Ebbene, al peggio non c’è mai fine. Leggetevi questo post su… bah, mi mancano le parole. Cito perciò il post: “Gulp! L’intera SQL passata via querystring in bella mostra.”. Seguire il consiglio del post e guardare cosa restituisce la ricerca con Google è molto istruttivo. In realtà quello dei CMS è un grosso problema. Recentemente stavo per scrivere un post sul defacement del sito di un piccolo Comune che aveva usato un CMS praticamente “artigianale”. Dopo il defacement erano passati a Joomla!. Stavo per criticare la scelta, dato che Joomla riporta ben 30 entry su Securityfocus solo per lo scorso anno, poi ho visto che WordPress, che uso io, ne riporta quaranta ed ho deciso di soprassedere 😉 Una collega ieri mi ha detto di avere a sua volta avuto problemi con Joomla!.
Il fatto è che i CMS sono anche quelli dei “middleware” fortemente interattivi e con un mare di funzionalità “evolute”. È facile trovarci quindi delle vulnerabilità. è difficile invece scegliere. Wikipedia riporta circa 80 prodotti diversi, e spesso la scelta è basata su consigli di amici o su “l’ho provato e funziona”. Inoltre è un prodotto che nasce “per l’utente” e solo successivamente diventa “per l’azienda”, e quindi nasce in un contesto in cui l’attenzione per la sicurezza è minima. Il risultato di questi ed altri problemi è che si può trovare in giro codice come quello descritto nel post di cui sopra, ma anche che alcuni fra i prodotti più diffusi possono avere trenta o quaranta vulnerabilità in un anno.
Parlando di pubbliche amministrazioni, questo è un altro tipo di prodotti in cui sarebbe auspicabile, secondo me, che da una parte ci fosse un centro nazionale che supporti lo sviluppo e l’utilizzo di uno o al più due prodotti Open Source, dall’altra che le singole amministrazioni rinunciassero all’eccessiva autonomia nella scelta del prodotto, e soprattutto agli “estri” dei webmaster, e usassero i prodotti supportati. Questo da una parte eviterebbe i costi di licenze e, peggio ancora, di prodotti sviluppati ad hoc che riproducono un sottoinsieme di quando già disponibile, dall’altra favorirebbe l’adozione dello stesso strumento più sicuro anche in altri contesti.