Smart Working
Bonus 600 euro: il sito INPS viola la privacy. Accedendo si visualizzano i profili di altri contribuenti
di Redazione pubblicata il 01 Aprile 2020, alle 12:41 nel canale Security
Il sito dell'INPS, preso d'assalto per ottenere il bonus di 600 euro dedicato alle partite IVA, ha dei seri problemi di sicurezza. Molti utenti segnalano che dopo il login hanno avuto accesso al profilo di altre persone
LG TONE Free T90S: gli auricolari con la disinfezione UV cambiano forma
Kindle Paperwhite 2024: l'ereader di riferimento si rinnova ancora
Recensione LEGO Horizon Adventures: un'avventura costruita per emozionare 
La navicella cargo Tianzhou-8 ha effettuato il docking con la stazione spaziale cinese Tiangong
Impulse Space svilupperà il motore Deneb e ha comprato tre lanci su SpaceX Falcon 9
Studio ESA: un razzo spaziale di grandi dimensioni è ''possibile in linea di principio''
113 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoma come si sa la popolazione è mediamente stupida.
in realtà c'era un'indicazione equivoca nelle istruzioni, che è stata rimossa poche ore prima dell'inizio...
senza dubbio molti hanno affollato pensando che ancora contasse, il momento della richiesta...
quanto alla valutazione sulle capacità della popolazione, mettiamo pure che sia così... ma sarebbe un motivo in più per fare particolare attenzione alle comunicazioni...
se poi conta come prova quello che dice il presidente, oggi ha parlato anche di attacchi hacker come causa, per poi lasciar perdere e ammettere che il carico era troppo alto. in altre parole, non mi pare così affidabile, lato dichiarazioni [edit]: forse era l'inverso, cronologicamente, ma il concetto resta [/edit]
mm, sul problema dei dati personali a uecchia, anche fosse stato causato dal carico, non dovrebbe succedere e basta. sul resto concordo
ma come si sa la popolazione è mediamente stupida e che sarebbe successo cio.
l'infrastruttura non centra un caz, non è inadeguata, hanno solo sbagliato a gestire al situazione.
è IMPENSABILE avere un'infrastruttura parametrata per reggere un picco piu unico che raro come questo; dovevano semplicemente fare come con le pensioni, i primi giorni dividere per cognomi e poi aperto a tutti quelli che non erano riusciti a farlo i primi giorni.
Mah, non so esattamente che infrastruttura utilizzino, spero almeno che abbiano messo in piedi una infrastruttura tipo cloud statale.
In tal caso esistono tecniche di elastic scaling per gestire le tante richieste.
Richieste che puoi prevedere quante saranno perché se sei l'INPS ti saresti dovuto fare i tuoi calcoli.
Dopodiché l'incasinamento delle sessioni a me sa tanto di sito progettato male
Le dichiarazioni ufficiali sono di un attacco hacker
Insomma, alla fine come sempre è colpa degli italiani che sono stupidi perché avrebbero dovuto mettersi in fila come nel più classico degli sportelli INPS
Meglio che mi auto-censuro và
In alcuni casi è possibile che si imputtani l'associazione tra cookie e sessione, incrociando quindi le richieste di un utente con quelle di un altro....
grazie della spiegazione tecnica anche se generica
non ne so un tubo, ma posso immaginarmi sulla base di quanto scritto da Jack uno scenario in cui la tabella che tiene traccia delle persone loggate si riempie (tipo overflow) e quindi viene riscritta a partire dalla prima riga, x cui finisci nella sessione di un altro...
non so eh, ipotizzo solo e NON ho nessuna particolare competenza avanzata di DB e login web.
ovviamente la cosa NON deve succedere ed è gravissimo, e qualche testa dovrebbe saltare.
Praticamente sono stato collegato online circa 15 a refreshare la pagina dedicata,
e all'1 di notte spaccata e stato possibile accedere inserendo l'iban.
Ho anche la ricevuta di avvenuta richiesta, fortunato
Era da prevedere il collasso comunque, assurdo il login negli altri profili.
Praticamente sono stato collegato online circa 15 a refreshare la pagina dedicata,
e all'1 di notte spaccata e stato possibile accedere inserendo l'iban.
Ho anche la ricevuta di avvenuta richiesta, fortunato
Era da prevedere il collasso comunque, assurdo il login negli altri profili.
aspetta, magari viene versata sul conto di qualcun altro...
Madooo è vero!
[paranoia=on]
Ma come fanno a stabilire che in coda ci sia gente che ne ha bisogno realmente?
Spero ci abbiano pensato, altrimenti prevedo una lunga fila di gioiellieri e dentisti bisognosi (è un esempio) o di vari furboni.
Ma come fanno a stabilire che in coda ci sia gente che ne ha bisogno realmente?
Spero ci abbiano pensato, altrimenti prevedo una lunga fila, di gioiellieri e dentisti bisognosi (è un esempio) o di vari furboni.
Ci sono delle categorie, io sono nella categoria AGO facendo parte di ristorazione. Non credo c'entrino i dentisti o gioiellieri.
In alcuni casi è possibile che si imputtani l'associazione tra cookie e sessione, incrociando quindi le richieste di un utente con quelle di un altro....
È molto molto molto raro, specialmente se il server è configurato bene.
In PHP ad esempio l''id di sessione viene generato come hash tra indirizzo IP, timestamp di creazione e una coppia di numeri random presi da un generatore interno di PHP e da un pool tipo /dev/random.
Quindi anche se fossero tutti dietro NAT (stesso IP) e se tutti "contemporaneamente" (stesso timestamp) provassero a connettersi hai comunque una certa randomicità.
L'hash nelle vecchie versioni era di default MD5 (128 bit)/SHA1 (160 bit). Credo che dalla 7 in poi puoi configurare anche SHA256 o SHA512.
Per questi ultimi due in particolare la probabilità di collisione con due input diversi è praticamente trascurabile.
Credo che una cosa analoga facciano altri run-time server side.
In ogni caso difficilmente avresti una collisione anche se avessi milioni di persone connesse (anche perché come farebbero altrimenti Facebook/Google/Amazon/Netflix e co?).
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".