Shit happens... parte terza!
"pare che questo sia una esclusiva nostra"...
Questo post è nato come un commento nel blog di Andrea Boschin, poi quando ha superato le 300 righe, sono passato di qua' che l'editor è un po' meglio...
Vediamo come è andata ieri pomeriggio.
Quando ho visto il post in inglese su weblogs.asp.net, poi quello in francese su dotnetjunkies.com, e alla fine la segnalazione originale su sourceforge ho cercato di capirci di più.
Mi sono consultato con Andrea Saltarello. Dopo svariate prove, sul mio PC non riuscivo a riprodurlo, quindi lui si è messo a scrivere una web app per verificarlo. All'inizio era scettico, ma poi... è vero, il bug esiste, il problema c'è, "porcaccia" come direbbe Andrea Boschin...
"Lo pubblichiamo?" Gli ho chiesto... un po' dubbioso... e lui "certo, e con tutte le informazioni possibili".
Quindi lui a scrivere dell'esempio che ha creato per verificare la vulnerabilità, io a testarlo con URLScan per capire se proteggeva... e per fortuna faceva il suo dovere...
Perchè l'abbiamo fatto? Non è meglio tenere la testa sotto la sabbia? Dopotutto la percezione di ASP.NET ora è peggiorata...
Io non credo. Ora se uno vuole va su google e trova informazioni. Trova come riprodurre il problema, trova che URLScan protegge, trova il post di Roberto Brunetti che mette i puntini sulle i, e fa bene.
Basta vedere quante versioni di Firefox 1.0 preview stanno uscendo, con correzioni di bug e di problemi, ma la gente non dice Firefox fa schifo. Ogni versione viene scaricata da milioni di persone. E se c'è un bug si sa, e questo viene sistemato.
I bug sono dappertutto. E se ce ne sono di qua... meglio saperlo che illudersi di non averne.
Quindi non preoccupiamoci, mettiamo su una rete in cui ci difendiamo a vicenda, comunichiamo, e alla fine andrà meglio per tutti...
E al "ma chi paga" ha già risposto il buon Luka!
Quindi concordo pienamente con queste ultime frasi di Andrea Boschin;
Uno in più trovato è uno in meno da temere. E un passo i avanti verso la perfezione...
