Cerca nel blog

2020/09/08

Come non fare un sito Web “protetto da password”: i candidati comunali di Trento

Ultimo aggiornamento: 2020/09/08 12:10. Nota: Il sito citato è stato modificato.

“Questa pagina è protetta da password. È possibile visualizzare la pagina dopo aver inserito la password”. Quando ho scritto inizialmente questo articolo mi si presentava così, lapidario e categorico, il sito Movimentolacatena.it:


Un sito dal quale si può imparare moltissimo. Perché è un perfetto esempio di come non si devono fare le cose. 

Infatti c’è un piccolo problema, segnalatomi da un lettore: era sufficiente leggere l’HTML della pagina, che ovviamente è pubblicamente accessibile per necessità tecnica, per scoprire come è stata gestita la password. Leggete e piangete.

function verify_pwd() { close_prompt(); if((pwd!="")&&(pwd!=null)) { pwd=hex_md5(pwd); } document.getElementById("primo").style.left = 0 + "px"; document.getElementById("primo").style.top =0+ "px"; if(pwd=="0f7ca7859e7fc31d0db3cd20fcc3964a") { document.getElementById("primo").style.visibility = "hidden"; if( document.getElementById("bodyid_01") ) document.getElementById("bodyid_01").style.visibility="visible"; } else if((pwd=="")||(pwd!=null)) { document.getElementById("primo").style.visibility = "visible"; alert("Si prega di inserire la password corretta"); attivaPrimo(); } }

Fatto? Non mettete via i fazzoletti. 

In realtà per vedere i contenuti “protetti” da password non serviva neppure analizzare questo codice. Infatti i link ai curricula (nota per pignoli) e ai certificati penali dei candidati sono incorporati direttamente nell’HTML della pagina. Per cui basta cliccarvi sopra per accedere ai contenuti “protetti”.


Questo è l’equivalente informatico di nascondersi dietro una lastra di vetro, chiudere gli occhi e pensare di essere invisibili.

Non ho perso tempo a tentare di contattare il titolare del sito. Credo infatti che sarebbe al di sopra delle mie umane capacità spiegare l’errore a chi partorisce, o fa partorire, una pagina del genere e chi mette nel proprio programma cose come “Uscita immediata dall’euro tenendo la moneta attuale [sic] ed espatrio immediato dei clandestini e blocco extracomunitari tenendo l’Italia come ex impero romano. Il destino mi fa sentire come nuovo condottiero.” (copia permanente). Prego solo che si tratti di una forma di comicità che io, ottuso informatico e scarsamente condottiero, non so cogliere.

La mia vera preoccupazione è che una semplice ricerca in Google della frase “Questa pagina è protetta da password. È possibile visualizzare la pagina dopo aver inserito la password” mostra che di pagine “protette” in questo modo ce ne sono in giro tante, tante altre


Ne ho archiviato un esempio qui: usare questa “protezione” è un’abitudine diffusa, addirittura con la stessa esatta dicitura. Ed è così che ci sono invece tanti creatori di siti competenti che sono a spasso e senza lavoro perché “il sito lo faccio fare a mio cugino che c’ha il compiuter”.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Nessun commento: