La sicurezza è importante

[FlameNetworks]

Il problema è che un servizio, che penso di un certo livello, non dovrebbe incappare in cose simili. Non si tratta di un buffer overflow che comporterebbe un certo studio della falla, ma mi pare si possa aggirare il tutto con un semplice giochino.

Certo livello, cioè basso?

Detto questo sono convinto che si sia esagerato nell'esposizione (dopotutto il sensazionalismo in tv ormai è di casa), ma che in molti casi ci si improvvisi programmatori penso sia riscontrabile.

Vero...ma ci sono tanti altri professionisti che lavorano bene, solo che nessuno lo dice.

Credo che una delle cause di queste situazioni, a mio avviso molto deprecabili, sia una politica dei costi volta al risparmio e che porta, inevitabilmente, ad ingaggiare improvvisati piuttosto che professionisti.

[AndDM]

Certo livello, cioè basso?

Penso che il gestore del servizio sia abbastanza conosciuto, il livello degli applicativi non posso giudicarli non avendoli neanche provati (e comunque non che mi ritenga tanto esperto per giudicare il lavoro fatto su una piattaforma di tale portata ), posso solo giudicare che con un metodo un pò banale si possa accedere ad una webmail.

@guest, Flame Networks: concordo sul fatto che ci siano comunque fior di sviluppatori che progettano e studiano tutta la struttura dell'applicazione. Sperando che tale cultura si diffonda un pò a tutti i livelli.

[Antonio]

Le generalizzazioni fatte in questo modo, per di più in TV, sono un insulto ai lavoratori. Non tutti scrivono codice con i piedi.
Non vedo perchè si debba dire in TV che in Italia il codice sviluppato fa schifo. Hai visto tutti i codici di tutti i programmatori d'Italia per dire ciò?

Poi, magari, si scopre che quella webmail è stata scritta da un cinese o un indiano, cosa sa quel presunto "hacker" ?

Premetto che concordo con te nel dire che le generalizzazioni non van mai fatte.

Però posso dirti che kris non ha tutti i torti; per una software house/web agency che sa fare il suo dovere che ne sono 1000 che non sanno quello che fanno.
Nelle grandi aziende, poi, si fanno gli appalti per la creazione/gestione dei sistemi informativi e vedi che le solite grosse aziende vincono gli appalti e subappaltano o usano aziende di body rental (che nel 90% dei casi assumono chi gli costa meno, non il più capace).

Ho conosciuto di persona Kris e posso dirti con assoluta certezza che non è l'Aranzulla di turno; ma sa quello che fa ed è un ottimo programmatore. Anzi, direi che il metodo che ha utilizzato per il cambio password è anche abbasta semplice rispetto ad altri exploit che ha scritto per dei bug trovati in passato.
Ovviamente ha sempre fatto presente il tutto ai vari supporti, se ne avesse approfittato a quest'ora potrebbe essere ad Antigua a sorseggiare un drink in spiaggia .

[FlameNetworks]

Penso che il gestore del servizio sia abbastanza conosciuto, il livello degli applicativi non posso giudicarli non avendoli neanche provati (e comunque non che mi ritenga tanto esperto per giudicare il lavoro fatto su una piattaforma di tale portata ), posso solo giudicare che con un metodo un pò banale si possa accedere ad una webmail.

Pensavo ti riferissi al livello del servizio televisivo, pardon.
Sul servizio offerto dall'azienda, poichè ignota, non posso pronunciarmi.

@guest, Flame Networks: concordo sul fatto che ci siano comunque fior di sviluppatori che progettano e studiano tutta la struttura dell'applicazione. Sperando che tale cultura si diffonda un pò a tutti i livelli.

Lo spero anche io!

[mikypantas]

A quanto si legge in giro sembra che sia alice.it e secondo questo sito il bug è stato sistemato

[Antonio]

A quanto si legge in giro sembra che sia alice.it e secondo questo sito il bug è stato sistemato

Non ho provato la procedura ma sono sicuro sia alice/tim

Peccato che anche Golia delle iene non sappia che basta far vedere i primi 2 passaggi per far capire chiaramente quale metodo sia stato usato a chi sa come muoversi.

