Da quasi un anno, per accedere al sito dell’Agenzia delle Entrate (Entratel/Fisconline) sono necessari tre codici per l’autenticazione: uno username, una password e un pin personale, tutto ciò per garantire la massima sicurezza nella gestione dei propri dati. Eppure c’è un bug che consentiva fino ad oggi (02/02/2017) di fare a meno del Pin ed autenticarsi al sito solamente con le prime due variabili, creando un pericolo di sicurezza per gli utenti.
Come funziona(va)
Accedendo dal sito internet e inserendo i dati di autenticazione nel form specifico, il browser comunica i dati al sito dell’Agenzia delle Entrate usando il metodo POST, i dati sono inviati in maniera nascosta all’utente tra i dati della sessione HTTP. E’ però possibile passare i dati anche con il metodo GET ovvero inserendoli direttamente nella stringa presente nella barra degli indirizzi usando un’apposita sintassi.
Collegandosi al sito web e inserendo solo due valori:
ottengo una schermata di errore:
ma passando i parametri direttamente nella barra degli indirizzi in questa forma “http://telematici.agenziaentrate.gov.it/Servizi/j_security_check?j_username=NOMEUTENTE&j_password=PASSWORD” :
riesco tranquillamente ad accedere al sito web, con buona pace della sicurezza dei nostri dati:
Il bug dopo la mia segnalazione fatta oggi,02/02/17, non è più presente (avrei gradito almeno un grazie dall’ufficio Servizi Telematici, ma forse arriverà domani… in effetti oggi, 03/02/17, è arrivata una email di ringraziamento per la segnalazione)
Devi effettuare l'accesso per postare un commento.