza ? … allora avete installato la porta di carta velina trasparente, ora pretendete che nessuno, quando passa, guardi dentro … anzi, ciecateli tutti così si che state tranquilli.

Saluti.

# - postato da andr3a - 08 Novembre 2006 - 13:40

6

@andr3a:
mi sembra un assurdita quello che scrivi!! scusa secondo te il fatto che le persone possano morire ti da il diritto di ucciderle? o il fatto che i prodotti nei negozi siano esposti negli scaffali ti da il diritto di rubarle? oppure se i cassetti della scrivania del tuo collega sono aperti, tu hai il diritto di frugarci dentro? nn credo proprio…. naturalmente esiste la possibilità che cio avenga, ma nn esiste il dovere di tutelarsi contro le persone disoneste. Se ognuno avesse un po di rispetto verso gli altri tutto il mondo (nn solo il web) sarebbe sicuramente migliore. naturale che se voglio che il mio sito sia protetto adotto sistemi particolari. ma nn me la prendo contro chi progetta i sistemi se un idiota entra e fa danni: me la prendo contro l’ignoranza delle persone e di chi li difende. In danimarca puoi lasciare la bici per strada, tanto nessuno te la ruba; qui in italia, se metti catene e antifurti, a stento la rittrovi (al limite te la danneggiano per ripicca). Tutto questo non è asslutamente corretto!! Non facciamo poi esempi assurdi: se io sto a casa mia non mi lamento se qualcuno guarda dalla porta trasparente poiche sono io a volerlo, ma se ho la porta chiusa e qualcuno la apre, ti assicuro che mi rode un po! Non difendiamo chi fa questo genere di cose: gli utenti nn devono essere obbligati a blindare tutto, me la chiami liberta questa? non dimentichiamo che la liberta è soprattutto il rispetto verso gli altri!

# - postato da Alien - 08 Novembre 2006 - 14:09

7

Ahi noi! La battaglia è persa…
:(

# - postato da RimSa - 08 Novembre 2006 - 14:15

8

Andr3a, da un pdv legale quel che dici non ha senso. Capisco il senso della tua provocazione, ma:
1) a meno che il db sia leggibile da nobody@localhost using password NO, il db è protetto. C’è una password a proteggerlo. Il fatto che sia leggibile con l’SQL Injection, non ti abilita a leggerlo. L’esempio della porta è calzante: la porta ha le chiavi che autorizzano chi le possiede ad entrare, il fatto che la porta “venga giù” (x usare le tue parole) con un ariete non mi autorizza ad usare l’ariete, e non puoi certo arrogarti il potere di stabilire quali siano le misure di sicurezza “giuste”… x rimanere alla porta, una blindata è sicura, e una non blindata no? spero tu l’abbia blindata, altrimenti mi sentirei autorizzato a rubarti il pc mentre dormi (così copio un sacco di ottimo codice! :D )
2) dici che “il web è pubblico … se io passo e trovo informazioni le leggo”, ma con questo spirito anche la stampa è libera, ma questo non ti autorizza a leggere le bozze di un editoriale prima che venga stampato su un giornale… esistono FORME tramite le quali un contenuto DIVENTA pubblico, e le decide chi possiede i diritti sul contenuto, non tu che ne fruisci
3) “Very Sign, Secure e tutte le aziende che ruotano attorno alle banche fanno proprio questo e si prendono anche enormi responsabilità”, ma questa assunzione di responsabilità non esenta il ladro di password da colpe, come non è esentato da colpe chi deruba una banca mentre la guardia giurata è al bagno… hai un’idea di libertà molto anarchica e “primitiva”, il che personalmente ti rende simpatico ai miei occhi, ma resto convinto che tu sia in errore.

_YD

# - postato da paperogiallo - 08 Novembre 2006 - 15:29

9

Fatto vero: cerco con Google una certa keyword e vengo indirizzato ad una sottopagina di un sito (un documento in pdf, per l’esattezza). Lo scarico e me lo leggo tranquillamente. Giorni dopo, torno sulla home di quello stesso sito e vengo accolto da un form di login. Tra parentesi, Google mi continua tranquillamente a ripresentare il link alla pagina interna. Mi devo definire un hacker? O devo definire poco accorti i gestori del sito?

