Un pizzico di open source a Ravenna

Il voto del Consiglio comunale avvicina il comune romagnolo alle piattaforme aperte. Primo passo: indagine conoscitiva, per capire se davvero conviene

Ravenna – Un Ordine del Giorno presentato dal consigliere comunale Andrea Maestri è stato approvato dal Consiglio comunale di Ravenna, una decisione che spiana la strada all’introduzione del software open source nelle infrastrutture informatiche del municipio romagnolo.

Il testo dell’Ordine del Giorno ( qui in.pdf) ricalca da vicino documenti analoghi che sono stati approvati in alcune altre città italiane nelle quali le amministrazioni comunali hanno iniziato a valutare la possibilità di abbracciare le piattaforme aperte.

Ad annunciare l’esito della decisione è stata la Free Software Alliance , associazione che ha applaudito la scelta di realizzare una indagine conoscitiva “sull’impiego delle risorse informatiche all’interno degli uffici comunali, tesa a verificare in concreto la possibilità di introdurre e/o diffondere l’utilizzo del software libero, alla luce dei benefici rilevabili in termini economici, di funzionalità e di promozione delle libertà fondamentali”.

Non solo. L’OdG approvato impegna anche a spingere l’open source nelle strutture scolastiche e accademiche locali e ad adottare formati aperti nelle comunicazioni con i cittadini.

L’OdG, contro cui ha votato contro soltanto Forza Italia, secondo Free Software Alliance può “incentivare le economie locali” nonché spingere anche altre realtà cittadine ad iniziare un cammino verso il software libero.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    stesso problema su saldo-lista movimenti
    la natura del problema è simile a quella segnalata per i dati dell'utente, e c'è la maniera di visualizzare la lista movimenti od il saldo di un altro correntista.Credo che chiuderò il mio conto...:'(
  • Anonimo scrive:
    Non è casuale!
    L'anomalia è sistematica, volendo si può accedere ai dati di un correntista qualsiasi, in qualsiasi momento lo si voglia fare. Basta possedere un account poste.it.Ovviamente non dirò in questa sede il come fare, ma è drammaticamente semplice.
  • Anonimo scrive:
    ma che usano? jsp, php, asp?
    cosa?
  • theDRaKKaR scrive:
    Re: ho inviato questa email alle Poste
    non ho intenzione di agire per vie legalisemplicemente chiudo il conto e lo apro presso un'altra banca
  • Anonimo scrive:
    il multithreading?
    questo mi sa tanto di multithreading non sincronizzato ... ecco perché é casuale!? ....comunque anche io ... purtroppo mi sono registrato su poste.it la scorsa settimana!!!! SIGH!!!!!:'(
    • Anonimo scrive:
      Re: il multithreading?
      - Scritto da: Anonimo
      questo mi sa tanto di multithreading non
      sincronizzato ... ecco perché
      é casuale!? ....comunque anche io ...
      purtroppo mi sono registrato su poste.it la
      scorsa settimana!!!! SIGH!!!!!:'(Che piattaforma usano? Jsp, php asp .net??
    • Anonimo scrive:
      Re: il multithreading?
      - Scritto da: Anonimo
      questo mi sa tanto di multithreading non
      sincronizzato ... ecco perché
      é casuale!? ....comunque anche io ...
      purtroppo mi sono registrato su poste.it la
      scorsa settimana!!!! SIGH!!!!!:'(Non c'entra niente.
  • Anonimo scrive:
    Re: ho inviato questa email alle Poste
    ma non fare l'esagerato........non capisco tutto questo accanimento....poi se vuoi chiudere con i prodotti citati fallo pure...ma hai fatto i conti quanto di costa un conto corrente in banca ?? alla fine chi ci rimette sei TUUUUU rifletti e medita prima di fare azioni avventate ......
    • theDRaKKaR scrive:
      Re: ho inviato questa email alle Poste
      temo solo per la sicurezza del mio contoinoltre ho già visionato offerte di banche equipollenti a quella di bancopostasaluti
      • Anonimo scrive:
        Re: ho inviato questa email alle Poste
        Mah....comunque pensaci bene, io ho già avuto esperienza con banche varie, ma mi è risultato sempre difficile trovare un servizio all'altezza di quello di poste...Poi questo problema del bug.....mi piacerebbe sapere se chi l'ha scoperto ha agito in buona fede o è andato proprio alla ricerca della "probabile" falla...in questo caso dovresti pensare al fatto che chi ha svolto tale azione ha agito con il preciso scopo di danneggiare poste e quindi ottenere ciò che stà ottenendo con te....Ripeto, rifletti prima di agire..
        • theDRaKKaR scrive:
          Re: ho inviato questa email alle Poste
          tutte queste cose che dici, che potrebbero anche essere vere per carità, a me non interessanomi interessa solo che le Poste mi rassicurinose non lo fanno non sono serie e me ne vadoper quanto riguarda le altre offerte bancarie tieni presenti che devi un po' "approfondire" con i consulenti per ottenere condizioni agevolateciao
  • Anonimo scrive:
    la situazione è più grave
    di quanto sembri:c'è troppo omertà:
  • theDRaKKaR scrive:
    mi associo a tutti quelli che dicono di
    aspettare prima di trarre conclusionichi ha scritto qualcosa contro i prodotti microsoft ora è intellettualmente disonesto
    • Anonimo scrive:
      Re: mi associo a tutti quelli che dicono di
      - Scritto da: theDRaKKaR
      aspettare prima di trarre conclusioni

