Cosa fare quando si scopre una vulnerabilità in un framework ma nessuno prende sul serio i nostri avvertimenti?
Chiedetelo a Egor Homakov, che dopo aver tentato invano di notificare al team di Ruby on Rails un problema di sicurezza ha deciso di fornire una dimostrazione pubblica... hackerando GitHub!
Per qualche ora infatti il più grande servizio di social coding, e tutti i progetti ospitati, sono stati alla mercé del giovane programmatore che, bontà sua, si è limitato solo a fare un commit dimostrativo nel master di Rails.
La vulnerabilità protagonista dell'episodio è una conseguenza degli assegnamenti di massa senza l'uso di attr_accessible, problema già noto da tempo tra gli sviluppatori Rails ma mai preso seriamente in considerazione.
Come conseguenza il team di GitHub si è prodigato a correggere il bug e... a bannare Egor come da TOS. Ma il dibattito nella comunità si è acceso: questa dimostrazione pubblica è stata una buona idea o un'azione irresponsabile?
/https://www.html.it/app/uploads/2023/12/Android.jpg)
/https://www.html.it/app/uploads/2024/01/e-mail.png)
/https://www.html.it/app/uploads/2024/01/Microsoft-4.jpg)
/https://www.html.it/app/uploads/2024/01/PC.jpg)