• Super User

    E' legale pubblicare o mostrare ad estranei un'analisi di un sito web qualunque?

    Vorrei fare un'analisi molto approfondita di un sito web con cui non ho alcun rapporto o contatto (perchè difficilmente i miei clienti mi daranno il permesso di mostrare le analisi dei loro siti) e poi vorrei pubblicare o mostrare di persona (stampata) questa analisi per far vedere alcune cose che potrebbero essere informazioni potenzialmente pericolose per la privacy o la sicurezza del sito... però ci tengo a precisare che si tratta di informazioni che qualsiasi smanettone può reperire facilmente senza ricorrere a tecniche illegali di hacking.

    Ad esempio:

    • facendo un whois si vede a chi è intestato il sito (nome e cognome), numero di telefono e email (queste informazioni le posso "coprire", ma se poi dico come si fanno ad ottenere è come se le pubblicassi... o no?)
    • analizzando il file robots.txt (basta andare su www . nomedelsito .it o .com / robots.txt) si possono vedere quali cartelle sono nascoste e quindi scoprire ad esempio che il sito è fatto con wordpress
    • sapendo che il sito è fatto con wordpress quindi si può andare su www . nomedelsito .it o .com / wp-admin e ritrovarsi la pagina per accedere al sito come amministratore (bisogna però scoprire username e password)
    • se non si conosce la password la si può richiedere inserendo l'indirizzo email (che probabilmente è quello ottenibile con l'whois)... quindi alla fine serve solo scoprire la password dell'email... che per un malintenzionato può non essere difficilissimo

    Quindi, ricapitolando, rischio qualcosa se pubblico l'analisi di un sito (senza autorizzazione) in cui mostro cose potenzialmente pericolose per la privacy del proprietario o per la sicurezza del sito**? **

    Grazie a tutti in anticipo.


  • User

    Se ti limiti a pubblicare informazioni di pubblico dominio quali whois vai tranquillo


  • User Attivo

    Ciao, quasi tutti gli esempi che hai portato lasciano il tempo che trovano, come ad esempio il whois, le informazioni sono pubblicate, per obbligo, solo sui domini .IT, per il resto la maggior parte dei provider maschera tutti i dati tranne Nome e Cognome, se non li maschera in automatico puoi farne richiesta, il più delle volte è gratuito.
    Scoprire la mail associata non ti da certo accesso all'amministrazione. Puoi richiedere la password smarrita quante volte vuoi, ma se non hai accesso alla mail non l'avrai mai, per contro se trovi la persona sbagliata che vuole approfondire rischi seri guai.
    Nascondere che si usa WordPress qualcuno lo fa ma chiunque può scoprirlo comunque.

    In poche parole non diresti nulla di nuovo o di particolarmente utile a livello di sicurezza. Il fatto è che prendere un sito e pubblicare tutti i suoi dati non serve a nulla se non a fare arrabbiare il proprietario del sito che potrebbe anche pensare a un tentativo di stalking.

    A meno che ti occupi di recensioni in generale e allora è un'altra storia, non prendi un sito di mira ma tutti i siti che ti pare su cui puoi parlare di come sono fatti, errori, caratteristiche eccetera. E su questo non devi chiedere autorizzazione a nessuno, nemmeno ai tuoi clienti, sei tu responsabile di ciò che scrivi, a patto ovviamente che i tuoi articoli non degenerino in offese o peggio.
    Il massimo che può capitarti è una denuncia per diffamazione se fai una recensione negativa che non corrisponde alla realtà, per esempio ti inventi aspetti negativi del sito che hai recensito.


  • Super User

    Ciao MustHave, forse invece di iniziare il tuo post con "gli esempi che hai portato lasciano il tempo che trovano" potevi leggere bene e avresti letto "ci tengo a precisare che si tratta di informazioni che qualsiasi smanettone può reperire facilmente senza ricorrere a tecniche illegali di hacking".

    Riguardo al mascheramento dell'whois il tuo discorso lascia il tempo che trova visto che non parlavo in generale ma proprio di un sito (di cui ovviamente non faccio il nome) che ha tutte le informazioni pubbliche.

    Anche riguardo a WordPress i modi per scoprire se un sito è fatto con WordPress sono tanti ma non è questo il punto.

    E' ovvio che se un malintenzionato va su un certo sito certe cose le può scoprire facilmente da solo, e di certo non è mia intenzione pavoneggiarmi facendo credere ai visitatori del mio sito che ho scoperto chissà quale segreto (anzi l'obiettivo è esattamente il contrario), infatti ho parlato di "informazioni che qualsiasi smanettone può reperire facilmente".

    Il problema secondo me è che un conto è dire "facendo un whois si possono scoprire certe informazioni" e "analizzando il codice web si può capire se un sito è fatto con wp", e tutt'altra cosa è dire "quel sito è fatto con WordPress e se andate su whois.com vedete pure a chi è intestato".

    Poi comunque quelle sono due cose che fanno parte di un discorso molto più complesso in cui "whois" e "cms" sono solo due elementi, ma credo siano quelli che mi possono dare più problemi.