Andr3a: Credo che leggere una pagina riservata, se non sai che lo è, sia un conto; “mi spulcio tutto un database” è una operazione di per sé vietata (in Italia: d.l.vo 196/2003 sulla “privacy”), indipendentemente dai blocchi posti.

Alien: “o il fatto che i prodotti nei negozi siano esposti negli scaffali ti dà il diritto di rubare?” Di rubare no, ma posso guardarli. Se vuoi nasconderli devi metterli in magazzino.

# - postato da Pierluigi - 08 Novembre 2006 - 15:29

10

Da un punto di vista legale vorrei sapere il parere di un avvocato … e dato che se avete l’assicurazione furto e incendio sulla macchina, se questa viene rubata e voi non avete le chiavi (le avete lasciate sul cruscotto), l’assicurazione non tirerà fuori mezzo centesimo, dubito che abbiate pienamente ragione.

Certo, si parla di furto d’auto … ma se questa è aperta, con le chiavi su e non c’è nessuno … è un pò quello che è capitato a Pierluigi, si è ritrovato un documento di un’area protetta senza nemmeno saperlo.

Ora, quando dico che trovo informazioni intendo il caso di Pierluigi … sono li, a disposizione di tutti … perchè non sono state adottate le giuste misure di sicurezza.

Pierluigi non ha commesso reato ma stando alla vostra interpretazione dovrebbe essere punito legalmente.

Se Pierluigi è invece giutificato, lo sono tutti i miei discorso … basati sul fatto che “se io cerco e trovo, senza avere intenzione di fare alcun danno, il problema non è sicuramente il mio”.

# - postato da andr3a - 09 Novembre 2006 - 08:08

11

… dimenticavo, le aziende che hanno archivi con dati sensibili devono tutelare gli stessi con misure di sicurezza.

In soldoni, se un’azienda utilizza il Windows 98 perchè non gli interessa cambiare sistema e di punto in bianco si ritrova senza più il database perchè qualcuno è entrato e s’è fatto i porci comodi suoi, sarà questa a zienda a subire sanzioni e ad essere punita.

Perchè ??? Semplicemente perchè la legge italiana obbliga queste aziende ad adottare determinati sistemi di sicurezza (il D.P.S. vi dice niente ? l’avete mai fatto per una azienda ? Nel D.P.S. c’è la firma di un responsabile di settore che garantisce il livello di sicurezza informatico dell’azienda e deve essere a norma).

Il Windows 98 non è un sistema riconosciuto come affidabile, se l’azienda l’adotta, non è colpa di chi è riuscito a far danno ma è colpa dell’azienda.

Il responsabile del D.P.S. in questo caso avrà pure problemi legali perchè incompetente.

Questo per dire che la frase “misure di sicurezza” implica esattamente l’adzione delle stesse … no che vivo in una casa di vetro e la gente non deve guardare dentro la casa.

Per concludere attendo l’opinione di un legale e resto convinto che chi non sia in grado di fare un’area protetta semplicemente non debba avere la presunzione di farla … che almeno si informi sul cosa deve fare per tentare di evitare quanti più attacchi possibili invece di giustificarsi con utopie sul caso umano !!!

# - postato da andr3a - 09 Novembre 2006 - 08:18

12

@andr3a, in relazione al post 10:

hai ragione, l’assicurazione auto in quel caso non rimborsa. MA se la polizia becca quello che ha preso la macchina, lo arresta; poi un PM lo accusa di furto d’auto, un GUP lo rinvia a giudizio e un giudice lo condanna, fosse anche a 100 euro di ammenda. E’ quello che - tecnicamente - si chiama reato di FURTO ex art 624 CPP.

Un consiglio: prima di studiare il D. Lgs. 196/03 per scrivere i D.P.S. per i tuoi clienti, dai una ripassata ad un libro di Educazione Civica.

