Input validation: la storia di un uomo alto 6,2 cm

Le parole di Internet.



[ZEUS News - www.zeusnews.it - 26-02-2021]

Liam Thorp

Liam Thorp è un trentaduenne britannico in ottima salute che scrive per il Liverpool Echo. Normalmente dovrebbe essere in fondo alla lista d'attesa per le vaccinazioni anti-Covid, che vengono fatte prioritariamente a chi è più avanti negli anni o ha problemi di salute, ma la BBC racconta che gli è arrivato l'invito a vaccinarsi perché risultava clinicamente obeso. Aveva infatti un indice di massa corporea di 28.000 (ventottomila), quando i valori normali di questo indice oscillano fra 18 e 24.

Il disguido, che lui stesso racconta qui, è avvenuto perché la sua statura era stata registrata nei sistemi informatici della sanità britannica immettendo piedi e pollici in un campo fatto per contenere un valore espresso in centimetri. Thorp è alto 6 piedi e 2 pollici (187 cm), e così qualcuno ha immesso 6,2 (anzi, 6.2 secondo la notazione anglosassone).

Risultato: il sistema ha accettato senza batter ciglio che Thorp avesse una statura di 6,2 centimetri ed è poi andato a calcolare il suo indice di massa corporea prendendo il suo peso e la sua statura e ha quindi deciso che il soggetto era incredibilmente obeso.

Il sistema ha poi preso questo dato di obesità impossibile e lo ha usato come criterio per l'emissione dell'invito a vaccinarsi.

Per approfondire:
Le parole di Internet: link rot
Le parole di Internet: interoperabilità
Due parole sulla vulnerabilità di Rousseau
In crescita attacchi XSS e SQL injection

Thorp l'ha presa bene, ma se il sistema può commettere errori di questo genere potrebbe anche commetterli nell'altro senso e negare una vaccinazione a chi ne ha bisogno.

Questo genere di problema tipicamente informatico nasce dal fatto che chi programma i computer non fa controlli di buon senso sui dati immessi. Un programma fatto bene non dovrebbe nemmeno accettare una statura di 6,2 centimetri.

Questo tipo di controllo va sotto vari nomi: input validation o input sanitization sono fra i più frequenti. La validation consiste nel controllare che in un campo venga immesso un dato pertinente (per esempio soltanto cifre in un campo destinato ad accogliere un numero) e sensato (una statura deve avere limiti massimi e minimi, per esempio).

Articoli suggeriti:
Anonymous, tutti i dettagli dell'operazione Tango Down
Google ricompensa gli hacker con dollaroni sonanti
Hacker all'attacco di Nokia
Attaccato il sito greco di Sony BMG

La sanitization, invece, consiste nel verificare che i dati immessi non contengano caratteri che possono causare problemi nell'elaborazione successiva (per esempio qualcosa che possa essere interpretato come comando anziché come dato).

Può sembrare banale, ma il mancato controllo dei dati immessi è la tecnica tipica di intrusione nei siti: si chiama SQL injection. Cito in proposito l'ormai storica vignetta di xkcd:

exploits of a mom
Ti raccomandiamo anche:
LizaMoon infetta quattro milioni di siti
Cinque consigli per uno shopping online sicuro
Poste, un defacement preannunciato
Più di 60.000 siti scaricano malware sui Pc dei visitatori

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
I database di F-Secure sotto attacco
Violato il database di Kaspersky
Oracle tappa 45 buchi
Grave vulnerabilità senza patch in Flash Player
Mezzo milione di siti colpiti con una Sql injection

Commenti all'articolo (2)


Gladiator
@zero Permettimi di correggerti o, meglio di integrare quanto hai scritto: Adesso l'obiettivo principale e' di uscire subito col prodotto al costo di produzione minore possibile. I risultati sono ovvi e inevitabili... :roll: Leggi tutto
28-2-2021 16:12
zero
La validazione dei dati ed il test dell'applicazione, un tempo erano "obbligatorie". Nessuno si sarebbe sognato di non farle. Ma portavano via una bella fetta di tempo. Adesso l'obiettivo principale e' di uscire subito col prodotto. Quindi vengono ignorate. E i risultati, purtroppo, si vedono ovunque. .
26-2-2021 08:56
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Qual è il primo dispositivo che utilizzi, la mattina?
Il cellulare
La Tv
La radio
Il computer
Il rasoio
La macchinetta del caffè
L'asciugacapelli

Mostra i risultati (4049 voti)
Marzo 2023
n. 3692 del 28-03-2023
iPhone 15, addio alle SIM anche in Italia?
n. 3691 del 22-03-2023
Hyundai: i touchscreen nelle auto sono pericolosi
n. 3690 del 21-03-2023
Windows 11, ancora SSD lenti dopo l'ultimo aggiornamento
n. 3689 del 17-03-2023
La IA entra in Gmail e nei Documenti di Google
n. 3688 del 15-03-2023
Samsung beccata a barare sulle foto della Luna
n. 3687 del 12-03-2023
Perché c'è una fotocamera negli scanner dei supermercati?
n. 3686 del 09-03-2023
Il primo datacenter lunare sta per aprire i battenti
n. 3685 del 07-03-2023
Amazon chiude 8 negozi “senza commessi”
n. 3684 del 02-03-2023
Meta inietterà la IA in WhatsApp, Facebook Messenger e Instagram
Febbraio 2023
n. 3683 del 28-02-2023
Intelligenza artificiale: il programmatore pericoloso
n. 3682 del 23-02-2023
SPID a rischio, due mesi per deciderne il futuro
n. 3681 del 20-02-2023
L'UE vara il Portafoglio per l'Identità Digitale
n. 3680 del 16-02-2023
Sfida su TikTok costringe ad aggiornare 8 milioni di auto
n. 3679 del 11-02-2023
Windows 11 è praticamente uno spyware
n. 3678 del 07-02-2023
La verità sul “massiccio attacco hacker” di cui tutti parlano
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 30 marzo
2023
Acquisti online a rate con Apple Pay Later
2022
Rolling Rhino, l'edizione di Ubuntu sempre aggiornata
2021
La privacy è morta?
2020
Oltre un milione di e-book gratis sull'Internet Archive
2018
Tim Cook tira le orecchie a Facebook: alla Apple non trattiamo i clienti come pr...
2016
Sei veramente anonimo? Il sito per testare VPN e proxy
2015
Nuove regole di Facebook: meno tabù sui topless
2014
Parolacce nel codice dei primi Word e MS-DOS
2013
Pc e malware
2012
Cyberlocker, chi sale e chi scende
2011
Samsung presenta la linea di notebook ultrasottili
2010
FlashPeak SlimBrowser
2009
Una connessione wireless superveloce a 12,5 Gbit/s
2008
Il meglio dal Forum "Sicurezza"
2007
Dell si arrende al Pinguino
2006
Centrali a idrogeno
2005
L'istruzione sull'Olimpo
2004
Cuba e Tronchetti Provera
2002
Che idea grandiosa, una tassa sulla pirateria - parte 3
2001
Bruce Perens a Milano
Olimpo Informatico


 
web metrics