Social bookmarking pericoloso
Da qualche mese si fa sempre più utilizzo dei servizi di social bookmarking come Segnalo o del.icio.us. Come già spiegato in un vecchio articolo sul social bookmarking, si tratta di servizi con i quali salvare e condividere la lista dei propri siti preferiti. E’ anche possibile consultare la lista dei siti degli altri utenti o cercare un sito per argomento.
In molti casi, però, l’uso sconsiderato dei servizi di social bookmarking può rivelarsi anche pericoloso, come viene rivelato in alcuni blog. Nell’articolo, attualmente non accessibile per motivi tecnici, viene citato il sito di gioco on-line clanbase.com, che permette di crearsi un profilo, un gruppo e parteciperare a varie competizioni.
Per identificarsi ed accedere al proprio profilo, occorre collegarsi al sito di clanbase.com ed inserire il proprio username e la propria password. Viene, tuttavia, fornito all’utente un indirizzo diretto (del tipo http://www.clanbase.com/news.php?qid=xxxxxxxxxxx) che, una volta aperto, identifica l’utente senza bisogno di fargli inserire i suoi dati. Si tratta di un codice identificativo che dovrebbe essere segreto.
Molti utenti stanno salvando nei social bookmarking il sito di clanbase. Quelli più distratti, identificati al servizio, hanno salvato delle pagine che, una volta aperte, identificano subito una persona. Se cercate su del.icio.us i link di clanbase, alcuni di questi identificano direttamente le persone che li aprono. Quando aggiungiamo un link in un servizio di social bookmarking controlliamo che non contenga dati identificativi, come codici segreti o password, nell’indirizzo della pagina.
Ottimo articolo!
P.s: Hai sbagliato a scrivere il titolo.
Aggiustato, grazie per la segnalazione.
Tutte stupidagini, non c’è niente di pericoloso nel social bookmarging… pirocolosi sono i coder che hanno fatto quel sito. Anche un programmatore alle prime armi sa che è rischioso passare username e password con variabili GET.
Ciao Mario,
non si tratta di stupidaggini (non ti offendere, ma si scrive con due g), ma di un problema reale. In attesa che i creatori del sito correggano questa funzionalità, che è voluta e che, quindi, penso non verrà rimossa, le persone possono proteggersi ricordandosi di inserire nel loro social bookmarking dei link che non contengono codici segreti.
Il sito clanbase è preso solo da esempio: in verità sono tanti i siti che permettono questa funzionalità o bug, che dir si voglia.
hai ragione sulle stupidaggini, ma l’articolo si sarebbe dovuto intitolare, pericolo per gli utenti clanbase. Questo bug una volta era comune a parecchi siti, e se fai una ricarca vedrai che due che ne soffrirono furono hotmail e yahoo, ma forse stiamo parlando di 7/8 anni fa… Vuoi uno spunto migliore e sicuramente più pericoloso? pensa che quei dati rimangono nella cache dei proxy attraverso i quali viene fatta la richiesta, anche se la connessione è fatta in https. Scrivere “Social bookmarking pericoloso” è un titolo, passami il termine, scandalistico. Hai scritto “in molti casi” e fai un solo esempio e neanche un sito che sia largamente conosciuto, sai perchè? perchè i grossi siti di servizio questo errore l’hanno già fatto anni fa e solo un programmatore poco attento e che non studia può ripeterlo.
Salvatore, questa è critica costruttiva, e se quel “stupidaggini ti ha offeso mi dispiace, solo mi da fastidio che spesso pur di far sembrare una notizia importante si calchi a tutti i costi la mano.
Mi scuso se ci saranno altri errori in questo commento, sono abituato a guardare l’anteprima prima di inviare il messaggio, ma visto che qui non c’è qualche volta mi scappa qualche doppia o qualche errore di digitazione (vedi anche “pirocolosi” del mio precedente commento).
Ciao!
La tua segnalazione è corretta ed è giusto informare gli utenti, certo bisogna rilevare che alla base c’è sempre una pessima programmazione, basterebbe un minimo di attenzione in più nella sicurezza.
I referrer sono sempre stati il possibile tallone d’achille delle applicazioni web.
Sono stra-d’accordo con Mario…
Ehi, bello questo plugin-ajax per i commenti… (è la prima volta che commento qui ^^ )
Cito:
“In molti casi, però, l?uso sconsiderato dei servizi di social bookmarking può rivelarsi anche pericoloso”
Che io sappia solo ClanBase.
