Problema di sicurezza generale

[sablaireau]

1) Ho provato ad inviare un e.mail falsa dalla gmail action e me l'ha accettata. L'indirizzo era pippo. Quindi si dovrebbe usare più angular per la parte client quindi meno variabili globali e mettere più controlli sulla parte server. Ho usato un googleChrome con la console e ho cambiato il campo email del json ed è stata inviata.

2)Inoltre per ogni campo dalla parte client eseguiamo dei controlli di validità come ad esempio per la temperatura (-70/+70) si dovrebbero anche mettere sul server o ci sono già?

[simonaPr]

sì..domani me ne occupo

[strawberry-code]

Cioè, di norma il campo email viene già controllato dal client prima dell'invio, quindi nel caso normale vi arriverà sempre una email corretta.

Tuttavia, come ha notato @sablaireau è possibile aprire il dev tool del browser e modificare i campi (qualsiasi) del JSON con la ricetta. Per cui – in casi rari come questi – sarebbe opportuno gestire dei controlli anche nel lato server.

Aggiungo ancora una cosa: per le date, per esempio, se non mi sbaglio, il DB è in grado di rifiutare quei dati che non siano delle date. Non so come si faccia, ma suppongo che non debba essere una cosa difficile. Comunque non me ne intendo. 😁

[simonaPr]

• [x] Allora per quanto riguarda l'email..noi avevamo già messo un controllo sull'email, ma molto semplice, ovvero controlla che ci sia il simbolo '@'. Aggiungere regex.
• [x] per ogni campo dalla parte client eseguiamo dei controlli di validità come ad esempio per la temperatura (-70/+70) si dovrebbero anche mettere sul server o ci sono già?
• [x] Per le date noi nel db le abbiamo messe come stringhe, quindi potenzialmente accetta qualsiasi cosa..poi nel codice java le parsifichiamo come date e quindi occorre gestire opportunamente le eccezioni. Tuttavia posso provare a vedere se si riesce a fare un mapping in hibernate direttamente con le date (sicuramente sì) e cambiare la logica. --> per il momento ho aggiunto un blocco try-catch che catturi l'eccezione sulla parsificazione della data (ad esempio se nel campo startDate c'è scritto "ciao"), così il thread non si blocca e prosegue. Poi con Alex vedremo come gestire bene tutte le eccezioni all'interno del thread

[strawberry-code]

Per quanto riguarda la validazione delle email, abbiamo trovato questa REGEX che funziona molto bene:

var re = /^(([^<>()[\]\\.,;:\s@\"]+(\.[^<>()[\]\\.,;:\s@\"]+)*)|(\".+\"))@((\[[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\])|(([a-zA-Z\-0-9]+\.)+[a-zA-Z]{2,}))$/;

return re.test(email);

dove re è la REGEX in questione, la funzione <regex>.test(<string>) in JavaScript ritorna false o true in questo caso.

Sicuramente ci sarà qualcosa di simile anche per il Java.

[simonaPr]

ok..provo a metterla..ma quindi non volete che testo che l'email esista davvero (ammesso che si possa fare), giusto?

[strawberry-code]

In che senso testare che l'email esista davvero?

[simonaPr]

che se metto ciao@gmail.com, l'email è nel formato corretto, ma probabilmente non esiste.. secondo me questo non è un grosso problema..se l'utente mette un email fasulla, semplicemente non riceverà mail l'email di attivazione e il suo account non verrà mai attivato. Siete d'accordo?

[sablaireau]

Ti faccio esempi di e.mail che accettiamo come formato:

o@l.uj o.l.s@l.uj o.s@l.s.uj

Formato non valido: Es:

o.s@l.s.s

Poi puoi anche fare altri controlli o cambiargli :)

[strawberry-code]

Si, non c'è bisogno di testare che la mail esista davvero... chi ci rimette, sarà colui che vorrà registrasi! XD

Quindi direi che va bene solo controllare il formato con quella regex per esempio.

[sablaireau]

uhm sperando che non usi il nostro servizio per fare un attacco di denial email XD

[strawberry-code]

Già, speriamo di no!

[sablaireau]

Allora se vogliamo fare le cose sicure dovremmo mandare un link a quel e.mail affinché venga attivata quel servizio su quel account oppure si deve registrare con quel email (la seconda mi sembra più potente come soluzione ma meno flessibile)

[simonaPr]

ma la nostra soluzione è proprio la prima...mandiamo il link a quell'email, se l'utente lo riceve e lo preme, il servizio viene attivato su quell'account (email)

[sablaireau]

No, intendevo dire che nel action di gmail posso inserire qualsiasi e.mail e quindi mandare il risultato della ricetta (meteo per domani ad esempio) ad una persona qualsiasi senza che essa ne sappia nulla solo per dargli fastidio

[strawberry-code]

Questo lo puoi fare anche nel vero IFTTT. È una possibilità lecita.

[simonaPr]

eh sì..anche perchè..come facciamo a controllare questo caso? Cioè..non possiamo sapere l'associazione di un utente con tutte le sue possibili email..cioè...come facciamo a sapere che l'email che inserisce non è una delle sue? Dobbiamo telefonargli e chiedergli :P Scherzo ovviamente!

[sablaireau]

No basta dirgli che si deve registrare anche con quella e.mail, ovviamente le mie sono solo locubrazioni mentali :) Mi stavo facendo un attacco da solo ahahhha o.k. lascio perdere :)

[simonaPr]

ahahahah..si direi che questi casi possiamo lasciarli stare

[sablaireau]

ottimo :)

[simonaPr]

allora..ho provato a rinforzare il controllo dell'email..tuttavia la vostra regex non me l'accettava, ho dovuto metterne un'altra, che però mi sembra molto più corta della vostra.. provate a vedere se funziona, io non so come fare a testarla..