      chi ha scritto qualcosa contro i prodotti
      microsoft ora è intellettualmente
      disonesto Io direi stupido.Burp
  • Anonimo scrive:
    nessun comunicato dalle PosteItaliane?
    E le PosteItaliane che dicono?Io nella pagiandel loro sito dedicato ai comunicati stampa,http://www.poste.it/azienda/ufficiostampa/archivio.shtmlnon trovo nulla
  • Anonimo scrive:
    Mancano informazioni
    Questo baco da chi e' stato scoperto?Cosa fa?Non vorrei fosse un'altra delle solite pagliacciate messe in atto dalsistema bancario nazionale, per gettare fango su un servizio veramente alternativo e concorrenziale alla lobby delle banche.
    • Anonimo scrive:
      Re: Mancano informazioni
      Calma e pazienza, io sono una di quelle persone che ha inviato l' e-mail di avviso a punto informatico e ha riscontrato la falla nel sito.Intanto prima di comunicare qulasiasi cosa è necessario che il problema venga risolto dal sito Poste.it, successivamente che l'azienda emetta un comunicato di scuse ufficiali ( le scuse nei confronti di noi utenti mi sembrano più che ovvie).Poi dopo ( nel giro di una settimana circa) prometto che se non lo farà Poste italiane dirò io dove si è verificato il problema.Rimarco il fatto che non lo indicherò prima della sua risoluzione per non dare ulteriore spazio a delinquenti informatici di violare eventualmente la privacy di noi utenti di poste.it.Mi sembra una cosa corretta comunque il fatto che siano loro a indicarlo e dire che in quel determinato servizio il problema è stato risolto, fare diversamente sarebbe alquanto disonesto nei nostri confronti, speriamo bene!.
      • Anonimo scrive:
        Re: Mancano informazioni

        Rimarco il fatto che non lo indicherò
        prima della sua risoluzione per non dare
        ulteriore spazio a delinquenti informatici
        di violare eventualmente la privacy di noi
        utenti di poste.it.Ma a rischio c'e' solo la privacy dell'utente oppure anchei suoi soldi?
  • Anonimo scrive:
    fiumi di parole
    Fiumi di parole e commenti sono già stati spesi su questa micro-notizia, ovvero una notizia della quale non si sa pressochè nessun dettaglio.Ah, usano Microsoft, ecco perchè c'è un buco... evvai... non si sa nemmeno se il buco riguarda www.poste.it (che gira su Solaris) o se riguarda bancoposta.it che gira su NT4. Ah, è l'admin che è un admin di serie B, non sa fare il suo lavoro, chissà quanto lo pagano coi soldi nostri, dei contribuenti (con le poste privatizzate) o della ditta DPer favore, la notizia è fortemente incompleta, prima di fare commenti almeno aspettiamo che siano rivelati i dettagli... se no sembra il solito forum dove la gente polemizza per il semplice gusto di farlo (come quei geniali post di qualche giorno fa sull'adsl dei tizi che non sapevano neanche la differenza tra kb/s e kB/s e tra DSL e ADSL)
  • Anonimo scrive:
    Usano Micro$oft
    Che ci si aspettava da un sistema informativo completamente basato su Window$?Chissa' quanti bachi dovranno ancora venire.Ma soprattutto se accorto nessuno della lentezza nell'uso? Manco fosse eBay che ha pero' miliardi di contatti al giorno in piu'.
    • Anonimo scrive:
      Re: Usano Micro$oft
      - Scritto da: Anonimo
      Che ci si aspettava da un sistema
      informativo completamente basato su Window$?http://uptime.netcraft.com/up/graph/?host=www.poste.it
      • Anonimo scrive:
        Re: Usano Micro$oft
        - Scritto da: Anonimo

        - Scritto da: Anonimo

        Che ci si aspettava da un sistema

        informativo completamente basato su
        Window$?

        uptime.netcraft.com/up/graph/?host=www.poste.Quello e' il web e webservices server. I server "interni" sono Windows NT 4 e 2000 Server e da un po' hanno aggiunto qualche 2003 Server.Un web server con tecnologia Window$ non e' in grado di resistere alla quantita' di richieste di un sito come quello delle poste.
        • Anonimo scrive:
          Re: Usano Micro$oft

          Quello e' il web e webservices server. I
          server "interni" sono Windows NT 4 e 2000
          Server e da un po' hanno aggiunto qualche
          2003 Server.
          Un web server con tecnologia Window$ non e'
          in grado di resistere alla quantita' di
          richieste di un sito come quello delle
          poste.
          AHAHAHAHHApero' puo' resisrtere a carichi ben piu' pesanti come quello dei bollettini online...o dei telegrammi...dai torna a giocare con la play2 che ci fai una miglior figura
        • Anonimo scrive:
          Re: Usano Micro$oft
          - Scritto da: Anonimo

          - Scritto da: Anonimo



          - Scritto da: Anonimo


          Che ci si aspettava da un sistema


          informativo completamente basato su

          Window$?




          uptime.netcraft.com/up/graph/?host=www.poste.

          Quello e' il web e webservices server. I
          server "interni" sono Windows NT 4 e 2000
          Server e da un po' hanno aggiunto qualche
          2003 Server.
          Un web server con tecnologia Window$ non e'
          in grado di resistere alla quantita' di
          richieste di un sito come quello delle
          poste.
          infatti il portalone di MSN sta su un server apacheahahhhahhahahhahahhainternet e troppo libera, permette anche agli ignurant di esprimere il loro parere
    • Anonimo scrive:
      Re: Usano Micro$oft
      - Scritto da: Anonimo
      Che ci si aspettava da un sistema
      informativo completamente basato su Window$?

