Input validation: la storia di un uomo alto 6,2 cm

Le parole di Internet.



[ZEUS News - www.zeusnews.it - 26-02-2021]

Liam Thorp

Liam Thorp è un trentaduenne britannico in ottima salute che scrive per il Liverpool Echo. Normalmente dovrebbe essere in fondo alla lista d'attesa per le vaccinazioni anti-Covid, che vengono fatte prioritariamente a chi è più avanti negli anni o ha problemi di salute, ma la BBC racconta che gli è arrivato l'invito a vaccinarsi perché risultava clinicamente obeso. Aveva infatti un indice di massa corporea di 28.000 (ventottomila), quando i valori normali di questo indice oscillano fra 18 e 24.

Il disguido, che lui stesso racconta qui, è avvenuto perché la sua statura era stata registrata nei sistemi informatici della sanità britannica immettendo piedi e pollici in un campo fatto per contenere un valore espresso in centimetri. Thorp è alto 6 piedi e 2 pollici (187 cm), e così qualcuno ha immesso 6,2 (anzi, 6.2 secondo la notazione anglosassone).

Risultato: il sistema ha accettato senza batter ciglio che Thorp avesse una statura di 6,2 centimetri ed è poi andato a calcolare il suo indice di massa corporea prendendo il suo peso e la sua statura e ha quindi deciso che il soggetto era incredibilmente obeso.

Il sistema ha poi preso questo dato di obesità impossibile e lo ha usato come criterio per l'emissione dell'invito a vaccinarsi.

Thorp l'ha presa bene, ma se il sistema può commettere errori di questo genere potrebbe anche commetterli nell'altro senso e negare una vaccinazione a chi ne ha bisogno.

Questo genere di problema tipicamente informatico nasce dal fatto che chi programma i computer non fa controlli di buon senso sui dati immessi. Un programma fatto bene non dovrebbe nemmeno accettare una statura di 6,2 centimetri.

Questo tipo di controllo va sotto vari nomi: input validation o input sanitization sono fra i più frequenti. La validation consiste nel controllare che in un campo venga immesso un dato pertinente (per esempio soltanto cifre in un campo destinato ad accogliere un numero) e sensato (una statura deve avere limiti massimi e minimi, per esempio).

La sanitization, invece, consiste nel verificare che i dati immessi non contengano caratteri che possono causare problemi nell'elaborazione successiva (per esempio qualcosa che possa essere interpretato come comando anziché come dato).

Può sembrare banale, ma il mancato controllo dei dati immessi è la tecnica tipica di intrusione nei siti: si chiama SQL injection. Cito in proposito l'ormai storica vignetta di xkcd:

exploits of a mom

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
Le parole di Internet: link rot
Le parole di Internet: interoperabilità
Due parole sulla vulnerabilità di Rousseau
In crescita attacchi XSS e SQL injection
Anonymous, tutti i dettagli dell'operazione Tango Down
Google ricompensa gli hacker con dollaroni sonanti
Hacker all'attacco di Nokia
Attaccato il sito greco di Sony BMG
LizaMoon infetta quattro milioni di siti
Cinque consigli per uno shopping online sicuro
Poste, un defacement preannunciato
Più di 60.000 siti scaricano malware sui Pc dei visitatori
I database di F-Secure sotto attacco
Violato il database di Kaspersky
Oracle tappa 45 buchi
Grave vulnerabilità senza patch in Flash Player
Mezzo milione di siti colpiti con una Sql injection

Commenti all'articolo (2)

@zero Permettimi di correggerti o, meglio di integrare quanto hai scritto: Adesso l'obiettivo principale e' di uscire subito col prodotto al costo di produzione minore possibile. I risultati sono ovvi e inevitabili... :roll: Leggi tutto
28-2-2021 16:12

La validazione dei dati ed il test dell'applicazione, un tempo erano "obbligatorie". Nessuno si sarebbe sognato di non farle. Ma portavano via una bella fetta di tempo. Adesso l'obiettivo principale e' di uscire subito col prodotto. Quindi vengono ignorate. E i risultati, purtroppo, si vedono ovunque. .
26-2-2021 08:56

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quasi la metà delle famiglie italiane (nel 2012 erano il 45,5% secondo Confindustria Digitale) non possiede ancora un collegamento a Internet. Qual è secondo te il principale motivo?
La connessione a banda larga non è disponibile.
Motivi di privacy e sicurezza.
Mancanza di skill e capacità d'uso.
Alto costo del collegamento.
Alto costo degli strumenti.
Internet non è utile.
Accedono a Internet da altro luogo.

Mostra i risultati (3648 voti)
Settembre 2021
Microsoft cede: Windows 11 si installa anche su hardware incompatibile
Windows 10, l'update di settembre impedisce di stampare
Truffatori scavalcano le difese informatiche nella maniera più semplice
Apple svela gli iPhone “più Pro” di sempre
Ripristinare il vecchio menu Start in Windows 11
Uno spot mette Windows 11 KO
L'auto elettrica di Apple
Microsoft non bloccherà Windows 11 sui PC non supportati
Windows 11, svelata la data di lancio
Agosto 2021
La barra di Windows 11 è di proposito peggiore di quella di Windows 10
Violati i server TIM, password degli utenti a rischio
Windows 11, disponibile la prima ISO ufficiale
Microsoft: disabilitate il sistema di stampa di Windows (di nuovo)
Google taglia gli stipendi a chi sceglie il telelavoro
Gli iPhone scansioneranno tutte le foto alla ricerca di pedopornografia
Tutti gli Arretrati
Accadde oggi - 26 settembre


web metrics