ROMA - "Notizia flash: Justin Bieber è morto stamattina in un incidente d'auto". E' il messaggio allarmante, e falso, che si apre su alcune pagine di YouTube. Ma per Google, proprietaria del sito, la notizia è anche peggiore: basta un semplice codice inserito nei commenti per far comparire messaggi sulle pagine del sito o attivare animazioni, far comparire testi, caricare foto, video pornografici e - forse - rubare dati personali relativi ai propri account.

Abbiamo provato anche noi, aggiungendo un semplice messaggio di allarme testuale su un video: funziona davvero, e a costo zero. Un hacker, ma anche un programmatore con conoscenze base, potrebbe creare seri danni ai computer degli utenti.

La notizia di Justin Bieber ad esempio è apparsa aprendo un video di Lady Gaga - uno dei più visti in assoluto con 238 milioni di visualizzazioni - ma basta iniziare a navigare un po' per trovarne altri con messaggi simili o con attacchi molto più invadenti: nella foto qui accanto, un testo su sfondo nero che appare intorno al video.

Pensare alle possibili ripercussioni è facile e si capisce immediatamente che il danno potenzialmente è distruttivo. La rete è in fibrillazione: si stanno moltiplicando nei forum le discussioni sui possibili rischi e su come evitare danni.

Anche sul forum ufficiale di Google è stata aperta una discussione, senza che la compagnia di Mountain View abbia ancora commentato.

"E' un casino completo", scrive un utente; "E' la fine di YouTube" scrive un altro, forse esagerando un po'. In ogni caso il problema esiste e non è da poco: sfruttando questo bug, si possono far scomparire pezzi di pagina, sostituirli con testi che scorrono, aggiungere link ad altre pagine e chissà cos'altro. E a rischio ci sono anche i dati personali degli utenti: "Non andate sul sito - si legge in un forum - l'exploit può essere usato per rubare i vostri dati".

Vulnerabili tutte le pagine dei video degli utenti che non moderano i commenti: al momento infatti l'unica cosa da fare, se avete un account YouTube e avete caricato dei video, è mettere i commenti in premoderazione. E sperare che Google risolva il problema in breve tempo.

http://www.repubblica.it/tecnologia/2010/07/04/news/hackerato_youtube_basta_un_codice_la_rete_si_diverte_mentre_google_trema-5381411/?ref=HRER1-1

Chi ha un account si salvi i video che ha caricato e metta i commenti in moderazione.

Io ho levato direttamente l'account, per un video con un centinaio di visualizzazioni tanto valeva farlo e non pensarci più.

ecco perchè quando guardavo i video di gemmadelsud usciva la scritta "gemmadelsud fai schifo" :asd: :asd: :asd:

Oggi è stato pure hackerato iTunes... Festa degli hacker! :rolleyes:

Siamo messi bene :muro:

Oggi è stato pure hackerato iTunes... Festa degli hacker! :rolleyes:

Siamo messi bene :muro:

una banale an HTML injection vulnerability non la chiamerei attacco hacker , la chiamerei semplicemente voglia di risparmio di Google , d'altronde se ti affidi a programmatori filippini da 10$ al giorno il codice che ti arriva sicuramente non ha la stessa qualita' di quello che si paga 300$ al giorno


Per la cronaca (ora il baco e' sistemato) il codice incriminato era questo

<script>IF_HTML_FUNCTION?<h1><marquee><font color="red"><u>POOLS CLOSED<script>


il problema stava nel fatto che la scritta <script> venica controllata ma non veniva controllata la scritta IF_HTML_FUNCTION che permetteva di inserire HTML arbitrario


spero per youtube che rivedano la politica di inserimento dei commenti perche' (immagino per questioni di marketing) ora e' impostata come black list (cioe' puoi inserire di tutto eccetto quello che e' filtrato) , questa logica e' insicura per definizione.

Dovrebbero passare alla validazione white list , cioe' non si inserisce nulla a meno che non sia tra le cose consentite

Dimenticavo ....


non confondiamo i termini Hacker , Cracker e script Kiddie :read: :read: :read: :read: :read: :read:

Insomma, hanno messo una pezza ma non è definitiva. Il problema si può sempre ripresentare.

Dimenticavo ....


non confondiamo i termini Hacker , Cracker e script Kiddie :read: :read: :read: :read: :read: :read:

Giusto, di solito uso hacker per indicare la categoria buona, mi sono lasciato trasportare da Repubblica.

una banale an HTML injection vulnerability non la chiamerei attacco hacker , la chiamerei semplicemente voglia di risparmio di Google , d'altronde se ti affidi a programmatori filippini da 10$ al giorno il codice che ti arriva sicuramente non ha la stessa qualita' di quello che si paga 300$ al giorno


Per la cronaca (ora il baco e' sistemato) il codice incriminato era questo

<script>IF_HTML_FUNCTION?<h1><marquee><font color="red"><u>POOLS CLOSED<script>


il problema stava nel fatto che la scritta <script> venica controllata ma non veniva controllata la scritta IF_HTML_FUNCTION che permetteva di inserire HTML arbitrario


spero per youtube che rivedano la politica di inserimento dei commenti perche' (immagino per questioni di marketing) ora e' impostata come black list (cioe' puoi inserire di tutto eccetto quello che e' filtrato) , questa logica e' insicura per definizione.

