mercoledì, aprile 9

Sicurezza intrinseca e cocciutaggine

Sto lavorando a qualcosa di più complesso del solito e non ho molto tempo per il blog.
#Heartbleed oggi però mi spinge a scrivere almeno un memo, sia pure per me stesso, me lo devo.
Aldo, sei un cocciuto rompiscatole, ma fino ad oggi hai avuto ragione.
E non posso che dirmelo da solo... In pochi capiscono cosa è #Heartbleed purtroppo...
Me lo dico da solo per tutte le volte che sono stato guardato male, non creduto, creduto troppo pignolo o rompipalle, snobbato perchè "tanto Microsoft (o SUN, oggi Oracle) mette a disposizione dei meccanismi automatici e non devo scrivere tutto il codice io".

Nemmeno io scrivo tutto il codice, ma c'è un area fondamentale del tuo sistema ed è l'autorizzazione, che è successiva all'autenticazione. E questo funziona su un protocollo, http, che è il meno sicuro al mondo e se una delle due parti è fallata, tutta l'impalcatura applicativa crolla.
E nel caso degli strumenti automatici "messi a disposizione da Microsoft o SUN o Oracle" basta un pirla che si dimentica di attivare HTTPS o che gli scoccia avere un certificato valido vero (o peggio un bug di sicurezza tipo Heartbleed) che tutta la sicurezza diventa come soffiare controvento per fermare uno tsunami.

Non smetterò mai di dirlo: esistono metodi differenti e sicuri (nonostante http) per gestire l'autenticazione e la sessione, per i quali non è necessaro scambiare informazioni in chiaro tra client e server.

Ma li devi conoscere e devi sapere capire i protocolli oltre che scrivere un software che premi il pulsante e ti visualizza un prodotto... Caro tecnico informatico pagato millemilaeuroalgiorno: DEVI STUDIARE.

Benvenuti in #Heartbleed, l'inferno del programmatore eccessivamente pigro: la maggioranza.

Aldus.

P.S. OVVIAMENTE DocuBox non soffre del buco di #Heartbleed ma questo dovevate immaginarlo in anticipo. E io adesso me la tiro. Tanto dura poco, di solito scendo dal piedistallo dopo qualche minuto.
P.P.S. Anche il bug dell'anno 2000 era dovuto all'eccessiva pigrizia dei programmatori.