      Chissa' quanti bachi dovranno ancora venire.
      Sebbene io abbia una pessima opinione di MS riguardo alla sicurezza, specialmente nei confronti di IIS, sono più portato a credere che in questo caso ci sia un "errore umano" alla base, tipo una mancata verifica di qualche parametro.Purtroppo spesso i tempi stretti e la poca competenza dei "programmatori web" provocano questi danni. Se fosse stato usato con criterio uno strumento di testing automatico (es: httpunit) per verificare la sicurezza del sito, probabilmente queste cose non sarebbero successe
    • deltree scrive:
      Re: Usano Micro$oft
      Sei un genio, peccato non usino MS :)
      • peterpunk scrive:
        Re: Usano Micro$oft
        - Scritto da: deltree
        Sei un genio, peccato non usino MS :)
        Certo che sì, invece.Da qualche altra parte, su questo forum, qualcuno ha già fatto notare che la gestione online dei conti correnti postali avviene su http://www.bancopostaonline.it :http://uptime.netcraft.com/up/graph/?host=www.bancopostaonline.ithttp://www.bancopostaonline.it was running unknown on NT4/Windows 98 when last queried at 25-Oct-2004 09:23:34 GMT.NT4, dunque.Proprio come Diebold, la società incaricata di gestire il voto elettronico alle prossime elezioni presidenziali USA del 2 novembre, che continua a far funzionare il proprio sito Web pubblico - http://www.diebold.com - su Windows NT4 che Micro$oft ha ufficialmente ritirato nel 2001, in attesa di dismetterlo definitivamente e completamente il 31 dicembre.http://news.netcraft.com/archives/2004/10/18/diebold_among_sites_still_running_windows_nt4.htmlSaluti,peterpunk
    • Anonimo scrive:
      Re: Usano Micro$oft
      si ma proteggono con checkpoint e nokia, e lì il problema, sono i migliori firewall, imho, ma hanno dei tecnici super ciuck, hanno il secure remote in listen con l'ike aggressive open, insomma hanno le strutture ma non i tecnici, sono tutto in outsource.....e poi, anche se non ho provato ma secondo me, se metti i dati di una poste pay che non è tua (basta sapere il numero) vedi anche le transazione degli altri....insomma qui si dice che microsoft fa schifo, mentre io dico che è l'admin che fa schifo....grosse strutture grosse falle....
      • Anonimo scrive:
        Re: Usano Micro$oft

        e poi, anche se non ho provato ma secondo
        me, se metti i dati di una poste pay che non
        è tua (basta sapere il numero) vedi
        anche le transazione degli altri....Assolutamente falso. Ci mancherebbe altro che sipotesse fare una cosa del genere.Smettete di sparare queste minchiate per favore.
        • Anonimo scrive:
          sarebbe ben altra cosa
          - Scritto da: Anonimo


          e poi, anche se non ho provato ma

          secondo me, se metti i dati di una

          poste pay che non è tua (basta

          sapere il numero) vedi

          anche le transazione degli altri....

          Assolutamente falso. Ci mancherebbe altro
          che si
          potesse fare una cosa del genere.
          Smettete di sparare queste minchiate per
          favore.Già, sarebbe una cosa ben diversa (ben diversa, ma sarebbe anche saltata fuori decisamente prima)
          • Anonimo scrive:
            Re: sarebbe ben altra cosa
            infatti.....qui c'è bisogno di una camomilla forte per tutti....
  • Funz scrive:
    Mi ero registrato l'altro ieri
    Ma porca! :'(
    • theDRaKKaR scrive:
      Re: Mi ero registrato l'altro ieri
      beh dai stai calmoio oltre ad essere iscritto a Poste.it usao anche BancoPostaOnLine e per ora (facciamo gli scongiuri) non mi mai capitato nulla di dannososono fiduciosociao
  • Anonimo scrive:
    ma e' facile scoprirne la causa !!!
    sistema informatico by Microsoft, ecco la causa.
    • SyS64738 scrive:
      Re: ma e' facile scoprirne la causa !!!
      Io invece scommetto che Microsoft non c'entra nulla. Ci mettiamo i tuoi zebedei che e' un errore procedurale?
      • Anonimo scrive:
        Re: ma e' facile scoprirne la causa !!!
        - Scritto da: SyS64738
        Io invece scommetto che Microsoft non
        c'entra nulla.
        Ci mettiamo i tuoi zebedei che e' un errore
        procedurale?Può darsi, ma PosteItaliane.it non è nuovo a gravi problemi di sicurezza e in precedenti occasioni il "buco" era strettamente legato alle falle del sistema Microsoft. Ci mettiamo i tuoi zebedei che col passaggio all'open source episodi di questo tipo diventerebbero molto più rari?P.S. Non sono quello che ha aperto il thread.
        • Anonimo scrive:
          Re: ma e' facile scoprirne la causa !!!
          quoto: "Ci mettiamo i tuoi zebedei che col passaggio all'open source episodi di questo tipo diventerebbero molto più rari?"Ce li metto eccome! Infatti i bachi procedurali sono indipendenti dalla piattaforma OS/Webserver utilizzati. E oggi, piu' del 70% delle intrusioni avviene proprio grazie a bachi procedurali.Ti faccio un esempio: io mi immagino (immagino poiche' non essendo utente delle Poste non posso controllare) che il buco procedurale sia uan roba del gerenel'utente si autentica e quando visualizza i sui dati la procedura dinamica produce un URL simile a questo.www.poste.it/areautenti/visualizzaconto/visualizza.php&idutente=123456 laddove 123456 e' il codice utente generato al momento del login. E' sufficente cambiare "a manina" l'identificativo utente nell' url per accedere, saltando le procedure di login, ai dati di un altro utente.Come vedi, Windows o Linux in questo caso non c'entrano nulla ed i miei zebedei sono salvi.I tuoi un po meno...
          • Anonimo scrive:
            Re: ma e' facile scoprirne la causa !!!
            se fosse veramente così sarebbero da picchiare col macete...è un errore che può essere commesso solo da un programmatore alle prime armi...
          • Anonimo scrive:
            Re: ma e' facile scoprirne la causa !!!
            Infatti per il discorso del Body Rental, Poste Italiane avrà preso dalla società A un programmatore SENIOR con 20 anni di esperienza, mentre la società A dalla società B aveva preso il programmatore SENIOR con 10 anni di esperienza, la società B ha invece preso lo stesso programmatore JUNIOR con 5 anni di esperienza dalla società C che lo aveva preso dalla società D che gli aveva appena fatto fare un corso di programmazione di 2 settimane presso la società E.In pratica quello che ci ha messo le mani era un incompetente, ahimè...ma era stato venduto come "la soluzione di tutti i mali" e come "uomo dalla grandissima esperienza" ed eccone i risultati...ovviamente il programmatore ha guadagnato 200 euro ma d'altra parte lui veniva pagato da D, mica dalle poste ;)
          • Anonimo scrive:
            Re: ma e' facile scoprirne la causa !!!
            - Scritto da: Anonimo
            Infatti per il discorso del Body Rental,
            Poste Italiane avrà preso dalla
            società A un programmatore SENIOR con
            20 anni di esperienza, mentre la
            società A dalla società B
            aveva preso il programmatore SENIOR con 10
            anni di esperienza, la società B ha
            invece preso lo stesso programmatore JUNIOR
            con 5 anni di esperienza dalla
            società C che lo aveva preso dalla
            società D che gli aveva appena fatto
            fare un corso di programmazione di 2
            settimane presso la società E.
            In pratica quello che ci ha messo le mani
            era un incompetente, ahimè...ma era
            stato venduto come "la soluzione di tutti i
            mali" e come "uomo dalla grandissima
            esperienza" ed eccone i
            risultati...ovviamente il programmatore ha
            guadagnato 200 euro ma d'altra parte lui
            veniva pagato da D, mica dalle poste ;)quoto tutto.per non parlare dei db administrator o system administrator, che l'unica cosa che riescono ad amministrare è l'impulso di andare in bagno.sono un consulente e nuoto in varie realta, anche di altissimo livello, luoghi dove dovrebbero girare solo guru, ed invece, grandi sistemi vengono dati in mano a perfetti incompetenti, venduti o spaciati per guru.ad esempio io lavoro tranquillamente con db oracle sql server ecc..., ma o sempre evitato di rispondere ad annunci lavorativi dove si richiedevano capacità di db administrator.dopo aver visto le capacita di alcuni di essi impiegati e strapagati presso una enorme societa nostrana (sing sing), ora non mi faccio più nessuna paranoia.bye
          • Anonimo scrive:
            Re: ma e' facile scoprirne la causa !!!