Dovrebbero passare alla validazione white list , cioe' non si inserisce nulla a meno che non sia tra le cose consentite

E una cosa così banale è stata scoperta dopo così tanti anni ? Mi pare strano.

e per inciso, il sistema di commenti di youtube, per quanto migliorato, mi fa sempre cagare:D

Link a qualche video incriminato o è già stato sistemato?

e per inciso, il sistema di commenti di youtube, per quanto migliorato, mi fa sempre cagare:D

Attualmente è peggiorato.

una banale an HTML injection vulnerability non la chiamerei attacco hacker , la chiamerei semplicemente voglia di risparmio di Google , d'altronde se ti affidi a programmatori filippini da 10$ al giorno il codice che ti arriva sicuramente non ha la stessa qualita' di quello che si paga 300$ al giorno

Tu non hai neanche la piu` pallida idea di quello che dici.

mi fate vedere un video hackerato?

ovviamente si sa anche chi sia dietro a tutto questo: Anonymous :fagiano: :D

Link a qualche video incriminato o è già stato sistemato?

mi fate vedere un video hackerato?

Credo che ormai è stato tutto sistemato (per ora).

Comunque, se andate nell'articolo di Repubblica c'è un link che rimanda ad alcune immagini di YouTube "modificato".

ma i programmatori di google non erano i + fortunati del mondo? quelli che lavorano in spazi super fighi e fanno il cazzo che gli pare durante tutto il giorno?

quelli di youtube nn hanno avuto lo stesso trattamento? :D

Tu non hai neanche la piu` pallida idea di quello che dici.

Lo so che in teoria Scrum e TDD dovrebbero garantire una qualita' di programmazione costante .. ma purtroppo non e' sempre cosi' ;)

Lo so che in teoria Scrum e TDD dovrebbero garantire una qualita' di programmazione costante .. ma purtroppo non e' sempre cosi' ;)
Appunto, software senza errori non ne esiste.

Google non e` certamente un'azienda che fa outsourcing in India per risparmiare. Al massimo riparmiera` sugli autisti che guidano le macchine con le telecamere.

Lo so che in teoria Scrum e TDD dovrebbero garantire una qualita' di programmazione costante .. ma purtroppo non e' sempre cosi' ;)

:mbe:
ma anche no.
Scrum è una metodologia di gestione del processo (tra l'altro anche abbastanza "vetusta" visto che il kanban da risultati nettamente migliori), il Test Driven Development invece testa la qualità dei singoli metodi del codice (il singolo metodo è infatti la più piccola unità di codice che è testata negli unit test), ma non dice assolutamente nulla sulla qualità del codice finale.
Infatti, proprio per ovviare a questo problema ora si sta diffondendo sempre di + (nei paesi seri, in italia non si è mai diffuso nemmeno il TDD), il Behaviour Driven Development , in cui il customer scrive direttamente gli acceptance test che i programmatori devono fare passare in modo che il comportamento del sistema sia garantito.

Appunto, software senza errori non ne esiste.

Google non e` certamente un'azienda che fa outsourcing in India per risparmiare. Al massimo riparmiera` sugli autisti che guidano le macchine con le telecamere.

Pero' farsi pollare cosi' :doh:
Si son fatti pollare da roba piu' semplice di un sql o php injection :doh:

Anche a google-youtube conviene sperare e dire che e' colpa di programmatori indiani da 1 centesimo a riga piuttosto che programmatori da 300 euro al giorno senno' sai che figura barbina :asd:

:mbe:
ma anche no.
Scrum è una metodologia di gestione del processo (tra l'altro anche abbastanza "vetusta" visto che il kanban da risultati nettamente migliori), il Test Driven Development invece testa la qualità dei singoli metodi del codice (il singolo metodo è infatti la più piccola unità di codice che è testata negli unit test), ma non dice assolutamente nulla sulla qualità del codice finale.
Infatti, proprio per ovviare a questo problema ora si sta diffondendo sempre di + (nei paesi seri, in italia non si è mai diffuso nemmeno il TDD), il Behaviour Driven Development , in cui il customer scrive direttamente gli acceptance test che i programmatori devono fare passare in modo che il comportamento del sistema sia garantito.
Non vale la pena scrivere cose con tante imprecisioni e inesattezze, specialmente in una sezione non tecnica.

Non vale la pena scrivere cose con tante imprecisioni e inesattezze, specialmente in una sezione non tecnica.

quali imprecisioni avrei scritto?

quali imprecisioni avrei scritto?

E che parlo Arabo:D ?
Ho detto che non vale la pena fare questo genere di discussioni in questa sezione.
Se proprio ci tieni PM, ma mi scoccia mettermi a scrivere di 'ste cose. Ne ho gia` fin sopra i capelli.