Inoltre ti prego… Prova a scorrere i tuoi post, cercando di notare *i toni* piuttosto che il contenuto: rispetto a quest’ultimo possiamo discutere quanto vuoi, ed è lo scopo dei commenti nei blog.
Rispetto ai toni, beh, secondo me dovresti attenuare un po’ l’animosità che li contraddistingue. Per il bene della discussione in corso.

# - postato da RimSa - 09 Novembre 2006 - 08:51

13

Ops…
Nel post 12 mi è scappata una “P” di troppo, l’articolo 624 è del Codice Penale e non del Codice di Procedura Penale.
Scusate!

# - postato da RimSa - 09 Novembre 2006 - 09:02

14

RimSa … sui toni mi spiace e ti do ragione … il fatto è che ultimamente si gira sempre attorno allo stesso problema (5 o 6 post simili solo questa settimana), l’incompetenza o la poca esperienza di presone che si spacciano per guru di settore e nessuno può dire loro che non lo siano.

Il tono animato è perchè in questo post si è arrivati perfino a giustificare tale non professionalità … ma hai ragione, non serve a niente.

Tornando al post, l’azienda di settore che non è in grado di fare un’area di amministrazione in grado di tutelare i dati sensibili dell’altra azienda dovrebbe essere esclusa dal circuito o avere sanzioni tanto quanto il piccolo cracker che ha fatto danni.

Se io faccio un D.P.S. e dichiaro che è tutto a posto ma non c’è alcuna misura di sicurezza, io rischio tanto quanto l’eventuale cracker, se non di più … perchè la legge che parla di misure di sicurezza, aggiornamenti del sistema e tutto il resto, non tutela assolutamente gli inadempienti o i non curanti … anzi, in questi casi sanziona.

L’azienda che riporta i propri dati sensibili on-line deve rivolgersi ad aziende o sviluppatori qualificati (come saperlo oggi in italia?) e preparati … no che spende una manciata di euro e risparmiare e di mezzo ci va chi magari stava solo navigando in Google (leggi caso Pierluigi).

Saluti

# - postato da andr3a - 09 Novembre 2006 - 10:04

15

Piccola precisazione, visto che è nato un “caso Pierluigi” (AIUTOOOOO!!!!).

Il famoso documento altro non era che una brochure pubblicitaria riservata a professionisti di una ben definita area di attività e non conteneva dati sensibili.

No, perché se no qui mi trovo la GdF come scappo fuori dall’ufficio!!! :sob:

# - postato da Pierluigi - 09 Novembre 2006 - 12:16

16

@andr3a:
capisco la rabbia degli operatori del settore che, come probabilmente fai tu, spende un mare di tempo e risorse per aggiornamento e formazione, e poi si vede soffiare il lavoro da una concorrenza low-cost che non è minimamente in grado di fornire un servizio se non brillante - almeno sufficiente.
In questi casi, spesso si pensa che una soluzione restrittiva (multe/condanne/inibizioni per gli “impreparati”) possa portare ad un miglioramento generale del livello, ma nella nostra cultura giuridica questa strada non viene quasi mai seguita. E’ frutto di una impostazione liberista, che - in soldoni - da un lato ritiene responsabili di omissione tutti coloro che non si adeguano alle regole, dall’altro punisce chi invece le regole le infrange a scopo di lucro. Non vi è (quasi) mai una terza figuara, del tipo il “professionista responsabile”… Si sostiene che il cliente buggerato dal professionista inetto, fatto salvo il diritto di rivalsa nel caso di danni dimostrati, debba essere in prima persona responsabile di errori ed omissioni. Poi sia il mercato a fare selezione tra i capaci e gli incapaci. D’altra parte, coloro che sfuttano a proprio vantaggio errori ed omissioni per commettere atti illeciti, devono essere per questi perseguiti.
E’ un approccio, altrove si fa diversamente… I risultati però non cambiano molto.