            quoto tutto.

            per non parlare dei db administrator o
            system administrator, che l'unica cosa che
            riescono ad amministrare è l'impulso
            di andare in bagno.

            sono un consulente e nuoto in varie realta,
            anche di altissimo livello, luoghi dove
            dovrebbero girare solo guru, ed invece,
            grandi sistemi vengono dati in mano a
            perfetti incompetenti, venduti o spaciati
            per guru.Ah, sei un consulente. Io invece ho visto la gran parte dei consulenti, pure strapagati, fare dei danni anche grossi e poi correre da me system administrator e piangere in greco perchè io gli rimettessi le cose a posto. Ma guarda sto fenomeno....
          • Anonimo scrive:
            Re: ma e' facile scoprirne la causa !!!
            al di là del tuo gergo che sembra molto più consono ad un cerebroleso, prova ad esporre i tuoi concetti senza caderesempre nella fastidiosissima abitudine di generalizzare.Probabile che cresci in questo modo... :|
          • SyS64738 scrive:
            Re: ma e' facile scoprirne la causa !!!
            Invece purtroppo e' un errore molto diffuso, te ne do un esempio, utilizzando proprio il forum di punto informatico.Quando ho visualizzato il tuo ultimo messaggio, nell' url e' comparso questo: http://punto-informatico.it/forum/pol.asp?mid=780541 ora se modifichi a manina quel numero, scopri che puoi fare browsing dei commenti nel forum saltando la procedura di indice, direttamente dall' URL.Chiaramente, nel caso di questo forum, il saltare da un messaggio all' altro da URL non viene considerato un problema, PERO' IL CONCETTO E' LO STESSO.Mi accorgo ora mentre scrivo, che la mia finestra di composizione messaggio riporta nell' URL:http://punto-informatico.it/forum/pocf.asp?tid=780541&tfid=2"e=no A questo punto, una mente smaliziata avrebbe gia' pensato a verificare il funzionamento della variabile tfid, mentre il resto dell' url e' abbastanza chiaro.tfid=2..... uhmmmmmfermiamoci qua.==================================Modificato dall'autore il 25/10/2004 8.45.42==================================Modificato dall'autore il 25/10/2004 8.46.14==================================Modificato dall'autore il 25/10/2004 8.46.57
          • Anonimo scrive:
            Re: ma e' facile scoprirne la causa !!!
            - Scritto da: SyS64738
            Invece purtroppo e' un errore molto diffuso,
            te ne do un esempio, utilizzando proprio il
            forum di punto informatico.

