PEC come www.italia.it

Submitted by dimitri on Gio, 29/04/2010 - 19:01

Io ancora mi sorprendo quando vedo certe cose... milioni di euro buttati nel cesso per questa famigerata Posta Elettronica Certificata (PEC), ma i più banali, scontati, persino idioti controlli di sicurezza nei form non sono stati minimamente presi in considerazione.

Per farla breve, il form per richiedere l'attivazione è vulnerabile al Cross-Site-Scripting più banale. Dalla serie: vediamo quanti gonzi si faranno fregare la password e/o la carta di credito...

Facendo un semplice esperimento sul form incriminato , ecco cosa esce:

 

Quello che è successo è che il valore dell'attributo "value" dei vari campi <input> non viene "sanificato", cioè insomma non vengono trasformati alcuni caratteri speciali nella corrispondente sequenza di escape. Anche se tutto questo blaterare di codici, sequenze e termini strani vi sembra parlare alieno, vi assicuro che è il primo, necessario, scontato controllo che si fa su una qualsiasi applicazione web prima di essere mandata là fuori, in quella giungla inospitale che è Internet. Un pivello qualsiasi lo impara a proprie spese al secondo giorno di lavoro. Evidentemente il form è stato fatto da un pivello al primo giorno di lavoro!

Insomma, se mi avessero sganciato un bel centone glielo avrei fatto io sicuramente meglio, di questo sono sicuro...

Aggiornamento

Qualcuno mi ha fatto notare che non è bello pubblicare una vulnerabilità, anche se è di così lieve entità. Però vi assicuro che io ci ho provato a mandare una mail all'assistenza, peccato i server sono configurati in modo da ricevere solamente da indirizzi PEC! Cioè se voglio la PEC... mi serve la PEC!??!?

Ecco cosa mi risponde il loro server di posta:

Delivery to the following recipient failed permanently:

centroservizi@postacertificata.gov.it

Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the recipient domain.
We recommend contacting the other email provider for further information about the
cause of this error. The error that the other server returned was:
553 553 Impossibile inviare il messaggio (state 18).

Andiamo bene...

FeedFlare