Pagina 1 di 2 1 2 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 18

Discussione: Inviare SMS dal web

  1. #1
    Utente di HTML.it L'avatar di strae
    Registrato dal
    Apr 2008
    Messaggi
    407

    Inviare SMS dal web

    ..fermo li! non è tecnico!

    Come i lor signori di certo sapranno, ci sono millemila servizi per inviare essemmesse dal ueb, niente di strano.
    Molti di questi servizi (se non tutti) permettono anche di specificare il mittente, che può essere un nome o un numero di telefono cellulare.
    Tutti questi servizi, tuttavia, prima di poter usare un numero cellulare come mittente, inviano a quel numero un sms con un codice di verifica per 'validare' il numero e essere certi che l'utente possegga effettivamente quel numero, semplice semplice.

    A differenza delle email (dove si può facilmente controllare l'indirizzo ip del server che ha inviato la mail e l'indirizzo ip effettivo del dominio dal quale proviene), però, il cellulare che riceve questi messaggi non ha alcun modo di verificare il messaggio che riceve proviene veramente dal cellulare del mittente o da uno di questi servizi web (ho provato e controllato, non c'è alcun modo).

    Preambolo
    Qualche settimana fà, un nostro cliente e amico, e venuto in ufficio incazzato come un'ape perchè qualcuno ha inviato un'email compromettente alla sua ragazza utilizzando il suo indirizzo email (classico scherzo da preti), noi abbiamo controllato gli indirizzi ip, e abbiamo potuto dire con certezza che quell'email non l'ha inviata lui (o meglio, l'avrebbe potuta inviare chiunque), e che il vero mistero è come mai l'account di posta della sua ragazza non l'abbia messa nello spam.





    Detto ciò, qualche giorno fà un'azienda ci propone uno di questi servizi per inviare sms dal web, ci attiva le API (che quasi parevano moscerini per quanto erano documentate) dell'account di prova e mi metto a smanettare un pò con test vari.
    Scopro che il loro servizio non ha alcun metodo di verifica per il mittente: con una semplicità estrema, posso mandare sms fingendomi ('clonando', in pratica) qualsiasi numero cellulare a chiunque, senza che chi riceva il messaggio abbia modo di accorgersi di nulla (se non facendo denuncia alla polizia postale, che indagando probabilmente dovrebbe risalire a tutto l'ambaradan).

    Ora mi chiedo, se faccio lo scherzo al mio cliente con la sua ragazza, che caspita ne viene fuori?

    Secondo voi devo far notare questa mancanza di sicurezza all'azienda che vende il servizio, o sono cavoli loro?

    A me stà cosa non piace per niente, un malintenzionato potrebbe fare davvero dei casini in questo modo.

    Poi mi sembra assurdo sia la semplicità con la quale si riesce a fare, sia che chi lo riceve non abbia alcun modo di controllare chi ha inviato i messaggi che riceve.. ma se io mi metto su un gateway sms in casa, posso inviare sms spacciandomi per chiunque?
    A livello legale l'azienda che propone il servizio rischia qualcosa?
    You HAVE to assume your visitor is a maniac serial killer, out to destroy your application. And you have to prevent it.
    I can accept failure, everyone fails at something - But I can't accept not trying.

  2. #2
    Utente di HTML.it L'avatar di Linkato
    Registrato dal
    Dec 2002
    Messaggi
    487

    Re: Inviare SMS dal web

    Originariamente inviato da strae


    Preambolo
    Qualche settimana fà, un nostro cliente e amico, e venuto in ufficio incazzato come un'ape perchè qualcuno ha inviato un'email compromettente alla sua ragazza utilizzando il suo indirizzo email (classico scherzo da preti)
    Minkia, che clienti ed amici tonti che hai...
    Primo Ministro Conte: "Sarà un anno bellissimo!"

  3. #3
    Utente di HTML.it L'avatar di strae
    Registrato dal
    Apr 2008
    Messaggi
    407

    Re: Re: Inviare SMS dal web

    Originariamente inviato da Linkato
    Minkia, che clienti ed amici tonti che hai...
    :master:
    You HAVE to assume your visitor is a maniac serial killer, out to destroy your application. And you have to prevent it.
    I can accept failure, everyone fails at something - But I can't accept not trying.

  4. #4
    Utente di HTML.it L'avatar di bubi1
    Registrato dal
    Dec 2009
    Messaggi
    1,230

    Re: Inviare SMS dal web

    Originariamente inviato da strae
    e che il vero mistero è come mai l'account di posta della sua ragazza non l'abbia messa nello spam.
    gia', moooolto misterioso

  5. #5
    Utente di HTML.it L'avatar di strae
    Registrato dal
    Apr 2008
    Messaggi
    407

    Re: Re: Inviare SMS dal web

    Originariamente inviato da bubi1
    gia', moooolto misterioso
    Che io sappia, se il mio server example.com ha indirizzo ip A, e ti invio un'email da info@example.com che arriva con indirizzo ip B, di solito è spam.