# - postato da RimSa - 09 Novembre 2006 - 14:10

17

Mi sembra che la questione si stia allontanando dal punto principale: Non stiamo qui a discutere sul fatto che le aziende che trattano dati importanti, debbano necessariamente adottare misure di sicurezza “a norma” (naturale che cio avvenga, altrimenti chi affiderebbe i propri dati ad un’azienda nn protetta??). Il fatto nasce dall’affermazione di andr3a:

Purchè ci siano queste misure di sicurezza.
Se un sito o un’area admin è stato sviluppato da una persona poco competente in materia e con la prima SQL injection si riesce a “buttar giù” il database quel sito non è protetto da misure di sicurezza e la sql injection potrei averla scritta “per sbaglio” con un copia e incolla.

Questo per dire che se tento di entrare in un sito certificato come very sign o altro rischio la galera, se invece mi spulcio tutto un database perchè il sito “me lo permette” e nessuno mi dice che il sito adotta misure di sicurezza (non ne è stata certificata l’affidabilità) non credo si possa parlare di illegalità … certo, se si fanno danni ok, ma se non se ne fanno qual’è il problema ?

Mi viene naturale chiedere come si puo fare una sql injection solo per sbaglio, e con un copia e incolla? Almeno il codice dovrei prenderlo da qualche parte, quindi già so pressapoco quello che voglio fare! Non arrampichiamoci sugli specchi, non spariamo sentenze da saputelli, se uno entra in un database, non puo farlo per errore: posso navigare anche tutto il giorno su google, ma non trovero MAI l’accesso ad un database che sia protetto con user e pass. Di conseguenza chi fa questo commette un illecito e non ha nessuna scusante. Proprio oggi un amico mi ha detto che c’è in giro un idiota che defaccia tutti i suoi siti amatoriali. Lui realizzi siti per passione e non ha necessita professionali o guadagni dai siti: deve per forza adottare un sistema di sicurezza come quelli offferti da verisign? Quindi un utente normale non puo pubblicare il suo spazio in msn, poiche non è esperto di sicurezza oppure perche non si tutela contro gli imbecilli? Non credo proprio….. Ma dove è andato a finire il web libero, quello dove potevi pubblicare le tue passioni con poco sforzo (magari anche con front page!!!)???
Ok forse ho capito: domani avviso tutti che prima di realizzare le proprie pagine web devono farsi un corso per imparare a proteggersi, o al limite spendere una cifra per tutelarsi…. altrimenti se uno ti fa dei danni sul sito sei passibile di arresto, poiche non hai studiato per dieci anni o speso migliaia di euro prima di pubblicare il tuo sito sulle ricette della nonna!!!!! E magari diamo pure un premio a chi riesce ad entrare nel sito….. tra poco allora ci saranno pure le olimpiadi a chi si distrugge meglio (o peggio) il lavoro altrui, senza avere alcun rispetto per gli altri!!!!! Ma dico scherziamo? Ma vi leggete quando scrivete??? E dopo tutto mi venite a dire che la legge punisce chi non e in regola? Ok, ma allora devono essere puniti severamente anche chi commette queste azioni sporche e vili!!!

Un’ultima cosa: qualcuno mi siega come si puo solo pensare di difenere simili tesi?? Io che lavoro sul web (ma credo molti altri di voi condividano questo), mi sento frustato da simili accadimenti: l’ignoranza rovina il mercato… null’altro…. Buonasera a tutti…. e meditate…….

# - postato da Alien - 09 Novembre 2006 - 23:31

18

@Alien:

in prima battuta, vale anche per te quanto fatto notare ad andr3a: non ti sembra di usare toni eccessivi?
Nel merito: nessuno degli intervenuti dà ragione ad andr3a, al più si comprende e condivide la sua frustrazione.
C’è bisogno di un approccio diverso al problema della sicurezza? Probabile. C’è bisogno di maggiore diffusione della cultura della sicurezza di base? Sicuro. C’è bisogno, in generale, di maggiore educazione? Beh, fai tu…
Una sola domanda: tu cosa fai in questa direzione?