Qua si fa allarmismo per poco, i siti che identificano l’utente solo con variabili GET, senza sessioni e/o Cookie, non meritano neanche di essere visitati: dimostrano le lacune e carenze di chi li ha creati.
Sta di fatto che il problema esiste e non possiamo affermare il contrario: l’unico modo per proteggersi è quello di controllare che il sito aggiunto al proprio social bookmarking non contenga dati sensibili.
Non sono d’accordo che siti che presentano questa funzionalità per alcuni o errore per altri non siano da visitare: alcuni di questi sono veramente utili e non si trovano alternative valide.
Napolux, sono molti i siti che che identificano l’utente solo con variabili GET: molte volte possibile questo è anche per distrazioni nella programmazione.
Come mai non si vede il mio commento precedente?
Quello dove ti chiedevo un elenco di 10 siti NON AMATORIALI che utilizzassero SOLO una variabile GET come sistema di autenticazione.
Tu stesso dici che sono MOLTI, io ti chiedo di citarne ALCUNI.
A me, sinceramente sembra che in questo caso si vogliano creare facili allarmismi. Onore a te e al tuo blog per i post sulle varie truffe informatiche, ma sta volta…
E poi la censura, suvvia, sono stato un po’ forte, ma non certo maleducato…
Salvatore mi deludi, stai difendendo a spada tratta una situazione indifendibile. Parli di “alcuni di questi” , “molti i siti” e non fai un mezzo esempio.
“Il sito aggiunto al proprio social bookmarking” come dici tu, poi, non è detto che non debba contenerei dati sensibili, l’essenziale è che questi dati non siano contenuti nella URL.
Dal mio punto di vista, chi ha scoperto la falla dovrebbe avvertire immediatamente il sito citato e questi dovrebbe immediatamente metterci una pezza.
Napolux ha ragione da vendere, i siti che gestiscono quei dati via URL non meritano la visita perchè per pressapochismo rischiano la privacy dei propri utenti, ed allora, perchè utilizzarli?
Ciao a tutti,
non ho molto tempo a disposizione per andare a cercare degli esempi. Lo scopo del mio articolo era soltanto quello di allertare gli utenti che un uso sconsiderato dei servizi di social bookmarking potrebbe avere questi riscontri negativi. Nulla di più!
Faccio notare che grazie alla moderazione dei commenti, adesso io con il mio “sono d’accordo” mi ritrovo a concordare con un commento che, quando ho lasciato il mio, non mi era neanche visibile…
…solo che chi li guarda adesso tutti di seguito non lo può sapere.
Ciao Fabio,
il problema dello spam è molto presente anche nei blog italiani: ricevo moltissimi commenti di spam oggi giorno (sono stati bloccati 31,080 commenti di spam questo mese). Questi sono filtrati per lo più dal filtro di spam di Wordpress.
La moderazione dei commenti serve, oltre a bloccare lo spam che salta il filtro, a garantire che non vengano inserite parolacce o si scenda veramente in basso per quanto riguarda l’educazione ed il buon costume.
Salvatore, non dirmi che hai continuato a sostenere che ci sono “altri siti” senza almeno aver fatto una ricerca…
se non hai tempo di fare ricerche, non vedo per quale ragioni scrivi post in questo blog, avessi voluto un aggregatore di post altrui l’avrei trovato facilmente. Quando riporti la notizia da qualche parte è tuo dovere, come autore di blog, approfondire, sennò tanto vale linkare l’articolo e buonanotte. La notizia è, come sosteneva Mario più su, che non c’è nessun pericolo nel bookmarking se non la cattiva programmazione di sitarelli da quattro soldi.
Concordo con Fabio, la moderazione fa strani scherzi… hai mai sentito parlare di captcha?
http://codex.wordpress.org/Plugins/Spam_Tools
Ciao Alberto,
quando scrivo un articolo mi metto in gioco in prima persona e metto in gioco la mia esperienza. Alcune volte, come in questo caso, mi sono venute in mente alcune analogie con altri siti Internet che avevano questo “bug”.
Non si può pretendere che mi ricordi i vari siti nello specifico, specialmente considerando il fatto che li ho visitati quando non dovevo scrivere questo articolo.
Salvatore, nessuno ti chiede di fare sforzi di memoria, anzi. La questione è che se scrivi un articolo, se non vuoi prendere in giro chi ti legge, devi sapere cosa stai scrivendo, non basta riportare per filo e per segno un articolo di un altro blogger dal valore, come avrai notato, discutibile, sopratutto con quel titolo. Le ragioni sono state ripetute più volte ed è inutile ribadirle.
Sono completamente d’accordo con Alberto!