Softwaristi schiavi, per questo ho preferito l'elettronica digitale e il VHDL :asd:

mi fate vedere un video hackerato?

http://tv.repubblica.it/copertina/youtube-sotto-attacco-la-barra-impazzita/50086?video

ovviamente si sa anche chi sia dietro a tutto questo: Anonymous :fagiano: :D

probabile :O

Io ho levato direttamente l'account, per un video con un centinaio di visualizzazioni tanto valeva farlo e non pensarci più.

STACCA!!! STACCA!!!





:asd: :asd:

E una cosa così banale è stata scoperta dopo così tanti anni ? Mi pare strano.

Non c'è nulla di strano. Il 90% delle vulnerabilità più comuni dei siti web _sono_ cose banali.

probabile :O

no probabile. ero su /b/ MENTRE avveniva il fatto :fagiano:

no probabile. ero su /b/ MENTRE avveniva il fatto :fagiano:

rule 1&2, newfag :rolleyes:

rule 1&2, newfag :rolleyes:

rules 1&2 only apply to raid.
e seriamente questo "hack" mi sembra più cancer che raid

E che parlo Arabo:D ?
Ho detto che non vale la pena fare questo genere di discussioni in questa sezione.
Se proprio ci tieni PM, ma mi scoccia mettermi a scrivere di 'ste cose. Ne ho gia` fin sopra i capelli.

secondo me sarebbe stata un discussione più interessante di quella attuale.

Considera che pur essendo una sezione non tecnica ci sono tecnici in grado di seguire tale discussione

secondo me sarebbe stata un discussione più interessante di quella attuale.

Considera che pur essendo una sezione non tecnica ci sono tecnici in grado di seguire tale discussione

*

STACCA!!! STACCA!!!





:asd: :asd:

L'ho tolto per mancato uso, ho solo approfittato dell'occasione. Potevo farlo e l'ho fatto. Se dovrò riutilizzare YouTube, nuovo account e via.

mi chiedo come possa ancora esistere un sito come 4chan.
:confused:

Lapsus? :asd:

http://tv.repubblica.it/copertina/youtube-sotto-attacco-la-barra-impazzita/50086?video

azz :D

:confused:

Lapsus? :asd:

No, se leggi sopra hanno parlato di /b/.

http://attivissimo.blogspot.com/2010/07/attacco-youtube-niente-panico-ma.html

E una cosa così banale è stata scoperta dopo così tanti anni ? Mi pare strano.

Probabilmente è stato tenuto nascosto proprio perché non permetteva di fare danni veri.
E' stato tirato fuori ora da qualcuno di 4chan per via di tutto il casino con sto cantante bambino (ricordate la poll che ha finito per far vincere la corea del nord, no? :asd:). :)

Se ho ben capito si è trattato di un attacco di tipo XSS:
http://it.wikipedia.org/wiki/Cross-site_scripting

Chi effettua l'attacco può effettivamente ottenere i cookies di chi si collega alla pagina inserendo uno scriptino AJAX che invia i dati all'attaccante.
Se i siti che si visitano sono fatti bene però i cookie non dovrebbero contenere dati sensibili o personali.

"E' un casino completo", scrive un utente; "E' la fine di YouTube" scrive un altro, forse esagerando un po'. In ogni caso il problema esiste e non è da poco: sfruttando questo bug, si possono far scomparire pezzi di pagina, sostituirli con testi che scorrono, aggiungere link ad altre pagine e chissà cos'altro. E a rischio ci sono anche i dati personali degli utenti: "Non andate sul sito - si legge in un forum - l'exploit può essere usato per rubare i vostri dati".
ù.

http://www.flashki.it/foto/1146488754_marmotta6uq5ra.gif

:doh:

ho appena visitato youtube ed è tutto normale, mah :asd:

forse perchè è stato corretto tutto da 2 mesi? :asd:

non lo sapevo! :asd: (http://andreasacchini.blogspot.com/2009/09/berlusconi-lascio-la-politica.html)

una banale an HTML injection vulnerability non la chiamerei attacco hacker , la chiamerei semplicemente voglia di risparmio di Google , d'altronde se ti affidi a programmatori filippini da 10$ al giorno il codice che ti arriva sicuramente non ha la stessa qualita' di quello che si paga 300$ al giorno


Per la cronaca (ora il baco e' sistemato) il codice incriminato era questo

<script>IF_HTML_FUNCTION?<h1><marquee><font color="red"><u>POOLS CLOSED<script>


il problema stava nel fatto che la scritta <script> venica controllata ma non veniva controllata la scritta IF_HTML_FUNCTION che permetteva di inserire HTML arbitrario


spero per youtube che rivedano la politica di inserimento dei commenti perche' (immagino per questioni di marketing) ora e' impostata come black list (cioe' puoi inserire di tutto eccetto quello che e' filtrato) , questa logica e' insicura per definizione.

Dovrebbero passare alla validazione white list , cioe' non si inserisce nulla a meno che non sia tra le cose consentite

In realtà IF_HTML_FUNCTION non c' entra nulla (essendo solo un testo esemplificativo). Il problema derivava dalla funzione di validazione utilizzata, non predisposta a fare il parser di 2 tag script (aperti) consecutivi.