# - postato da RimSa - 10 Novembre 2006 - 13:21

19

@ Alien
Mi viene naturale chiedere come si puo fare una sql injection solo per sbaglio
lo sai che basta un punto e virgola, spesso, per leggersi il nome delle tabelle, del db ed a volte anche altre informazioni ?
Sei abbastanza informato sulle sql injections ?

io potrei prendere la mia vera user e pass con un copia e incolla da un mio file locale (cosa che non faccio) e magari li ho separate con un trattino o un punto e virgola o altro … mi sbaglio a fare il copia e incolla e mi ritrovo una schermata di errore del db che mi avvisa che la tabella taldeitali ha generato errore nel campo pippo con e il campo password non è valido.

Ecco un esempio di copia e incolla che potrebbe mandarmi in galera per aver salvato come volevo le mie user e pass di vari siti.

Quindi più che darmi del saputello informati meglio su quanto sia semplice o involontario (tasto sbagliato) ritrovarsi ad aver fatto un tentativo di hacking nei siti anche aziendali.

Su questo punto vorrei soffermarmi perchè io non ho mai parlato degli amatoriali (che se lo sono non percepiscono guadagno … se lo percepiscono invece stanno lavorando e se fanno un’area admin devono essere in grado di farla).

Internet è e deve rimanere libera per tutti, da chi pubblica a chi naviga, ma se si tratta di dati sensibili non puoi metterli in mano al lavavetri del semaforo perchè ti vuole 100 euro poi magari con % al posto del 5 mi ritrovo denunciato da un’azienda … ecco di cosa ho parlato, non di certo del tuo amico che fa siti (ma se è amatoriale quanti ne fa ??? …)

Medita … te.

# - postato da andr3a - 10 Novembre 2006 - 20:24

20

Innanzitutto mi scuso con RimSa e con tutti voi che leggete se i miei toni sono stati eccessivi: non era mia intenzione offendere nessuno, se l’ho fatto chiedo ancora perdono. Il mio obiettivo era quello di aiutare il nostro web a migliorare, e, sono sicuro, è anche l’obiettivo di tutti voi. Educazione? Ne serve tantissima, figurati.. ma mi sembra di averlo gia detto, no?
Tornando alla questione, mi sembra che sia tu, anrd3a, quello poco informato sulle sql injections….. e scusa se te lo dico; ti assicuro che ne so parecchio su questo argomento e su tanti altri… ti invito a fare anche solo una ricerca su google e scopri che ci vuole qualcosina in piu per entrare in un database, tipo una cosa come “‘123′ OR ‘’='’ ”” (nn metto il codice completo, non vorrei fornire codice pericoloso, che qualche malintenzionato pootrebbe sfruttare). Di sicuro non è poi dificilissimo, ma ti assicuro che nn ho mai incontrato nessuno che sia entrato per sbaglio in un database!!!!! Tu ne conosci qualcuno? Cmq nn esagerare sui rischi che si correrebbero, tanto nn si va in galera se entri per sbaglio nell’appartamento del tuo vicino, ma se gli rubi il dvd, allora forse… nn te la fanno passare liscia!!!Per il fatto delle aziende, vedi che ho precisato nel precedente post, che se un azienda tratta dati importanti deve per forza tutelarsi, altrimenti nessuno userebbe i suoi servizi. Nemmeno io lo farei a dire il vero…. Ancora: Il fatto che mi ha indispettito e che tu difendi chi entra nei sistemi… ma di sicuro sai meglio di me come questo non sia corretto e come faccia male al web: so che tu sei un utente corretto e se ti capitasse di entrare in un database nn faresti danni, anzi al contrario, corregeresti gli errori probabilmente… ma nn sono tutti come te.. la maggior parte li fa i danni eccome!!! Torno a citarti il mio amico, che fa tanti siti amatoriali, poiche ha una comunita in svizzera molto ampia, ed ognuno dei componenti ha parecchi interessi… vedi che non è tanto strano? Ti ripeto: anche se uno entra in un sito aziendale mal protetto, nn ha diritto a fare proprio nulla! Se ti capita di entrare in un ufficio senza che ci sia il custode, sei autorizzato a rubarti i pc? So bene che le aziende devono proteggersi, ma per favore nn istigare i tanti stupidi che girano!!! Vabbe so che nn era tua intenzione istigare nessuno, quindi ti invito a pensarci un attimo e a farmi sapere, ok?

Solo du cose e chiudo (e tardi!!): primo, mi scuso se nn ho risposto subito ma ho lavorato tanto e fino a notte fonda in ufficio negli ultimi due giorni, questo per fornire al mio pubblico siti web sempre migliori….
secondo, mi scuso ancora con RiSma, ma quando sento affermazioni che ritengo pericolose, credo sia giusto intervenire con polso fermo (sempre nel massimo rispetto degli altri), onde evitare la diffusione di notizie, concetti e idee che farebbero molti danni… a volte basta cosi poco per far danni… magari anche un trattino, un punto e virgola…… dico bene andr3a? ;-)

Meditateeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee………..e medita……pure teeeee!!!!

# - postato da Alien - 13 Novembre 2006 - 00:18

21

Mi sono perso la discussione, ma quel che ho scritto sopra ERA un parere legale, dal momento che sono laureato in giurisprudenza e “qualche” legge in vita mia l’ho letta e imparato a interpretarla :)

ovviamente è solo la mia modestissima opinione… ma spero che se andr3a finirà mai a dover rispondere dell’accusa di hackeraggio, non decida di difendersi da solo, xchè con quelle argomentazioni non finisce in gattabuia solo grazie alle attenuanti generiche… LOL

(andr3a non te la prendere, si scherza…)

_YD

# - postato da paperogiallo - 14 Novembre 2006 - 20:08

22

@ Alien … il discorso ; è generico, se vuoi ti mostro un portale regionale che ha un campo di ricerca interno dove se scrivi qualcosa con l’apostrofo ti mostra gli errori, il nome del db, della tabella e dei campi … le sql injections possono essere veramente banalissime e possono anche essere commesse per errore … quella che hai postato tu ad esempio si riduce in 5 caratteri e gli apostrofi non sono così rari da inserire, tantomeno altri caratteri “pericolosi”.

Come te vorrei che il Web fosse migliore, a differenza di te non accuso chi entra ma tutti quelli che fanno entrare che non li giustifico in niente e per niente.

Avessero fatto di tutto per evitare accessi indesiderati accuserei “l’intruso” ma se fanno cose che richiedono una certa preparazione e non ce l’hanno chiederei a loro il risarcimento degli eventuali danni e darei una pena ridicola, in confronto, all’ “aggressore”.

Sito semplice, amatoriale, dati non importanti ? Chissenefrega … sito aziendale ?
Che vengano fuori i veri responsabili e non si accusi la persona che ha trovato la prota aperta.

Banca e Very Sign ? Ok, quello è un cracker … ed è in torto … un hacker invece segnalerebbe il buco (non in italia dove gente “come paperogiallo” accuserebbe subito il competente e non gli eventuali incompetenti)

paperogiallo la legge ha tante sfumature, lo sai meglio di me … non è tutto bianco o nero ed esistono tante interpretazioni o non esisterebbero i processi con accusa e difesa.

La legislatura riguardo il settore informatico non la racconterei come ovvia e scontata perchè è estremamente delicata … ma anche questo lo sai meglio di me.

Conclusione personale:
fai quello che sai fare … e se non hai voglia di imparare o non hai idea di come si faccia … non lo fare o se lo fai, non te la prendere se “sparisce tutto”.

Vale anche per me, non è rivolto a nessuno in particolare.

Saluti.

# - postato da andr3a - 14 Novembre 2006 - 20:31

23

Certo, la legge ha mille sfumature, ma resta il fatto che c’è una bella differenza tra
a) il navigare alla ricerca di informazioni e scrivere “male” una query (che poi siamo tutti d’accordo: non è che sia il navigatore a scriverla male, è il web developer che ha scritto male il codice che la riceve!) e
b) il navigare scrivendo queries fatte apposta per entrare nei db.
Nel secondo caso esiste quello che noi “legulei” definiamo “elemento soggettivo del dolo”. In parole povere, “lo fai apposta”. E’ nel farlo apposta che sta “l’abuso”, la legge infatti parla di chiunque si introduca “abusivamente” etc. Se ci arrivo da un link di Google, come è stato riportato nei post precedenti, non commetto alcun abuso, xchè non esiste dolo alcuno: ho solo cliccato su un link (questo sì, indubbiamente “pubblico”!)

