Antefatto:
Samattina un amico mi comunica che ha individuato una falla nella sezione di autenticazione di in un sito che gestisce i pagamenti per alcuni adempimenti fiscali.
Il sito non è la solita paginetta asp con acesss in stile amatoriale, anzi...
Dopo una mezz'oretta di smanettamenti, persi soprattutto ad indovinare i nomi dei campi, il sito era bucato.
Morale: "La sicurezza non è un prodotto: è una cultura".
Per i clienti la frase va letta: Non basta spendere soldi in prodotti classificati come sicuri o in software house affidabili, ma bisogna (come prescrive la nuova legge sulla privacy) far testare il proprio sistema da soggetti terzi che ne provino la sicurezza.
Per i colleghi sviluppatori: leggetela come un esortazione a gurdare alla sicurezza come ad un modo di pensare e di agire. Non basta il database sicuro o il web server patchato, in fondo non siamo sistemisti no? ;)
Lunedì chiameremo i responsabili del sito e gli faremmo notare la cosa, sperando che non ci arrestino.
ciao,
AS
Il primo aprile (ed era un pesce) era uscito su MSDN Subscriber Dowload Microsoft Bob 1.0a, e Silvano che ce lo ha mostrato in tutto il suo splendore alla devcon a Bologna, oggi è la volta di Access 2 (English)... già mi immagino la prima demo di Yukon alla DevCon di Napoli ;)
ciao
AS