    E' un pò che manco dal forum, eravate tutti così simpatici anche prima o avete seguito dei corsi nel frattempo?
    You HAVE to assume your visitor is a maniac serial killer, out to destroy your application. And you have to prevent it.
    I can accept failure, everyone fails at something - But I can't accept not trying.

  6. #6
    Moderatore di foto/videocamere digitali ed elettronica hi-tech L'avatar di astro
    Registrato dal
    Sep 2009
    Messaggi
    534
    Io metterei tutto nero su bianco e lo manderei a chi di dovere

    Troppi pensieri, troppe domande non vanno bene: non ne so tecnicamente molto ma da quello che dici ce n'è abbastanza di strano

    Se vuoi mandami tutto che ci penso io

  7. #7
    Utente di HTML.it L'avatar di strae
    Registrato dal
    Apr 2008
    Messaggi
    407
    Originariamente inviato da astro
    Io metterei tutto nero su bianco e lo manderei a chi di dovere

    Troppi pensieri, troppe domande non vanno bene: non ne so tecnicamente molto ma da quello che dici ce n'è abbastanza di strano

    Se vuoi mandami tutto che ci penso io
    eh? :master:
    You HAVE to assume your visitor is a maniac serial killer, out to destroy your application. And you have to prevent it.
    I can accept failure, everyone fails at something - But I can't accept not trying.

  8. #8
    Utente di HTML.it L'avatar di Pastore12
    Registrato dal
    Oct 2008
    Messaggi
    1,051
    In verità però mi sembra un po' come la faccenda delle intercettazioni...

    Voglio dire, se l'azienda che offre il servizio fornisce anche un potere immane, solo i programmatori come te che lavorano con le API possono abusarne e il rischio si limita ai conoscenti dei programmatori...

    se poi il tecnico T invia alla moglie Y di X un messaggio "Z sei l'amore della mia vita..." beh... forse X non beccherà mai T, ma per risolvere il problema tra X e Y dovrebbe bastare una verifica presso il proprio gestore di telefonia. Credo basti collegarsi al sito web...

    Comunque, al di là di tutto, T è uno stronzo...
    "Ethics are to me something private. Whenever you use it as an argument for why somebody_else should do something, you’re no longer being ethical, you’re just being a sanctimonious dick-head"
    Linus Torvalds

  9. #9
    Utente di HTML.it L'avatar di strae
    Registrato dal
    Apr 2008
    Messaggi
    407
    Originariamente inviato da Pastore12
    In verità però mi sembra un po' come la faccenda delle intercettazioni...

    Voglio dire, se l'azienda che offre il servizio fornisce anche un potere immane, solo i programmatori come te che lavorano con le API possono abusarne e il rischio si limita ai conoscenti dei programmatori...
    Nì, questa 'API' sono un semplice form html.. non ho mai fatto così presto a testare delle api: campo user, password (della versione demo che mi hanno attivato), messaggio, mittente e destinatario.

    Cioè, sicuramente (spero!) facendo denuncia alla polizia postale loro dovrebbero risalire a chi ha realmente inviato il messaggio, e da li l'azienda risale all'account che lo ha inviato e quindi a me, però è una trafila molto lunga che per l'utente medio è un pò improbabile.. anche perchè già è difficile spiegare che è possibile inviare email taroccando il mittente, vagli a spiegare che anche l'sms può essere taroccato.. non so voi, ma nel mio caso, la mia ragazza andrebbe di FATALITY prima che possa anche solo mettere in ordine le parole per spiegargli tutto l'ambaradan

    Senza contare che noi, in buona fede, volevamo inizialmente lasciare compilare il campo mittente al momento dell'invio del messaggio; Ora immaginati una cosa del genere in un'applicazione usata da un'azienda con 100 dipendenti, vai poi a beccare il dipendente che ha inviato l'sms.

    Poi a me ha lasciato basito il fatto che fosse così semplice clonare (per modo di dire) il numero cellulare di qualcun'altro
    You HAVE to assume your visitor is a maniac serial killer, out to destroy your application. And you have to prevent it.
    I can accept failure, everyone fails at something - But I can't accept not trying.

  10. #10
    concordo con strae.

    ho utilizzato anche io questi sistemi e ho potuto divertirmi un po' a fare scherzi agli amici (smanettoni!) senza che sospettassero nulla.

    Devo dire che ad un certo punto i termini del servizio sono cambiati e la possibilità di mandare un numero come mittente era stata eliminata dal mio fornitore

    Rimane pero' la possibilità di mettere un mittente alfanumerico. Per cui si riescono cmq a mandare messaggi spacciandosi per TIM, o qualche banca.

    Ok, per fare truffe non è molto utile perché si viene sicuramente sgamati in caso di denuncia. Ma come scherzi ci si può 'divertire'

    mi stupisco pure io della facilità della cosa

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.