[simonaPr]

devo aprire il terminale?

[strawberry-code]

Proviamo ad usare regex101! 😊

Nel commento che ho cancellato avevo sbagliato link 🙄

[simonaPr]

mmm..sembra che la regex che ho trovato io non funzioni.. adesso vedo di sistemarlo

[simonaPr]

ho provata a sistemarla (ho committato di nuovo)..il problema era il carattere "\" in java..quindi ho dovuto cambiare leggermente la vostra regex in modo che java me lo accettasse (spero di non avere fatto pasticci con la regex..cosa molto probabile). Ora per testarla dovrei cambiare il json in rete come facevate voi...come faccio?

[sablaireau]

allora è semplice

[sablaireau]

fai una ricetta e usa gmail action

[sablaireau]

metti una e.mail giusta se no ti da errore poi premi il tasto submit e fermati e apri la console da del browser

[sablaireau]

quando sei alla console del browser digita modulinoj2 cambia quello che ha in pancia

[simonaPr]

ok..ci provo..quindi devo mettere dei breakpoint?

[sablaireau]

no no nessun break point fermati quando sei alla descrizione non premere il tasto submit della descrizione

[sablaireau]

il model della descrizione deve essere aperto ci puoi anche scrivere dentro se ti fa piacere ma non premere il tasto del model della descrizione

[strawberry-code]

No, nessun breakpoint! @sablaireau intendeva dire:

1. Fai partire il sito
2. Apri il dev tool del browser
3. Crea una ricetta con un trigger qualsiasi
4. Quando devi scegliere una action scegli quella di GMail
5. Compila i campi che vuoi, ma quello della email deve essere valido
6. Premi submit e comparirà il form per inserire la descrizione della ricetta (l'ultimo form per intenderci)
7. Lascia aperto quel form e vai nella console del browser
8. Da quella console digita "modulinoj2" ora puoi modificarlo a piacere
9. Prime il submit della descrizione della ricetta per inviare al server una email diciamo non valida

[simonaPr]

Ah ma cacchio..sto sbagliando tutto allora!! Io stavo mettendo i controlli al momento della registrazione..che l'email che l'utente inserisce sia corretta..

[sablaireau]

va bene anche li

[sablaireau]

più controlli fai meglio è

[simonaPr]

devo aggiungerli anche là

[sablaireau]

ma forse è meglio non ho testato quella parte mi sono fermato alla creazione della ricetta

[sablaireau]

in quella zona è più complicato, tuttavia se c'è un server resistente forse è meglio

[strawberry-code]

In realtà, tutto questo, ne parlavamo io e @sablaireau ieri, si poteva benissimo evitare a priori, utilizzando le variabili interne di AngularJS che non sono accessibili dal tool del browser.

Dopotutto, modulinoj1 e modulinoj2 sono due variabili globali... e quindi accessibili da chiunque. 🙄

Io dico, ormai è fatto così, per poter proteggere queste variabili si doveva usare AngularJS fin da subito e ora cambiare tutto è molto costoso in termini di tempo. Quindi io tralascerei questo problema e andrei avanti su altre cose.

[simonaPr]

sì sì..ma i controlli è sempre meglio farli anche sul server in ogni caso..adesso cerco di aggiungerli altrove.

Ragazzi..non trovo più il link alla "spiegazione del sito" che volete mandare al prof quando gli chiediamo l'appuntamento..me lo potreste passare per favore?

[simonaPr]

In ogni caso..la regex scritta così non funziona! Vado a mangiare anch'io, dopo ci penso

[strawberry-code]

Ragazzi..non trovo più il link alla "spiegazione del sito" che volete mandare al prof quando gli chiediamo l'appuntamento..me lo potreste passare per favore?

La pagina che cerchi potrebbe essere questa: https://cristiano-c.github.io oppure puoi guardare anche qui.

[simonaPr]

ok grazie..in realtà ho visto che non va bene. Perchè volevo modificare l'email di attivazione dell'account, scrivendo una cosa del tipo: If you didn't try to register to our site, please ignore this e-mail! e mettere il link al nostro sito (anche per pubblicità :P)..però è meglio se metto direttamente il link alla home del nostro sito.

Ovviamente..se poi non vi piace, possiamo di nuovo toglierlo.

[simonaPr]

Adesso l'email è così..ditemi se vi piace. Premendo su "ifttt polito" si va sulla home del nostro sito

[sablaireau]

Bella!!!! Troppo bella complimenti!!!!

[strawberry-code]

È stupenda!!! 😸

[strawberry-code]

Una 🏅per @simonaPr!

😄

[simonaPr]

Ahahaha..bien..sono contenta che vi piaccia :) Adesso cerco di fare la parte difficile: sistemare questa regex..

[strawberry-code]

Se ne trovano tanto in giro di regex per le email, si possono testare tutte utilizzando regex1010.

Le regex sono indipendenti da qualsiasi piattaforma.

[simonaPr]

eh lo so..ma java non accetta il carattere "\"...ho provato a sistemarla mettendo da qualche parte "\", ma ovviamente ho fatto casini perchè la registrazione così non funziona più. E su regex1010 non posso testarla, perchè se la metto in una forma accettabile per Java, lì ovviamente non funziona più