|
|
|
|
Strumenti |
04-07-2010, 17:27 | #1 |
Bannato
Iscritto dal: Sep 2008
Messaggi: 7587
|
Il tubo si è rotto: YouTube hackerato
ROMA - "Notizia flash: Justin Bieber è morto stamattina in un incidente d'auto". E' il messaggio allarmante, e falso, che si apre su alcune pagine di YouTube. Ma per Google, proprietaria del sito, la notizia è anche peggiore: basta un semplice codice inserito nei commenti per far comparire messaggi sulle pagine del sito o attivare animazioni, far comparire testi, caricare foto, video pornografici e - forse - rubare dati personali relativi ai propri account.
Abbiamo provato anche noi, aggiungendo un semplice messaggio di allarme testuale su un video: funziona davvero, e a costo zero. Un hacker, ma anche un programmatore con conoscenze base, potrebbe creare seri danni ai computer degli utenti. La notizia di Justin Bieber ad esempio è apparsa aprendo un video di Lady Gaga - uno dei più visti in assoluto con 238 milioni di visualizzazioni - ma basta iniziare a navigare un po' per trovarne altri con messaggi simili o con attacchi molto più invadenti: nella foto qui accanto, un testo su sfondo nero che appare intorno al video. Pensare alle possibili ripercussioni è facile e si capisce immediatamente che il danno potenzialmente è distruttivo. La rete è in fibrillazione: si stanno moltiplicando nei forum le discussioni sui possibili rischi e su come evitare danni. Anche sul forum ufficiale di Google è stata aperta una discussione, senza che la compagnia di Mountain View abbia ancora commentato. "E' un casino completo", scrive un utente; "E' la fine di YouTube" scrive un altro, forse esagerando un po'. In ogni caso il problema esiste e non è da poco: sfruttando questo bug, si possono far scomparire pezzi di pagina, sostituirli con testi che scorrono, aggiungere link ad altre pagine e chissà cos'altro. E a rischio ci sono anche i dati personali degli utenti: "Non andate sul sito - si legge in un forum - l'exploit può essere usato per rubare i vostri dati". Vulnerabili tutte le pagine dei video degli utenti che non moderano i commenti: al momento infatti l'unica cosa da fare, se avete un account YouTube e avete caricato dei video, è mettere i commenti in premoderazione. E sperare che Google risolva il problema in breve tempo. http://www.repubblica.it/tecnologia/...1/?ref=HRER1-1 Chi ha un account si salvi i video che ha caricato e metta i commenti in moderazione. Io ho levato direttamente l'account, per un video con un centinaio di visualizzazioni tanto valeva farlo e non pensarci più. |
04-07-2010, 17:34 | #2 |
Senior Member
Iscritto dal: Oct 2001
Messaggi: 7902
|
ecco perchè quando guardavo i video di gemmadelsud usciva la scritta "gemmadelsud fai schifo"
|
04-07-2010, 17:37 | #3 |
Bannato
Iscritto dal: Sep 2008
Messaggi: 7587
|
Oggi è stato pure hackerato iTunes... Festa degli hacker!
Siamo messi bene |
04-07-2010, 17:56 | #4 | |
Senior Member
Iscritto dal: Oct 1999
Messaggi: 3779
|
Quote:
Per la cronaca (ora il baco e' sistemato) il codice incriminato era questo <script>IF_HTML_FUNCTION?<h1><marquee><font color="red"><u>POOLS CLOSED<script> il problema stava nel fatto che la scritta <script> venica controllata ma non veniva controllata la scritta IF_HTML_FUNCTION che permetteva di inserire HTML arbitrario spero per youtube che rivedano la politica di inserimento dei commenti perche' (immagino per questioni di marketing) ora e' impostata come black list (cioe' puoi inserire di tutto eccetto quello che e' filtrato) , questa logica e' insicura per definizione. Dovrebbero passare alla validazione white list , cioe' non si inserisce nulla a meno che non sia tra le cose consentite
__________________
CIAO FABRIZIO .. CORRI TRA LE NUVOLE COME FOSSERO DUNE |
|
04-07-2010, 17:57 | #6 |
Bannato
Iscritto dal: Sep 2008
Messaggi: 7587
|
Insomma, hanno messo una pezza ma non è definitiva. Il problema si può sempre ripresentare.