  • User Attivo

    @LorenzoRoma said:

    potevi leggere bene e avresti letto "ci tengo a precisare che si tratta di informazioni che qualsiasi smanettone può reperire facilmente senza ricorrere a tecniche illegali di hacking".
    Tu hai chiesto e hai portato degli esempi, io ti ho risposto e ho aggiunto che i tuoi esempi "lasciano il tempo che trovano" perché sono le solite trite e ritrite notize che migliaia di blog si copiancollano da sempre: nascondere che si usa WordPress, nascondere l'accesso wp-admin, cambiare la cartella wp-content, cancellare il file wp-config.sample.php, e così via.
    Ce ne fosse uno che spiega che un tema o un plugin scaricato da siti warez sarà come pubblicare su Facebook i dati della propria carta di credito. E sapessi quanti, ma quanti ce ne sono, anche su questo forum spesso arriva il solito furbetto che presenta la sua ultima fatica con nel sorgente tanto di "shared on XXXXX" (meglio asteriscare 😄 )
    Poi uno legge che ogni giorno vengono bucati migliaia di siti WordPress. Già il concetto di sicurezza è davvero relativo per tutto ciò che riguarda un software, ma in particolare Wordpress non è sicuro? Assolutamente no.

    Per farti capire, il trucchetto di mascherare wp-admin ha valore zero in termini di sicurezza se tuto il resto è un colabrodo, hosting compreso 😉

    Questo è quello che penso.


  • Super User

    Sono in gran parte d'accordo sul discorso generale sulla sicurezza, ma io non ti ho detto esattamente tutto quello che voglio fare. 😉
    Infatti non voglio di certo dire banalità spacciandole con scoperte geniali, quindi saranno cose trite e ritrite per me e per te... per chi non ci capisce nulla lo sono meno.

    Su wp-admin non sono d'accordo invece perché magari non sarà il massimo della sicurezza, ma è meglio di niente.
    Perché wp-admin lo conosce qualsiasi ragazzino che ha un blog con wordpress e le password delle email con un pò di impegno si possono ottenere in vari modi.


  • User Attivo

    @MustHave said:

    Già il concetto di sicurezza è davvero relativo per tutto ciò che riguarda un software, ma in particolare Wordpress non è sicuro? Assolutamente no.

    Mi autoquoto perché ho paura di aver espresso l'esatto contrario di quello che volevo dire, sarà il caldo 😄
    Con "assolutamente no" non intendevo dire che Wordpress non è sicuro ma che è sbagliato ritenerlo insicuro.

    @LorenzoRoma said:

    Infatti non voglio di certo dire banalità spacciandole con scoperte geniali, quindi saranno cose trite e ritrite per me e per te... per chi non ci capisce nulla lo sono meno.
    Se fai buona informazione che soprattutto aiuta il neofita, allora ben venga, c'è molta ignoranza in tema di sicurezza in particolare da parte di chi queste cose dovrebbe saperle.

    Di recente sono stato bannato dal forum di html.it, un tizio ha pubblicato un sito realizzato con WordPress per ricevere pareri, nel sorgente era ben più che visibile che si trattava di una copia pirata, oltretutto nemmeno aggiornata, con tanto di riconoscimenti del sito warez.
    Secondo il moderatore di html.it era tutto regolare perché nel sito era presente la seguente licenza: **gnu.org/licenses/gpl-2.0.html **

    Coraggio allora, tutti su Themeforest, Yootheme, Rockettheme, Woothemes e mille altri, prendiamo il nome dei temi che ci piacciono, una ricerca come torrent, free, e scarichiamo tutto gratis, solo gli imbecilli pagano qualcosa che potrebbe essere scaricato gratis! 😄

    E' questo che sta principalmente alla base della vulnerabilità di WordPress, ma di qualsiasi CMS. I casi di violazione di siti aggiornati, puliti, su hosting seri, sono molto meno frequenti.


  • User Newbie

    xxx


  • User

    @LorenzoRoma said:

    Ad esempio:
    [...]

    • se non si conosce la password la si può richiedere inserendo l'indirizzo email (che probabilmente è quello ottenibile con l'whois)... quindi alla fine serve solo scoprire la password dell'email... che per un malintenzionato può non essere difficilissimo

    Quindi, ricapitolando, rischio qualcosa se pubblico l'analisi di un sito (senza autorizzazione) in cui mostro cose potenzialmente pericolose per la privacy del proprietario o per la sicurezza del sito**? **

    ciao,
    ho letto la domanda e sommariamente la discussione che ne e' seguita

    partendo dal presupposto che il tuo fosse solo un esempio, mi balza all'occhio che se il risultato finale di ottenere e divulgare un'analisi (forse) non ti espone a rischi, di sicuro il mezzo - leggere la posta altrui - e' un reato che ti espone anche al carcere

    in sintesi, oltre a preoccuparti dei rischi del risultato, dovresti prestare attenzione anche al modo in cui lo ottieni

    mi vengono anche dei dubbi circa il 'mostro cose potenzialmente pericolose per la privacy del proprietario o per la sicurezza del sito'.
    ovvero, citando il tuo esempio, dopo che hai avuto accesso al mio pannello di amministrazione wordpress, a quali dati pericolosi hai accesso?
    di fatto dovresti vedere solo i contenuti che comunque sono gia' pubblicati nel front-end. al limite puoi vedere pagine che non sono ancora o non più accessibili. oppure liste di utenti e password. altro non mi sovviene

    tieni presente che, in ogni caso, gia' il concetto di mostrare cose 'pericolose per la privacy' va a braccetto con quello di commettere un reato

    forse dovresti esemplificare il tipo di analisi che vorresti realizzare e divulgare