gdr vulnerabili

gdr vulnerabili postato il 21/02/2010 16:19:28 nel forum programmazione, gdrcd, open source, hosting

Ciao! da questa mattina ho visitato due città discretamente conosciute e su entrambe ho trovato gravi vulnerabilità.
Sono già state segnalate ai rispettivi gestori.
Ma... i programmatori di queste land quanto tempo dedicano alla gestione della sicurezza delle stesse?!?

Sea of Conquest ↗
Vivi un'avventura tra i mari! Dal cuore del Mare del Diavolo, un paradiso piratesco brulicante di magia, tesori e avventure, salperai verso l'ignoto!

quota

Pagine → 1 2

donniee

SCRIVI

21/02/2010 16:36:51

Una sorta di domanda/critica verso i programmatori in generale. Alcuni errori sono talmente banali che mi sembra strano che al giorno d'oggi uno sviluppatore non ne sia a conoscenza

RAID Shadow Legends ↗
Plasma i tuoi eroi fino a farli diventare vere e proprie armi viventi e assembla i più epici gruppi d'assalto mai visti finora!

21/02/2010 16:40:51

donniee ha scritto: Una sorta di domanda/critica verso i programmatori in generale. Alcuni errori sono talmente banali che mi sembra strano che al giorno d'oggi uno sviluppatore non ne sia a conoscenza

Evidentemente no.
E la tua domanda è retorica.
Se avessero avuto tempo/interesse/capacità per farlo, l'avrebbero appunto fatto.

Gli hai segnalato la cosa, ora la palla è a loro.

Sursum Corda

quota

donniee

SCRIVI

21/02/2010 16:58:00

clemence ha scritto:
Evidentemente no.
E la tua domanda è retorica.
Se avessero avuto tempo/interesse/capacità per farlo, l'avrebbero appunto fatto.

Gli hai segnalato la cosa, ora la palla è a loro.

Essendo GDR-Online un sito di riferimento per questi giochi online mi sembrava giusto alzare una bandierina nel forum pubblico anche sul discorso sicurezza.. che non è da sottovalutare

Lineage II ↗
Entra in uno sconfinato mondo fantasy dominato da razze in contrasto tra loro. Scatena i tuoi poteri in uno dei Mmo più famosi al mondo!

21/02/2010 16:59:58

Comprensibile donniee.
Ma se guardi nel forum (quello sicurezza tra i primi) le segnalazioni non mancano.

Come ha fatto notare chi ha risposto dopo di me, più che segnalazioni servirebbero soluzioni, correttivi e aiuti concreti.

Altrimenti dire "non è sicuro" (cosa che hai fatto tu) è appunto cosa stranota e non serve a molto.
Bandierina alzata già da luuungo tempo :)

Sursum Corda

quota

donniee

SCRIVI

21/02/2010 17:07:35

blaccolo ha scritto: Il problema è sempre il solito.
Un programmatore spesso ne sa di web application security quanto Emanuele Filiberto di musica, e questo spesso porta alla creazione di codice performante ma poco sicuro.
Basta notare che gdrcd, il cms pbc per antonomasia, sia molto simile ad un groviera, salvo applicare patch su patch.
Se hai tempo, voglia, e soprattutto ne sei capace, credo faresti un grande favore a molti gestori correggendo le falle anche solo dei cms pbc in lista. Se invece era solo un modo di palesare le tue doti nel campo della sicurezza web ( delle quali resto scettico fino a prova contraria)... beh, clap clap, ma credo tu abbia riscoperto l'acqua calda.

Non mi sono pavoneggiato di essere un esperto di sicurezza, anzi. Conosco le tecniche di attacco basilari, che sono fra l'altro rese pubbliche sul web.
Mi preoccupa il fatto che un utente medio (quale me) malitenzionato (in questo caso no :)) possa provocare parecchi danni a queste città per una semplicissima mancanza dei programmatori

Sea of Conquest ↗
Vivi un'avventura tra i mari! Dal cuore del Mare del Diavolo, un paradiso piratesco brulicante di magia, tesori e avventure, salperai verso l'ignoto!

quota

vino_veritas

SCRIVI

21/02/2010 17:30:36

Scrivere patch su patch, per quanti gdr esistono (e soprattutto guardando il profilo del gestore medio) significa solo legittimare ad avere tutto pronto in un click, senza che il gestore si sbatta per cercare di capire in cosa la sua land fa acqua a livello di sicurezza, e quindi senza che egli possa agire capendo realmente ciò che sta facendo; tutto questo, ovviamente, in my humble opinion. Se una land è fatta bene, ovvero se chi la gestisce ha un certo livello di competenze, i problemi legati alla sicurezza sono affrontati e (si spera) risolti nel 99% dei casi.

World of Warship ↗
MMO gratuito con frenetiche battaglie navali ambientate nel ventesimo secolo. Salpa con la tua nave ed affronta i nemici!

quota

ghennadi72

SCRIVI

21/02/2010 18:14:53 e modificato da ghennadi72 il 21/02/2010 18:23:50

Mi viene anche da dire una cosa, che se si sa da anni che una determinata versione di un OS scaricabile da questo sito contiene dei bug gravi, e se sono state rilasciate delle patch funzionanti, forse varrebbe la pena aprire il file zippato dell'OS in questione, inserirci la patch e TOGLIERE la possibilità di scaricare la vecchia versione buggata, sostituendola con quella corretta.

