Ho avuto modo di partecipare al bando Clickday 2017 di Inail e mi è venuto l’amaro per il sistema medievale che usano per la distribuzione di denaro pubblico
Il ClickDay di Inail è un bando che permette alle imprese di ricevere dei contributi a fondo perduto per migliorare il livello di salute e sicurezza nei luoghi di lavoro. Fin qui niente da dire.
Il problema di questo programma è il sistema ideato per la distribuzione del denaro. Si tratta di un sistema che premia chi ha il dito più veloce. Invece di fare sorteggi che impiegano grosse perdite di tempo, il denaro viene distribuito ai più veloci che compilano la pagina di adesione.
Tramite mail viene comunicato l’indirizzo della pagina di benvenuto, dove a partire da un certo orario comparirà il link della pagina dove dovrete inserire dei dati.
La pagina di sotto (Immagine 2) è inizialmente “vuota”, ma dall’orario stabilito presenta dei campi da compilare
Nel campo 1 va inserito il codice di partecipazione dell’azienda. Nel campo 3 va inserito il captcha (2) per evitare la partecipazione ai bot, e poi c’è il tasto Invia.
Le cose straordinarie di queste due pagine (Immagine 1 e Immagine 2) sono
- Il servizio è basato su un sito senza https (ssl), quindi non rispettano i protocolli standard di sicurezza del trasferimento dei dati. Chiunque può rintracciare i dati che andate ad inserire all’interno del form di partecipazione;
- Quello che dovrebbe essere un captcha, in questo caso la scritta UMEFY, di cui dovevano essere trascritti solo i primi 4 caratteri per poter passare il test umano, è in realtà una scritta statica cablata nella pagina. Ho provato ad inserire il codice di partecipazione più volte e il codice di verifica era sempre lo stesso.
Un codice captcha dovrebbe generarsi all’apertura della pagina, ed essere diverso per ogni utente che deve riempire il form di partecipazione. Se il codice è cablato vuol dire che uno script sarebbe in grado di compilarlo al posto di una persona in tempo record, assicurandosi il denaro.
Per dimostrare quello che dico vi mostro un pezzo di codice della pagina che ho estratto dal sorgente
<label for="f17:p07">* Inserire il codice identificativo </label>
<br/>
<input value="" maxlength="65" size="69" type="text" name="f17:p07" id="f17:p07" autocomplete="off" onblur="invia();"/>
<br/>
<br/>
<strong>* Digitare i primi quattro caratteri</strong> tra parentesi (UMEFY)<label for="f17:e11"> nel campo</label>
<br/>
<input value="" maxlength="4" size="15" type="text" name="f17:e11" id="f17:e11" autocomplete="off" />
<br/>
<br/>
<span style="color:white;background-color:#D40000;"/>
<br/>
<input type="submit" value="Invia" name="f17:sub" id="f17:sub"/>Ma le assurdità non sono finite qui. Alla pressione del tasto Invia non viene mostrato nessun riferimento. Non viene mostrato un numero di protocollo dell’operazione, la tempistica impiegata per inserire i dati, se chi ha compilato il form è riuscito o meno ad accedere al finanziamento pubblico. Niente.
La pagina mostrata sopra (Immagine 3) dovrebbe contenere tutte le informazioni già descritte, insieme al pulsante per la stampa del pdf contenente la ricevuta del protocollo assegnato.
Per creare una pagina come quella mostrata si impiegano 10 minuti se si è lenti, e per com’è composta non è detto che dietro ci sia agganciata una reale funzione che memorizza i dati che abbiamo appena inserito.
NON STO ACCUSANDO NESSUNO
Sia chiaro che non sto accusando di frode o di imbroglio, l’unica cosa che intendo dire è che nel 2017 per distribuire denaro pubblico viene utilizzata una pagina web, caricata su un computer con condivisione in rete e senza certificato SSL, il ché è assurdo.
La sicurezza prima di tutto, specialmente quando per “sicurezza” si intende trasparenza nell’assegnazione di denaro pubblico.
Molte cose che hai detto sono subito balzate all’occhio anche a me al primo impatto.
La mancanza di SSL secondo me non è un gran problema, non comunichi chissà quali dati in fondo, comunichi solo un codice di cui nessuno non se ne farebbe nulla.
Ma al di là di ciò, il CAPTCHA non è un vero CAPTCHA come dicevi, quindi secondo me, pensando male, potrebbe essere preimpostato in modo da favorire alcuni e rallentare altri, proprio perchè si può preimpostare la pagina con un CAPTCHA di più o meno veloce compilazione, quindi tutto il giochino non mi appare chiarissimo, ossia, volendo pensare male…… potrei pensare male!
Nessuna polemica anche da parte mia, per carità, ma in effetti si potrebbe fare tranquillamente qualcosa di mooooolto più standard e che non faccia pensare male!
Ciao Luca, esatto, il punto è proprio che con queste cose non si può proprio fare a meno di pensare male.
Si può avere l’intero codice sorgente? Non ho cattive intenzioni, voglio solo capire se il risultato del captcha è già scritto nella pagina web o è serverside.
Ciao Vincenzo. Il codice sorgente dell’intera pagina non ce l’ho, ed è recuperabile solo durante il periodo di inserimento dei codici. In ogni caso ricordo (l’articolo è del 2017) che si trattava di una pagina html, inoltre dopo vari tentativi il sorgente era sempre uguale.
Se non ti è uscito “il tempo” è perchè qualcun’altro ha inserito quel codice piu velocemente di te. A me, ad esempio, il tempo è uscito
Ciao Simone, il tempo non è uscito, ciò nonostante ci siamo classificati vincendo il bando.