Bonus 600 euro: il sito INPS viola la privacy. Accedendo si visualizzano i profili di altri contribuenti

no è un aiuto che va a compensare le perdite di fatturato, che servono anche a pagare affitti e licenze software, per i quali non ci saranno sconti coronavirus e che vanno pagati, perchè seno non si mangera domani.

no, questo è l'aiuto per chi ha una Partita Iva.

e pur essendo "ridicolo", perchè 600€ per una P.IVA sono briciole, è comunque meglio di NIENTE.

evidentemente gente su questo forum con la sua P.IVA ci porta a casa il mangiare per la sua famiglia, ma da quando non si lavora quasi piu è difficile portare a casa il mangiare.

non trovi?

sperando che riguardi SOLO 'sta cosa dei 600€. ma non è così chiaro che sia rimasta circoscritta...

vogliono tutti metter su qualche chiletto a spese del contribuente...

Non è un problema di sessioni o cookie.

Questi hanno avuto un picco di richieste enorme e, gli stagisti sottopagati in body rental che gestiscono l'infrastruttura han cercato di aggiungere un layer di caching (Akamai, reverse proxy & Co) e l'han configurato a membro di segugio.

Quello che si è visto è l'errore da novellini tipico di chi non sa come gestire un layer di caching. Oppure di chi non ha tutte le specifiche del sistema e non sa quali pagine possono essere messe in cache e quali no.

Ecco cosa succede tipicamente se non si configura per bene il sistema:

1. Mario Rossi è il primo che accede al sistema e non ci sono ancora pagine in cache. Da questo momento la pagina servita a Mario Rossi viene messa in cache e viene servita anche ad altri malcapitati.

2. Alice Bianchi, accede al sito pochi secondi dopo e vede la homepage servita in precedenza a Mario Rossi. Poi entra nella sezione "Prestazioni e Servizi" ed, essendo la prima ad accedervi, visualizza la pagina come "Alice Bianchi" (corretto!).

3. Ecco che arriva Giovanni Verdi. Effettua l'accesso e vede la homepage come Mario Rossi, poi cambia sesso nella pagina "Prestazioni e servizi" diventando Alice. A questo punto entra nella pagina "Servizio X" e ritorna ad essere Giovanni... E avanti così con tutti gli altri utenti.

Dato che le CDN sono composte da decine di server sparsi su tutto il globo, ci sarà ci ha visto le pagine come Mario, Alice e Giovanni e chi come "Aldo, Giovanni e Giacomo", chi come altri individui.


Per ovviare a questo problema, bisogna configurare i sistemi di caching in modo tale che NON vengano salvate e servite pagine NON statiche (ovvero le pagine che si vedono dopo aver eseguito il login).


Il problema è che, se il sistema informativo è ingegnerizzato da cani, non puoi usare caching (come hanno provato a fare loro). Tutto il sistema va pensato per essere scalabile o semplicemente non regge il carico.

Ma tanto non serve mica che i servizi dell'inps siano ben ingegnerizzati e scalabili, tanto se va down o viene bucato chi ne paga le conseguenze è l'utente finale, mica i dirigenti.

Sarei curioso di sapere se Tridico, che ha palesemente mentito parlando di attaco hacker, non sia penalmente perseguibile dato che ha detto una palla.

PS: In base al GDPR, sono costretti entro 72h a fare disclose delle cappellate che han fatto e ad avvertire tutti gli utenti i cui dati sensibili sono stati resi pubblici. Inoltre dovrebbero beccarsi una multa dai 10 ai 20 milioni di euro. Vediamo se cadrà qualche testa o finisce tutto a tarallucci e vino.

ma sei sicuro o e una tua ipotesi.
perchè pure io che non ci capisco un cazzo mi rendo conto benissimo che in cache NON si può mettere una cosa che è personalizzata per un utente.
se così fosse non sono novellini ma dementi analfabeti, e gli va revocata la licenza elementare...


bah, di certo non è una cosa che s'è inventato lui... semmai gliela hanno rifilata i colpevoli come scusa della loro incompetenza... sono questi ultimi quelli da perseguire per incompetenza e occultamento di prove.

bè, come tutte le casse integrazione

A me sinceramente non interessa poi molto il lato tecnico, anche se di sicuro più di qualcuno qua dentro avrebbe fatto un lavoro migliore.

A me da fastidio che per fare questo lavoro siano stati sicuramente spesi soldi pubblici e male (se mi sbaglio liberi di correggermi), ma anche se non fossero stati soldi pubblici, non è stato testato a dovere, e io credo che dato un servizio che è ad uso ed utilizzo anche dei semplici cittadini (con le loro generalità, un controllo più accurato sarebbe stata la prima cosa da fare.

Pensare ad un attacco hacker mi pare la solita furbata per un lavoro fatto male, non importa voluto da chi e quando, ma fatto male.

Il sito dell'inps ha cambiato più IP nelle ultime 12h che clienti una prostituta (hanno provato diversi tipi di approccio durante la notte a causa della disperazione).
Per il rasoio di Occam è più facile pensare che il problema sia stato solo di caching che di backend. Anche perché non è che sviluppi una patch e cambi il codice in produzione di un sistema così complesso alle 2 di notte. Sarebbe ancora più da criminali farlo.

Il sistema informativo di inps è un puttanaio di sistemi diversi tenuti su con lo sputo (anche se sei un profano te ne accorgi perché alcune pagine sono .jsp (java), altre ASP), chissà quante eccezioni avrebbero dovuto aggiungere al layer di caching per farlo funzionare per bene.

Che poi c'è da dire che la parte più stressata è anche quella post autenticazione, quindi la pezza che hanno provato a mettere non aveva alcun senso dato il sistema.




C'è una catena di comando. Il culo lo faranno a lui, che poi lo farà ai sottoposti, fino ad arrivare al povero stagista sottopagato che verrà licenziato anche se magari era uno junior a cui han passato il merdone.

la cosa migliore sarebbe stata lasciare tutto com'era; il cittadino richiedeva il pin o SPID e aspettava , e iniziavano a fare la domanda gli utenti gia in possesso di pin o SPID....

invece hanno fatto la cagata di "semplificare" le cose e hanno fatto solo piu danno che altro.

E' "normale" anche questo se il layer di caching è sputtanato.

Se una pagina viene servita dalla CDN non passi dal backend (che è quello che ti controlla se la sessione è valida ed eventualmente di butta fuori).
Questo significa che vedi pagine interne ("impersonando" altri utenti) anche se la tua sessione è scaduta o, potenzialmente, anche se non sei neanche loggato.

I siti web moderni solitamente sono una SPA (single page application) che fa chiamate API al backend per controllare queste cose e per recuperare i dati dinamici da visualizzare. Questo permette di mettere in cache TUTTE le componenti statiche (css, immagini, lo "scheletro" delle pagine senza che vi siano dati dipendenti dalla sessione utente, etc).

Se avessero un'architettura del genere, il 90% del carico lo avrebbero potuto girare sulle CDN con successo ed alleviare i problemi di carico. Avrebbero risolto? Probabilmente non del tutto, ma sarebbero stati un pezzo avanti.

Avere in cache gli asset statici è il primo (e più semplice) passo, poi si può iniziare ad introdurre caching a livello del backend. Per questo motivo penso che non siano neanche arrivati ad introdurre bug nel backend, ma si siano fermati a far danno provando ad aggiungere una CDN davanti al sito.