Giusto, di solito uso hacker per indicare la categoria buona, mi sono lasciato trasportare da Repubblica. |
04-07-2010, 18:18 | #7 | |
Senior Member
Iscritto dal: Jan 2001
Città: Livorno
Messaggi: 1275
|
Quote:
|
|
04-07-2010, 20:02 | #8 |
Senior Member
Iscritto dal: Oct 2001
Messaggi: 7902
|
e per inciso, il sistema di commenti di youtube, per quanto migliorato, mi fa sempre cagare
|
04-07-2010, 20:15 | #9 |
Senior Member
Iscritto dal: Jul 2008
Messaggi: 1019
|
Link a qualche video incriminato o è già stato sistemato?
Ultima modifica di Tensai : 04-07-2010 alle 20:18. |
04-07-2010, 20:48 | #10 |
Senior Member
Iscritto dal: Sep 2000
Città: WOLF 389 VULCANO ** Ho scelto di vivere per sempre............................ per ora ci sono riuscito.
Messaggi: 8413
|
|
04-07-2010, 20:59 | #11 | |
Senior Member
Iscritto dal: Jun 2006
Messaggi: 1077
|
Quote:
|
|
04-07-2010, 21:13 | #12 |
Senior Member
Iscritto dal: Sep 2001
Messaggi: 4832
|
mi fate vedere un video hackerato?
__________________
Amareggiato per la chiusura di mezzo forum Off-topic. Riapritelooo! |
04-07-2010, 21:14 | #13 |
Senior Member
Iscritto dal: Nov 2008
Città: Trieste
Messaggi: 1201
|
ovviamente si sa anche chi sia dietro a tutto questo: Anonymous
|
04-07-2010, 21:36 | #14 |
Bannato
Iscritto dal: Sep 2008
Messaggi: 7587
|
Credo che ormai è stato tutto sistemato (per ora).
Comunque, se andate nell'articolo di Repubblica c'è un link che rimanda ad alcune immagini di YouTube "modificato". |
04-07-2010, 21:46 | #15 |
Senior Member
Iscritto dal: Oct 2001
Messaggi: 7902
|
ma i programmatori di google non erano i + fortunati del mondo? quelli che lavorano in spazi super fighi e fanno il cazzo che gli pare durante tutto il giorno?
quelli di youtube nn hanno avuto lo stesso trattamento? |
04-07-2010, 22:25 | #17 | |
Senior Member
Iscritto dal: Jun 2006
Messaggi: 1077
|
Quote:
Google non e` certamente un'azienda che fa outsourcing in India per risparmiare. Al massimo riparmiera` sugli autisti che guidano le macchine con le telecamere. |
|
04-07-2010, 22:58 | #18 | |
Senior Member
Iscritto dal: Jul 2002
Città: Reggio Calabria -> London
Messaggi: 12068
|
Quote:
ma anche no. Scrum è una metodologia di gestione del processo (tra l'altro anche abbastanza "vetusta" visto che il kanban da risultati nettamente migliori), il Test Driven Development invece testa la qualità dei singoli metodi del codice (il singolo metodo è infatti la più piccola unità di codice che è testata negli unit test), ma non dice assolutamente nulla sulla qualità del codice finale. Infatti, proprio per ovviare a questo problema ora si sta diffondendo sempre di + (nei paesi seri, in italia non si è mai diffuso nemmeno il TDD), il Behaviour Driven Development , in cui il customer scrive direttamente gli acceptance test che i programmatori devono fare passare in modo che il comportamento del sistema sia garantito.
__________________
|
|
04-07-2010, 23:06 | #19 | |
Senior Member
Iscritto dal: Apr 2003
Messaggi: 678
|
Quote:
Si son fatti pollare da roba piu' semplice di un sql o php injection Anche a google-youtube conviene sperare e dire che e' colpa di programmatori indiani da 1 centesimo a riga piuttosto che programmatori da 300 euro al giorno senno' sai che figura barbina |
|
04-07-2010, 23:08 | #20 | |
Senior Member
Iscritto dal: Jun 2006
Messaggi: 1077
|
Quote:
|
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 07:09.