Tornando al tuo esempio, se navigo nel portale da te citato, scrivo una query con le virgolette (com’è nel mio pieno diritto) e mi compare la pagina di errore, semplicemente la chiudo o premo back. Niente colpa, né tantomeno dolo. Fine della faccenda. Se invece da quel messaggio di errore parto alla ricerca di altre informazioni, recupero la password, mi metto a leggere l’intero db, e magari capito il trucco ci provo in decine di altri siti, allora mi comporto con dolo. Niente sfumature. Lo sto facendo apposta.

Sempre IMHO, ovviamente. :)
E sempre ovviamente, sul mio WmWare ho disabilitato l’output degli errori di PHP, ho register globals su off, uso password difficili da crackare, e ultimamente proprio x colpa delle SQL Injections addirittura uso il db il meno possibile e gli preferisco XML/XSLT, appena posso. :)

_YD

# - postato da paperogiallo - 15 Novembre 2006 - 03:24

24

Ciao Yan.. Immagino tu sia quello che ha redatto diversi articoli sulla sicurezza su html.it.
Ti devo fare i complimenti, sei stato davvero chiarissimo…. a far capire anche concetti difficili.
grazie mille :)
Xaind

# - postato da Xaind - 23 Novembre 2006 - 23:24

25

PS: Sono capitato qui giust’appunto, perche’ sto facendo il corso per esperto sulla sicurezza.
Da come il nostro insegnante(avvocato) ci ha detto, si compie un illegittimo ad accedere abusivamente, solo se il sistema ha almeno una minima misura di sicurezza.
Ad esempio se e’ il sistema e’ protetto con una password facilissima da identificare di 1 o 2 carattere e si effettua l’accesso abusivo, allora questo e’ gia’ perseguibile penalmente. (art 615 ter cod. pen.).
Se invece il sistema non manifesta alcuna misura di sicurezza, non e’ reato intromettersi all’interno, quindi nel discorso dei database che si possono accedere perche’ non protetti, non si commetterebbe alcun reato.(’il sistema deve manifestare protezione’ dice la legge.)
Oltretutto, anche il tentato accesso abusivo, quindi il solo cercare di loggarmi ad un sistema che manifesta protezione, e’ di per sè un reato.

# - postato da Xaind - 23 Novembre 2006 - 23:43

26

Ho tentato…. di essere stato chiaro come lo e’ Yan. :)

# - postato da Xaind - 23 Novembre 2006 - 23:46

27

Grazie Xaind.

# - postato da Yan - 05 Dicembre 2006 - 22:54

28

Salve,
io semplicemente sfrutto dei paragoni per capire cosa si deve o non deve fare.
Voi non avete protetto il vostro sistema e qualcuno apposta ci entra e poi vi lascia un messaggio che vi spiega cosa c’e’ che non va……… bene vediamo il tutto diversamente……voi avete montato un antifurto a casa vostra….mentre siete via o peggio quando siete presenti, uno sconosciuto entra in casa e senza farsi scoprire vi lascia un biglietto in casa dove dice di essere entrato in casa vostra e spiega come ha fatto. Girate per strada e uno sconosciuto fa finta di rapinarvi o di stuprarvi e vi spiega che in realtà vi voleva aiutare e vi consiglia di premunirvi di una guardia del corpo perche’ non siete ben protetti.
Fare hacking su qualsiasi cosa che non vi appartiene e senza il consenso anticipato del proprietario (non dico se e’ reato o meno) E’ SBAGLIATO! fine.

# - postato da Golvellius - 07 Dicembre 2007 - 16:15

Inserisci il tuo commento:

Nome (campo obbligatorio):

Indirizzo email (campo obbligatorio):

Il tuo sito:

Commento (puoi usare i seguenti tag HTML per formattare il testo -
a href, b, i, br/, p, strong, em, ul, ol, li, blockquote, pre):

 

Anteprima del commento

Lasciare vuoto questo campo!!!

Avvisami via e-mail della presenza di nuovi commenti