[Uno]

Non ho provato la procedura ma sono sicuro sia alice/tim

Io non lo so, comunque non ho mai usato la casella che mi hanno dato gratuitamente, non uso e non userò mai quella di poste.it (arriva già spam senza averla mai usata, immagino il resto) non richiedo quella certificata gratuita (tanto si può usare solo per cose "governative" e poi immagino già...)., e adesso non me ne vengono in mente altri.

Non mi fido di questi servizi, non ci appoggerei mai un home banking (per quanto non mandino nulla di compromettente per mail) etc...

Il problema non sono solo coloro che erogano i servizi, è anche l'ignoranza di chi li usa. Se la gente iniziasse a non usarli anche se gratuiti, dopo un pò penserebbero al perchè quegli informatici rimediati.

[Antonio]

Io non lo so, comunque non ho mai usato la casella che mi hanno dato gratuitamente, non uso e non userò mai quella di poste.it (arriva già spam senza averla mai usata, immagino il resto) non richiedo quella certificata gratuita (tanto si può usare solo per cose "governative" e poi immagino già...)., e adesso non me ne vengono in mente altri.

Non mi fido di questi servizi, non ci appoggerei mai un home banking (per quanto non mandino nulla di compromettente per mail) etc...

Il problema non sono solo coloro che erogano i servizi, è anche l'ignoranza di chi li usa. Se la gente iniziasse a non usarli anche se gratuiti, dopo un pò penserebbero al perchè quegli informatici rimediati.

No, forse non si è capito come potevi accedere a quella casella: basta sapere l'indirizzo email e niente altro. Poi modifichi la password giocando sul recupero password buggato.

Tu hai detto che hai messo adsl alice, con l'adsl ti danno una email per farti accedere all'area personale; bene, io sapendo il tuo indirizzo email potevo farmi i fatti tuoi e sarei stato più che felice se tu non usavi la casella, perché non ti accorgevi che io avevo cambiato pwd ed ero entrato

[Uno]

No, forse non si è capito come potevi accedere a quella casella: basta sapere l'indirizzo email e niente altro. Poi modifichi la password giocando sul recupero password buggato.

Tu hai detto che hai messo adsl alice, con l'adsl ti danno una email per farti accedere all'area personale; bene, io sapendo il tuo indirizzo email potevo farmi i fatti tuoi e sarei stato più che felice se tu non usavi la casella, perché non ti accorgevi che io avevo cambiato pwd ed ero entrato

No no.... ho capito come funziona il sistema del servizio delle iene, ma su quella casella non ci ricevo nulla, con quel profilo non ci puoi fare nulla (tranne mandare e ricevere mail e qalche stupidaggine sullo spazio disco) e anche se non l'uso ho impostato kmail per controllare la casella (anche quella di poste.it) una volta al giorno.
Quindi se tu mi cambiassi la password stai sicuro che il giorno dopo il 187 (anzi il 191 perchè quella di cui parlavo è quella dell'ufficio) avrebbe dei problemi.
Comunque dovrebbe essere difficile sapere il mio indirizzo... a differenza di quella di poste.it, ho un sottodominio personalizzato. O buchi tutto il sistema (come hanno fatto sicuramente su poste.it, se no non si spiega come fanno a sapere il mio indirizzo mai usato e scritto) o non puoi neanche tentare un brute force.

[mikypantas]

La cosa che ritengo paradossale, oltre a tutto quello che dice Uno (che condivido) è che sono caselle email vincolate in tutto al contratto che si stipula.

Quindi, oggi come oggi, con offerte di varie operatori che te ne fai di una mail alice.it che poi non puoi più usare se cambi gestore telefonico?

Gente che usa la casella email del proprio operatore come principale è un'assurdità a prescindere da ogni cosa...

[superjeff]

Voi come proteggete le vostre email?
Io ho l'incubo che entri qualcuno, recuperi la password chesso di ovh e mi formatti tutti i server che ho da loro

[xAnder]

superjeff, cambiando la password di default!

[superjeff]

Si ma ho caga che qualcuno mi sgami la password... chesso un trojian nel mio pc (osx).
Forse mi preoccupo troppo, ma c'è troppa roba in ballo!

[xAnder]

Cambia spesso password e non installare troian :-)

[WizOfOz]

Cambia spesso password e non installare troian :-)

e non frequentarle neanche