            Quando ho visualizzato il tuo ultimo
            messaggio, nell' url e' comparso questo:

            punto-informatico.it/forum/pol.asp?mid=780541Hai reso l'idea, ma in PHP o in ASP o usando anche altri linguaggi di script esiste il concetto di sessione protetta e di autenticazione. Se tu prima ti autentichi e stabilisci una sessione, quello che stai dicendo adesso non vale più.
          • SyS64738 scrive:
            Re: ma e' facile scoprirne la causa !!!
            Errore!Al concetto che ti ho esposto prima, laddove tu applichi delle sessioni di autenticazione, si affiancano altre due tecniche:- sql injection (se la procedura interagisce con un database e non e' opportunamente filtrata)- file inclusion (ovvero esecuzione arbitraria di script remoto sul server locale)il tutto in barba alle sessioni di autenticazione.Ora vorrei evitare di far diventare questo thread un corso di hacking, (cracking per quelli che ci tengono alla forma, tipo Elwood) volevo solo evidenziare degli errori di approccio nel giudicare il caso specifico.
          • Anonimo scrive:
            Re: ma e' facile scoprirne la causa !!!
            prova
          • Anonimo scrive:
            Re: ma e' facile scoprirne la causa !!!
            - Scritto da: SyS64738
            Errore!
            Al concetto che ti ho esposto prima, laddove
            tu applichi delle sessioni di
            autenticazione, si affiancano altre due
            tecniche:

            - sql injection (se la procedura interagisce
            con un database e non e' opportunamente
            filtrata)

            - file inclusion (ovvero esecuzione
            arbitraria di script remoto sul server
            locale)E' vero ma ... un programmatore attento dovrebbe verificare gli argomenti POST e GET passati alla pagina proprio per evitare i problemi da te elencati.Inoltre un modulino poco noto ma molto utile di apache aiuta a coprire eventuali buchi lasciati aperti: www.modsecurity.org
          • Anonimo scrive:
            Re: ma e' facile scoprirne la causa !!!
            - Scritto da: SyS64738
            Errore!
            Al concetto che ti ho esposto prima, laddove
            tu applichi delle sessioni di
            autenticazione, si affiancano altre due
            tecniche:

            - sql injection (se la procedura interagisce
            con un database e non e' opportunamente
            filtrata)

            - file inclusion (ovvero esecuzione
            arbitraria di script remoto sul server
            locale)

            il tutto in barba alle sessioni di
            autenticazione.
            Ora vorrei evitare di far diventare questo
            thread un corso di hacking, (cracking per
            quelli che ci tengono alla forma, tipo
            Elwood) volevo solo evidenziare degli errori
            di approccio nel giudicare il caso
            specifico.Il nick, gli argomenti e la spocchia rivelano tutto: un dilettante che si diverte a mettere nei guai altri dilettanti.sql injection... tecniche da nerd...
          • Giambo scrive:
            Re: ma e' facile scoprirne la causa !!!
            - Scritto da: Anonimo
            sql injection... tecniche da nerd...Uh-uh, e' arrivato il genio, sentiamo cosa ha da proporci ...
          • Anonimo scrive:
            Re: ma e' facile scoprirne la causa !!!
            - Scritto da: Giambo

            - Scritto da: Anonimo


            sql injection... tecniche da nerd...

            Uh-uh, e' arrivato il genio, sentiamo cosa
            ha da proporci ...Veramente e' il contrario, sono io che contesto l'uso di paroloni che nascondono poi quattro tecniche da programmatoricchi.Io non propongo nulla. Prendo sul serio il mio lavoro. Tranquillizzati, che non siamo da Maria.
          • Giambo scrive:
            Re: ma e' facile scoprirne la causa !!!
            - Scritto da: Anonimo


            sql injection... tecniche da
            nerd...



            Uh-uh, e' arrivato il genio, sentiamo
            cosa

            ha da proporci ...
            Veramente e' il contrario, sono io che
            contesto l'uso di paroloni che nascondono
            poi quattro tecniche da programmatoricchi.Sul fatto che l'SQL-injection sia una tecnica "triviale" mi trovi d'accordo, ma non per questo e' poco efficace. Anzi, credo che abbia uno dei rapporti efficacia/trivialita' piu' grande (Dopo le password di amministrazione stile "sesso", "1234", ... :-)))
            Tranquillizzati, che non siamo da Maria.Dio, Odino e Maometto ce ne scampi :| !
          • Anonimo scrive:
            Re: ma e' facile scoprirne la causa !!!
            - Scritto da: Giambo
            Sul fatto che l'SQL-injection sia una
            tecnica "triviale" mi trovi d'accordo, ma
            non per questo e' poco efficace. Anzi, credo
            che abbia uno dei rapporti
            efficacia/trivialita' piu' grande (Dopo le
            password di amministrazione stile "sesso",
            "1234", ... :)))Si' la tecnica in se' e' anche abbastanza sofisticata, ma si basa sul fatto che il codice SQL si trovi nelle pagine ASP/JSP/PHP ecc ecc, e/o (peggio ancora) che le interrogazioni vengano costruite concatenando SQL e parametri (tipo "WHERE user=" + strUser + " AND " ecc).Queste due bestemmie qualificano chi ha creato la pagina e chi crede di essere hacker superando cotante barriere.CiaoPiero
          • Anonimo scrive:
            Di chi è la responsabilità?

            se fosse veramente così sarebbero da
            picchiare col macete...Ne dubito,perché l'articolo di punto-infromatico (che pur non dando -GIUSTAMENTE- dettagli su come sfruttare il problema, non rinuncia all'informazione e alla PRECISONE)spiega che:"non sembra possibile accedere ai dati di più di un altro utente per ogni registrazione alle pagine dei servizi"per cui non può essere una cosa così banale.
            è un errore che può essere
            commesso solo da un programmatore alle prime
            armi...Ma la responsabilità sarebbe del programmatore?O è chi commisssiona (=Poste italaine) al programatore il sito o quei servizi che dovrebbe controllare che il sito realizzato sia conforme alle esigenze di sicurezza e di tutela che LORO devono garantire.con questo non volgio dire che non stia alla serietà e professionalità del programamtore garantire che uttto fuznioni corettamente, ma ANCHE e SOPRATTUTTO a chi sta sopra di lui.(Forse il discorso mi è venuto un po' contorto.In breve: può essere graveche il programmatore sbagli. Ma è certamente più grave che nessuno sopra di lui controlli, pensando che il programmatore sia infallibileanche eprché altriemnti non si cpairebbe perché [voce di Fantozzi=ON] il Maga-Arci-Direttore-Generale alla sicurezza guadagni "immensamente" di più del semplcie programmatore).
          • Anonimo scrive:
            Re: Di chi è la responsabilità?

