La sicurezza … ahi ahi ahi

E' incredibile come al giorno di oggi esistano ancora siti web fatti da veri incompetenti che non sanno mettere assieme due righe di codice. E' il caso della Nortek, azienda abbastanza famosa in Europa per l'indecenza dei suoi prodotti informatici che ho – ahimè – più volte sperimentato durante passate visite presso clienti terzi.

Quest'oggi a mio padre gli regalano una webcam che sembra essere supportato dal suo antiquato portatile che monta ancora Windows 2000 (alla faccia ancora della sicurezza informatica) che l'azienda per la quale lavora (non vi faccio il nome) non gli ha ancora aggiornato per non sò quale ragione.

Tralasciando i dettagli, mi dice che il tizio che gli ha regalato la webcam si è perso il cd di installazione ed escludendo a priori l'ipotesi che lui sia in grado di completare la procedura di registrazione, ho detto adesso lo faccio io e poi gli passo il link dove scaricare il file.

Vado sul sito della nortek, non ha importanza quale versione regionale decidiate di prendere, tanto l'archivio è lo stesso e procedo. Inserisco i miei dati e già noto una cosa di strano, invece che il tradizionale campo password protetto, ti lasciano scrivere la password in chiaro.
Pazienza, tanto è solo per adesso penso tra me e me, quindi continuo e completo la registrazione.

formregistrazione.jpgIn un attimo mi arriva la mail di attivazione con un link attivo per completare la procedura. Clicco e vengo rediretto sulla pagina di login. Non mi appare nessun messaggio e penso, avranno fatto tutto, ma inserendo i dati mi dice che il mio account non è stato attivato. Riprovo, nulla. Neanche il copia e incolla diretto (nel caso il link non fosse corretto), ma ancora nulla.

Dò uno sguardo al querystring e noto che il parametro user ID accoda il valore numerico con un punto esclamativo.

200910152047.jpg

Per carità, ogni linguaggio server side gestisce le cose a modo suo, ma ASP accettava solo il simbolo uguale e notando un punto esclamativo penso a qualche errore così lo sostituisco e, dopo aver caricato la pagina, ecco la magia!!!

Nel campo username della loro form compare l'indirizzo e-mail del malcapitato registrato. Così adesso io potrei scrivere ad un tizio che si è registrato con la mail di "El bistecca" o ad un tal "connessione_di_prova@libero.it". Insomma è veramente scandaloso.

Non oso cercare di approfondire con ulteriori tecniche malevole quanto il loro sito sia facilmente attaccabile. Questo lo lascio fare a voi se avete tempo e voglia. Io sono sufficientemente stanco e avvilito di vedere certe cose ancora, al punto che non me ne frega manco nulla di mandare una mail ai signori del supporto tecnico. Magari avranno previsto un form online che con buona probabilità non funzionerà nemmeno!

Con questo passo e chiudo … ma vi lascio con una richiesta. Se avete un link dove poter scaricare questi benedetti driver della webcam Element one, mi fareste un favore.

Technorati Tags: sicurezza on line, siti web

One thought on “La sicurezza … ahi ahi ahi”

Comments are closed.