Non credevate mica fossero finiti i post su Italia.it? Eh già. Troppo semplice. Questo verte su alcune “note tecniche” del portale. Uno pensa: vabbè non è accessibile, vabbè il layout è antico come il cucco, vabbè usano Flash, ma è basato comunque su prodotti IBM, sarà solido, sicuro. Illusi. Grazie a ramos ho scoperto una cosa davvero simpatica per la sicurezza del portale. Provate ad andare in una form del portale, per esempio qui. Nel campo destinazione, invece di una classica località, inserite il seguente testo
e poi andate avanti come se volesse far partire la ricerca. Se non hanno corretto ancora il bug, avrete una sorpresa tipo questa.
Bello vero? Script injection. I dati in POST e in GET non vengono preprocessati a dovere e sembrano ci stiano lavorando giorno dopo giorno sebbene in un progetto in produzione queste cose sarebbero dovute essere state fatte molto tempo prima! Infatti, prima lo script segnalato sopra funzionava anche con gli apici singoli (’ ‘) al posto dei doppi (” “). Ora invece no, solo doppi. È una vergogna: praticamente ci stanno usando come beta tester.
Novecento 11:53 on 24 febbraio, 2007 Permalink
Complimenti anche alle loro pubbliche relazioni, allora (non parliamo ancora di social networking per suggerimenti e bug).
)
Ma qualcuno ha sentito qualche parola o dichiarazione che esca da chi sta lavorando a Italia.it?
(Almeno oggi hanno eliminato la prima introduzione flash (che ieri, grazie allo *splendido* soprano, mi stava per costare il posto in ufficio: grazie italia.it
Nemo 12:01 on 24 febbraio, 2007 Permalink
LOL, è vero, hanno levato la prima introduzione! Non me n’ero accorto finora perché m’ero salvato il link diretto alla prima pagina italiana.
Cmq, finora non ho avuto modo di leggere niente degli “addetti ai lavori”.
PS: il tuo sito è down, è normale?
ramos67 13:26 on 24 febbraio, 2007 Permalink
qui trovate una testimonianza di un addetto (speriamo sia vera…).