Feb 212008
 

pd_logo.gifAhi ahi ahi…. tempi duri per il neonato (sito del) Partito Democratico… e tranquilli, NON mi metterò a parlare di politica (non è il mio campo). 😛

Giusto qualche giorno fa Massimo puntava l’attenzione del web sul fatto che, per visitare il nuovo sito del PD, fosse necessario installare un plugin "non standard" come quello di Silverlight (tecnologia Microsoft). Beh… personalmente non ci vidi niente di strano… sono le nuove tecnologie che avanzano, è normale che vengano utilizzate (specie se il sito è realizzato interamente con tecnologia Microsoft). Ieri invece Matteo faceva notare al web come avessero sostituito Silverlight con Flash (ed infatti il video ero in Flash). Oggi riapro il sito e ti ritrovo Silverlight… mmm… c’è qualcosa che non torna.

Ma… vabbè… a parte questi veniali errori di gioventù, niente di grave.

… se non che ieri pomeriggio mi cade l’occhio su una notizia flash di Punto Informatico dove si "lancia" che il sito del Partito Democratico fosse bucabile. Oibò… sarà mai vero? Vado a visitare il blog di Roberto Scaccia, che ha scoperto il bug, e con due click del mouse riesco a visualizzare nel browser il file web.config (che, in parole povere per i non addetti al settore, è il file di configurazione della web application… in questo caso l’intero sito del Partito Democratico). In questo file è possibile leggere la stringa di connessione al database, che mostra IP del server, user a password in chiaro… (P.S. NON è mai una buona idea usare l’utente di default SA)

Inoltre, il server SQL che contiene il database è raggiungibile dal web (ma per fortuna NON accetta connessioni SQL dall’esterno, altrimenti chiunque avrebbe potuto collegarsi all’istanza del server e fare un backup del database… con eventuali dati degli iscritti al sito, documenti potenzialmente riservati ecc).
Non metto screenshot, url o altro perchè è facilissimo arrivarci… e per non indurre in tentazione chiunque voglia giocarci. 

E’ un buco GROSSO e potenzialmente molto pericoloso, che mostra quanto NON sia stata curata in alcun modo la sicurezza nello sviluppo del sito (e di quanta poca cura sia stata impiegata nella programmazione, purtroppo). Ma… la cosa VERAMENTE GRAVE è che, dopo  quasi 24 ore, non sia ancora stato chiuso. Stanno aspettando che qualche lamer ci si diverta? Mah…

  17 Responses to “Partito Democratico: si può fare (un nuovo sito)!”

  1. Scusate.. Ma nessuno ha provato a digitare partitodemocratico.it SENZA il CNAME www e vedere cosa ottiene..? MI sembra che anche questo sia un errore davvero da pricipianti..

  2. Già, senza il www davanti al nome del sito, spunta una pagina Under costruction…

  3. Infatti.. Ottimale gestione del DNS record come in tutti i i siti della RAI.. Poi chicca delle chicche…

    partitodemocratico.com
    partitodemocratico.net
    partitodemocratico.org

    sotto cybersquatting o comunque non rediretti e:

    partitodemocratico.info sito della Associazione per il Partito Democratico Liguria..

    Davvero una bella maniera di procedere…

  4. Beh un partito che si vende come nuovo ma che poi usa una tecnologia obsoleta (Microsoft) per il proprio sito non è proprio un bel manifesto elettorale.

  5. @ Francesco e terronista: vabbè…. contro il cybersquotting c’è poco da fare, purtroppo… mentre gli errori di configurazione dei record CNAME si possono tranquillamente evitare… 😛

    @ Cuore Analfabeta: perchè la tecnologia di Microsoft sarebbe obsoleta? Non mi pare proprio sia così… anzi, Silverlight è talmente nuovo da essere ancora molto poco diffuso.

  6. Secondo me questi errori sono dovuti al fatto che ormai il volontariato di un tempo, con i galoppini che attaccavano manifesti, servivano ai tavoli la porchetta alle feste dell’unità e mettevano su i siti internet (una pagina in HTML) non c’è più. Questo sito se l’è fatto Walter Veltroni. E alla sicurezza ci ha pensato Romano Prodi.

  7. Esatto Francesco quell’errore è pacchiano. Giovy ti invito a guardare questo primo confronto (gli altri siti non è che siano messi bene):

    http://dariosalvelli.tumblr.com/post/26168138

  8. Sembra, tra l’altro, che non siano i soli e nemmeno quelli messi peggio!

    http://www.lastknight.com/2008/02/21/altri-siti-di-partiti-politici-vulnerabili/

    Lastknight si è messo a giocare e ha trovato SQL injection su PD e anche su Rauti… E’ impressionante!

  9. […] per diffondere e sviluppare i programmi ed i candidati. C’è già chi li mette a […]

  10. Che dire..assurdo! Certe notizie fanno rabbrividire… 🙂

  11. […] figuraccia che stiamo facendo con il nuovo sito web non ci aiuta per niente, se questa è la competenza e […]

  12. Tutti questi buchi in bella mostra..ma non saranno delle jailbait per lamer, che una volta fatta la lamerata – offriranno al partito politico attaccato – un pretesto per accusare un partito avversario di “spionaggio informatico” e blabla? Mi viene in mente un episodio simile di qualche anno fa, ma non ricordo i soggetti..

    Ok, la smetto di rivedermi le puntate di X-Files 😀

  13. uhh.. brutta figura!
    A favore del nuovo sito però va tutta la parte sociale.. anche se migliorabile, è un passo in avanti!

  14. E’ da settembre 2007 che i siti di DS & co – il PD non era ancora nato 🙂 – hanno questo problema…

    http://www.albertofalossi.com/post/La-mega-falla-di-sicurezza-nei-siti-del-Centrosinistra.aspx

    E’ incredibile che la software house a cui si affidano non lo abbia ancora risolto!

  15. è un vero peccato che gli sviluppatori del sito abbiamo scelto di adottare silverlight, visto che per linux non esiste, ho letto che moonlight sarebbe un alternativa ma per un novellino di linux, come me, l’installazione è molto complicata…

  16. scusate, ma se invece che cercare di “bucare” quel sito, aiutate i webmaster a risolvere il problema ?

  17. @ fabio: a parte che nessuno cerca di bucare niente, fortunatamente il problema l’hanno risolto nel pomeriggio del giorno in cui ho scritto il post, ovvero 24 ore dopo la prima segnalazione. 🙂

Leave a Reply to Giovy Cancel reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(required)

(required)

This site uses Akismet to reduce spam. Learn how your comment data is processed.