Sfortunatamente a giudicare perlomeno dal tenore medio delle domande in sezione programmazione, l'aspirante gestore medio quando scarica gdr.cd o un qualunque altro pacchetto OS é convinto di fare qualcosa di simile a quando scarica IPB, o PHBB, Joomla o WordPress: cioé é convinto di scaricare una cosa che bene o male funziona, che ha un supporto da una comunità di sviluppatori e che periodicamente viene aggiornata e corretta. In sostanza, applicazioni come quelle di cui sopra (phbb, ipb, wordpress, etc), che non richiedono una comprensione se non minimale del codice per essere installate ed usate.

Sappiamo bene che non è questa la realtà degli OS scaricabili qui, ma se mi é consentito spezzare una lancia in difesa degli aspiranti gestori, va anche detto che é piuttosto insensato lasciare scaricabili versioni che si sa benissimo essere buggate e per le quali esistono delle patch, perchè questo é ovviamente disorientante. Proprio perchè il target della sezione download, ossia l'aspirante gestore medio, non é affatto un programmatore. Di solito é qualcuno che si é svegliato una mattina con un'idea in testa e ha deciso di farci sopra una land, magari dopo aver litigato con questa o quella gestione, e soprattutto é uno che spera di riuscire a farlo nel minor tempo possibile e facendo la minor fatica possibile. Così arriva qui e pensa che scaricare gdr-cd o accent o città virtuale gpl, sia un po' come scaricare joomla..

Non ci sono le energie e le risorse per aggiornare ogni volta i pacchetti buggati? Bene, nessuno chiede che gdr-online diventi una versione italica di sourceforge, però forse sarebbe carino evitare almeno di sfottere l'aspirante gestore di turno quando improvvisamente scopre che il pacchetto che ha scaricato nno funziona affatto come joomla o come invisionboard... e mostrarsi un po' meno supponenti nei confronti del newbie-gestore, visto che il materiale buggato se lo scarica da qui, non da un sito pirata.

ASoIaF - Il Grande Inverno GdR
https://www.ilgrandeinverno.it ↗
Not a cosplay by chat

quota

vino_veritas

SCRIVI

21/02/2010 18:22:58

blaccolo ha scritto:
Ma pretendere che un gestore si occupi in toto della sicurezza del proprio sito, mi pare una richiesta piuttosto folle.

A me non sembra affatto una richiesta folle.

RAID Shadow Legends ↗
Plasma i tuoi eroi fino a farli diventare vere e proprie armi viventi e assembla i più epici gruppi d'assalto mai visti finora!

quota

ghennadi72

SCRIVI

21/02/2010 18:29:14 e modificato da ghennadi72 il 21/02/2010 18:34:39

vino_veritas ha scritto: Scrivere patch su patch, per quanti gdr esistono (e soprattutto guardando il profilo del gestore medio) significa solo legittimare ad avere tutto pronto in un click, senza che il gestore si sbatta per cercare di capire in cosa la sua land fa acqua a livello di sicurezza, e quindi senza che egli possa agire capendo realmente ciò che sta facendo; tutto questo, ovviamente, in my humble opinion. Se una land è fatta bene, ovvero se chi la gestisce ha un certo livello di competenze, i problemi legati alla sicurezza sono affrontati e (si spera) risolti nel 99% dei casi.

Allora forse non si dovrebbero spacciare troppo facilmente certi pacchetti OS per "prodotti completi", quando si sa da anni che sono buggati all'inverosimile, perchè a casa mia "prodotto completo" (di chat, sistema gilde, sistema oggetti, strumenti di moderazione) significa una cosa che posso usare in *relativa* sicurezza senza dovermi preoccupare di correggere cose tanto stupide come il filtro sugli input degli utenti.

Soprattutto laddove siano state prodotte delle patch, che senso ha continuare a "spacciare" la versione buggata quando basterebbe aprire il file zippato e sostituire la/le pagine buggate con quelle corrette, anchè accumulare in un'unica sezione di download diecimila patch, contropatch, versioni parzialmente o totalmente (vedi gdrcd 5 inserito nella stessa sezione di gdr-cd 3) incompatibili tra loro e poi sfottere pure il newbie-gestore, che di norma non é affatto un programmatore, quando puntualmente arriva qui e comincia a far domande "ingenue" su questa o quella cosa che non funziona?

ASoIaF - Il Grande Inverno GdR
https://www.ilgrandeinverno.it ↗
Not a cosplay by chat

quota

vino_veritas

SCRIVI

21/02/2010 18:51:50

Infatti la penso esattamente così, ghennadi :-)
E per quanto riguarda il discorso di blaccolo, perdonami ma se reputo abbastanza becero il ragionamento "Siccome è troppo difficile per il gestore medio occuparsi di queste cose è meglio che non se ne occupi lui". Sappiamo tutti quanti che non è possibile ottenere il livello di sicurezza massimo da un'applicazione web, e allo stesso modo sappiamo che non ha molto senso trattare un gioco di ruolo come fosse il sito della banca più grande del mondo. Nell'ambito semi-professionale o addirittura dilettantistico, credo che le informazioni che un gestore può reperire sulla rete circa la sicurezza del proprio portale siano più che sufficienti a garantire un grado di sicurezza abbastanza elevato. Il problema è che a mio parere dovrebbero essere i gestori ad interessarsi di queste problematiche, e ad adottare opportune contromisure, e in questo ne va anche della serietà del gestore, che quando decide di aprire un gdr deve rendersi conto di avere una serie di responsabilità, non ultima quella della sicurezza dei dati inseriti dagli utenti.