Feb 212008
 

pd_logo.gifAhi ahi ahi…. tempi duri per il neonato (sito del) Partito Democratico… e tranquilli, NON mi metterò a parlare di politica (non è il mio campo). 😛

Giusto qualche giorno fa Massimo puntava l’attenzione del web sul fatto che, per visitare il nuovo sito del PD, fosse necessario installare un plugin "non standard" come quello di Silverlight (tecnologia Microsoft). Beh… personalmente non ci vidi niente di strano… sono le nuove tecnologie che avanzano, è normale che vengano utilizzate (specie se il sito è realizzato interamente con tecnologia Microsoft). Ieri invece Matteo faceva notare al web come avessero sostituito Silverlight con Flash (ed infatti il video ero in Flash). Oggi riapro il sito e ti ritrovo Silverlight… mmm… c’è qualcosa che non torna.

Ma… vabbè… a parte questi veniali errori di gioventù, niente di grave.

… se non che ieri pomeriggio mi cade l’occhio su una notizia flash di Punto Informatico dove si "lancia" che il sito del Partito Democratico fosse bucabile. Oibò… sarà mai vero? Vado a visitare il blog di Roberto Scaccia, che ha scoperto il bug, e con due click del mouse riesco a visualizzare nel browser il file web.config (che, in parole povere per i non addetti al settore, è il file di configurazione della web application… in questo caso l’intero sito del Partito Democratico). In questo file è possibile leggere la stringa di connessione al database, che mostra IP del server, user a password in chiaro… (P.S. NON è mai una buona idea usare l’utente di default SA)

Inoltre, il server SQL che contiene il database è raggiungibile dal web (ma per fortuna NON accetta connessioni SQL dall’esterno, altrimenti chiunque avrebbe potuto collegarsi all’istanza del server e fare un backup del database… con eventuali dati degli iscritti al sito, documenti potenzialmente riservati ecc).
Non metto screenshot, url o altro perchè è facilissimo arrivarci… e per non indurre in tentazione chiunque voglia giocarci. 

E’ un buco GROSSO e potenzialmente molto pericoloso, che mostra quanto NON sia stata curata in alcun modo la sicurezza nello sviluppo del sito (e di quanta poca cura sia stata impiegata nella programmazione, purtroppo). Ma… la cosa VERAMENTE GRAVE è che, dopo  quasi 24 ore, non sia ancora stato chiuso. Stanno aspettando che qualche lamer ci si diverta? Mah…