            In breve: può essere graveche il
            programmatore sbagli.Piu' che grave direi umano.
            Fantozzi=ON] il Maga-Arci-Direttore-Generale
            alla sicurezza guadagni "immensamente" di
            più del semplcie programmatore).Perche' come in tutte le cose chi si sporca le mani guadagna sempre meno di chi non lo fa (tranne quelliche ripuliscono le fogne, 150Euro l'ora!!!).
    • SyS64738 scrive:
      Re: ma e' facile scoprirne la causa !!!
      Ti ho risposto nel thread per cio' che concerne il tuo errore di concetto di attribuire la causa a Microsoft.Apro un altro thread per insegnarti qualcosa sullo stile.Regola prima: prima di parlare, verificare.Tu dici che e' colpa di Microsoft?Bene andiamo a verificare:http://uptime.netcraft.com/up/graph/?host=www.poste.itOhhhhh....toh! Utilizzano Netscape Enterprise su ....Solaris 8!E un uccellino mi dice che quel Solaris 8 non e' il firewall che sta davanti alla macchina bensi' il server vero e proprio.Ora, se sei onesto, devi rispondere a questo messaggio, postando la frase: "ma e' facile scoprire la causa, e' colpa di Solaris, che e' parzialmente una copia di Linux!
      • malex scrive:
        Re: ma e' facile scoprirne la causa !!!

        Ora, se sei onesto, devi rispondere a questo
        messaggio, postando la frase: "ma e' facile
        scoprire la causa, e' colpa di Solaris, che
        e' parzialmente una copia di Linux!Prima di scrivere minchiate, verificare.Solaris, alias SunOS, esiste dal 1982. La prima versione di Linux risale al 1991. Vedi http://www.levenez.com/unix/history.html
        • Anonimo scrive:
          Re: ma e' facile scoprirne la causa !!!
          - Scritto da: malex
          Prima di scrivere minchiate, verificare.
          Solaris, alias SunOS, esiste dal 1982. La
          prima versione di Linux risale al 1991.
          Vedi www.levenez.com/unix/history.html ehehhehe, grazie :)
        • Anonimo scrive:
          Re: ma e' facile scoprirne la causa !!!
          Lo faccio. Sempre. Forse mi sono spiegato male.http://www.techweb.com/wire/26804390http://www.nwfusion.com/news/2004/0303scosues.htmle' in corso infatti una causa tra SCO e il mondo utente Linux, in base alla quale porzioni di codice Unix originario SCO siano incluse nel source di Linux.Ergo e' la stessa SCO che dice che Solaris e' un po' Linux , o Linux e' un po' Solaris.
          • Giambo scrive:
            Re: ma e' facile scoprirne la causa !!!
            - Scritto da: Anonimo
            e' in corso infatti una causa tra SCO e il
            mondo utente Linux,Io sono utente Linux ma non ne so' nulla di questa causa.Non e' che ti confondi con IBM ?
            Ergo e' la stessa SCO che dice che Solaris
            e' un po' Linux , o Linux e' un po' Solaris.SCO ha la credilita' di Hitler e la sua "Wunderwaffe" quando gli alleati bussavano alle porte di Berlino.O, per restare in tema, ha la credibilita' di Blair sulle armi di distruzione di massa in Iraq :-D
          • Anonimo scrive:
            Re: ma e' facile scoprirne la causa !!!
            - Scritto da: Anonimo
            e' in corso infatti una causa tra SCO e il
            mondo utente Linux, in base alla quale
            porzioni di codice Unix originario SCO siano
            incluse nel source di Linux.Perche' non torni a scuola ad imparare un italiano corretto?
            Ergo e' la stessa SCO che dice che Solaris
            e' un po' Linux , o Linux e' un po' Solaris.SCO non accusa il mondo Linux ma IBM di aver dato alla comunita' Linux tecnologie sviluppate sul suo Unix (AIX).Fatto sta che tutte le prove che ha portato sono state smentite e non e' riuscita a dimostrare nulla.Finche' non sara' un tribunale e dei tecnici a dirlo cio' che dice SCO e' falso.
      • Anonimo scrive:
        Re: ma e' facile scoprirne la causa !!!
        Gia', peccato che:http://bancopostaonline.poste.it was running unknown on NT4/Windows 98 when last queried at 25-Oct-2004 08:22:01 GMT - refresh now ehttp://bancopostaimpreseonline.poste.it was running Microsoft-IIS on Windows 2000 when last queried at 25-Oct-2004 08:28:20 GMT - refresh now che vuoi farci, e' un mondo difficile... senza contare che i servizi su bancopostaimpresaonlain non e' utilizzabile se non con M$ IE: inondateli di proteste, altro che accessibilita'...Zeit
        • Anonimo scrive:
          Re: ma e' facile scoprirne la causa !!!
          E' vero che Bancoposta usa tecnologia Microsoft, ma i servizi online Bancoposta sono perfettamente utilizzabili anche con Mozilla Suite o Mozilla Firefox, anche su Linux. Lamentare disservizi e trascuratezza va bene, ma non esageriamo.
          • Anonimo scrive:
            Re: ma e' facile scoprirne la causa !!!
            ribadisco: e' *bancopostaimpresaonlain* che non funziona con browser diversi da IE; nella fattispecie semplicemente il menu' delle operazioni non viene visualizzato. Stranamente bancoposta per privati non soffre dello stesso problema. Zeit
    • Anonimo scrive:
      Re: ma e' facile scoprirne la causa !!!
      Per favore, certe sparatine potreste tenerle per voi?Potreste anche aver ragione, ma così scatenate un vespaio e basta.La causa é quanche programmatore.E basta.
    • deltree scrive:
      Re: ma e' facile scoprirne la causa !!!
      Si il nuovissimo Windows Stealth edition che si maschera da solaris 8 :)
    • Anonimo scrive:
      Re: ma e' facile scoprirne la causa !!!
      - Scritto da: Anonimo
      sistema informatico by Microsoft, ecco la
      causa.il sistema operativo usato nelle pagine della falla è solaris... e non microsoftecco, ti meriti un bel (troll)
    • Anonimo scrive:
      Re: ma e' facile scoprirne la causa !!!
      Non ho capito perchè il moderatore non ha spostato questo messaggio nel forum dei troll
  • Anonimo scrive:
    Chi ha scoperto il bug?
    Chi e' il novello Cristoforo Colombo? :)
    • Anonimo scrive:
      Re: Chi ha scoperto il bug?
      - Scritto da: Anonimo
      Chi e' il novello Cristoforo Colombo? :)Ma soprattutto chi ha fatto il sito? Sulla base di cosa è stata scelta l'azienda che lo ha fatto? Chi ha deciso di scegliere questa azienda? La persona che ha deciso aveva le competenze per farlo? Chi pagerà i danni? Ci sarà qualcuno che pagerà?Ovviamente non ci sarà nessuna risposta a tutte le mie domande... benvenuti in ITALIA
      • Anonimo scrive:
        Re: Chi ha scoperto il bug?
        - Scritto da: Anonimo
        - Scritto da: Anonimo

