[ml] SQL Inj

Salve a tutta la lista.
Volevo sottoporvi un problema diciamo poco tecnico e piu filosofico se
cosi' si puo definire.
Oggi parlando con un amico mi son reso conto che un bug che trovai nella
gestione dei concorsi web on-line sul sito dell'universita' di Lecce non
e' stato ancora sistemato.
Un semplice sql injection. E si ottiene accesso come admin.
Su un sito di una universita'.

Ora il problema realte non e' tanto il tipo di bug (quindi salto la
discussione tecnica) ma il fatto che nonostante la mole di informazioni
che si trovano, nonostante la conoscenza di sicurezza informatica che
ormai e' diventato un requisito minimo per un admin nella gestione delle
infrastrutture di rete, si vedano ancora situazioni del genere, a mio
avviso imbarazzanti.
Aldila' del tipo di bug, imho, non credo sia accettabile che una
universita' abbia questo tipo di disattenzione nei confronti della
gestione delle sue risorse informatiche e forse del personale che ci
lavora. Ovviamente la mia e' solo una opinione, pero' come ripeto mi
spiace vedere che , sostanzialmente, invece di andare avanti, andiamo
indietro. Soprattutto in enti importanti come una universita'.

E se l'area in questione avesse contenuto informazioni personali su
utenti iscritti, su studenti o quant'altro? Per ora son solo nome,
cognome e indirizzo email ad essere alla "portata" del bug. Ma
sinceramente la cosa e' gia preoccupante.

Mi congedo.

---
Sysadmin @ dominion