        Chi e' il novello Cristoforo Colombo? :)

        Ma soprattutto chi ha fatto il sito? Sulla
        base di cosa è stata scelta l'azienda
        che lo ha fatto? Chi ha deciso di scegliere
        questa azienda? La persona che ha deciso
        aveva le competenze per farlo? Chi
        pagerà i danni? Ci sarà
        qualcuno che pagerà?
        Ovviamente non ci sarà nessuna
        risposta a tutte le mie domande... benvenuti
        in ITALIAue' calmati ! abbiamo parlato di BUG non di DANNI !non c'è stato nessuno danno fin'ora quindi non c'è bisogno che ti scaldi, fatti 'na cacomilla vah !
        • Anonimo scrive:
          Re: Chi ha scoperto il bug?
        • Anonimo scrive:
          Re: Chi ha scoperto il bug?
          - Scritto da: Anonimo

          - Scritto da: Anonimo

          - Scritto da: Anonimo


          Chi e' il novello Cristoforo
          Colombo? :)



          Ma soprattutto chi ha fatto il sito?
          Sulla

          base di cosa è stata scelta
          l'azienda

          che lo ha fatto? Chi ha deciso di
          scegliere

          questa azienda? La persona che ha deciso

          aveva le competenze per farlo? Chi

          pagerà i danni? Ci sarà

          qualcuno che pagerà?

          Ovviamente non ci sarà nessuna

          risposta a tutte le mie domande...
          benvenuti

          in ITALIA


          ue' calmati ! abbiamo parlato di BUG non di
          DANNI !

          non c'è stato nessuno danno fin'ora
          quindi non c'è bisogno che ti scaldi,
          fatti 'na camomilla vah !
          Certo, certo: aspetta che i tuoi dati (se sei iscritto a un servizio di quel tipo) finiscano casualmente nelle mani sbagliate e poi la camomilla la devi prendere tu, credimi ... Quoto, virgole comprese, le domande di cui sopra: ancora una volta l'informatica viene trattata alla stregua di discarica clientelare, come se si trattasse di una stravaganza per smanettoni e non di un settore vitale per il presente e il futuro.
          • Anonimo scrive:
            Re: Chi ha scoperto il bug?
            In effetti la cosa è parecchio grave.Sapere quale sia stato il problema sarebbe diritto di ogni cittadino interessato, visto che le Poste sono finanziate con i soldi di ogni contribuente. La mancanza di trasparenza è un limite alle possibilità di miglioramento.Andrea
          • Anonimo scrive:
            Re: Chi ha scoperto il bug?

            Sapere quale sia stato il problema sarebbe
            diritto di ogni cittadino interessato, visto
            che le Poste sono finanziate con i soldi di
            ogni contribuente. Veramente adesso le Poste Itlaiane sono una SPA privata.(anche se questo non esclude che ricevano soldi dallo Stato -e quidni nostri-. Come ha già scritto qualcuno: siamo in Italia)
          • Anonimo scrive:
            Re: Chi ha scoperto il bug?

            Veramente adesso le Poste Itlaiane sono una
            SPA privata.
            scusate se posto un altro emssaggio, ma non posso editare quello precedente. (sono lo stesso utnte di prima).http://www.poste.it/azienda/in baso a destraci sono informazioni sull'azienda.(non c'è scritto che è una s.p.a. , però ha un capitale versato ...)
    • Anonimo scrive:
      Re: Chi ha scoperto il bug?
      Calma e pazienza, io sono una di quelle persone che ha inviato l' e-mail di avviso a punto informatico e ha riscontrato la falla nel sito.Intanto prima di comunicare qulasiasi cosa è necessario che il problema venga risolto dal sito Poste.it, successivamente che l'azienda emetta un comunicato di scuse ufficiali ( le scuse nei confronti di noi utenti mi sembrano più che ovvie).Poi dopo ( nel giro di una settimana circa) prometto che se non lo farà Poste italiane dirò io dove si è verificato il problema.Rimarco il fatto che non lo indicherò prima della sua risoluzione per non dare ulteriore spazio a delinquenti informatici di violare eventualmente la privacy di noi utenti di poste.it.Mi sembra una cosa corretta comunque il fatto che siano loro a indicarlo e dire che in quel determinato servizio il problema è stato risolto, fare diversamente sarebbe alquanto disonesto nei nostri confronti, speriamo bene!.E non sono un Cristoforo Colombo, casomai sono uno sfortunato utente che è incappato nei tanti problemi di sicurezza informatici che affliggono il mondo della rete.
      • Anonimo scrive:
        Re: Chi ha scoperto il bug?
        e bravo il mio Colombo...sei stato uno dei primi ad inviare la mail a punto informatico....sei proprio bravo......Non venirme a dire però che è stato un puro caso....penso proprio, invece, che la tua sia stata un'azione mirata a cercare falle all'interno del sito per tentare di gettare fango su una delle più grandi realtà italiane...Mio caro colombo, se non mi sbaglio ... la ricerca di bugs all'interno di siti altrui è un'azione illecita..pertanto piuttosto che aspettarti un BRAVO da poste dovresti aspettarti una bella querela!!!!!!!!!Cerca di dedicarti ad altro nella vita......
        • Anonimo scrive:
          Re: Chi ha scoperto il bug?
          A pure illazioni preferirei non dare risposta, ma dato che questa è una delle prime volte che partecipo ad un Forum preferisco risponderti.Punto Primo: io sono un utente di poste.it, che ha semplicemente utilizzato un servizio a pagamento del loro sito. ( come d'altronde ho sempre fatto senza riscontrare mai nessun problema ), qualunque utente poteva ripetere quello che ho fatto io.Punto Secondo: mi aspetto una risposta ufficiale da parte loro con le loro scuse ( cosa che fino ad adesso non mi sembra sia avvenuta ).Punto Terzo: un problema grave è "un problema" e chiunque lo scopra che sia delinquente o meno è giusto che lo segnali, e quando lo segnala compie di certo un'opera positiva, non un ulteriore danno. ( Caso mai nel danno ci rimette l' azienda che ha sbagliato qualcosa! ). Ma in tutto questo ci guadagnano gli utenti che vengono tutelati a non usare temporaneamente i servizi che danno problemi!Punto Quarto: non risponderò più ad eventuali messaggi con illazioni senza senso ( scusami ma è proprio così! ) di qualsiasi tipo fatte da persone come te.Chi sbaglia deve rimediare e qualche volta paga, perdendo anche clienti, ma la prossima volta stai tranquillo che non commette lo stesso errore.
        • Anonimo scrive:
          Re: Chi ha scoperto il bug?
          - Scritto da: Anonimo
          Mio caro colombo, se non mi sbaglio ... la
          ricerca di bugs ricerca?lui magari l'ha *trovato*,ma se vuoi sostenere che lui l'abbia *ricercato* , sei tu a doverlo provare.
          all'interno di siti altrui
          è un'azione illecita..pertanto
          piuttosto che aspettarti un BRAVO da poste
          dovresti aspettarti una bella
          querela!!!!!!!!!Oddio, sto usando windows ...ieri mi si è piantato :-) , rischio qualcosa?
          • Anonimo scrive:
            Re: Chi ha scoperto il bug?
            trovato???????Mi sa proprio che il tuo amichetto si è diveritito a fare lo smanettone sul sito di poste, come viene confermato anche da PI :"...... Inoltre il problema si verifica in modo "random", casuale, rendendo così al momento ancor più difficile stabilire quale possa esserne la causa"Essendo random, o il tuo amico è particolarmente fortunato o se l'è cercata.....quindi non sarei molto sicuro sulla nobiltà del suo gesto....An vedi !!!!!!
          • Anonimo scrive:
            Re: Chi ha scoperto il bug?
            - Scritto da: Anonimo
            trovato???????
            Mi sa proprio che il tuo amichetto sipunto 1 : non è un mio maichetto (non so neppure chi sia)
            è diveritito a fare lo smanettone può anche darsi,ma finché qualcuno non riesce a dimostralo anche lui -sia mio amico o meno- ha diritto alla presunzione d'innocenza.
            sul sito di poste, come viene confermato
            anche da PI :
            "...... Inoltre il problema si verifica in
            modo "random", casuale, rendendo così
            al momento ancor più difficile
            stabilire quale possa esserne la causa"

            Essendo random, o il tuo amico è
            particolarmente fortunato o se l'è
            cercata.....quindi non sarei molto sicuro
            sulla nobiltà del suo gesto....

            An vedi !!!!!!secondo:Mi sa che c'è un problema d'incomrpensione linguisticaGuarda che RANDOM non significa"altamente improbabile, per cui devi provare migliia di volte se cerchi di provocarlo apposta" (a parte che persino nel caso "=estremamente improbabile" , la statistica insegna che non è IMPOSSIBILE che capiti i comunque alla prima occasione )Ma significa che si verifica "a caso", indipendentemente da un elemento che possa far sì che si verifichi necessariaemnte (o viceversa che non si verifichi).anzi questo rende ancor più difficile e improbabile (ma non impossibile) che qualcuno abbia fatto apposta a scoprilo.
Chiudi i commenti