W tym tygodniu w sieci pojawiły się kody źródłowe oprogramowania wykorzystywanego podczas wyborów samorządowych 2014. Informacja pojawiła się wykopie, później w różnych serwisach zajmujących się szeroko pojętym światem wytwarzania aplikacji. Programiści to dosyć specyficzna grupa zawodowa bezlitośnie oceniająca styl i metodykę programowania innych osób. W branży wytwarzania oprogramowania często toczone są walki o wyższość świąt Bożego Narodzenia nad Świętami Wielkanocnymi. W tym przypadku jednak mają rację.
Nie sądzę aby kod źródłowy obecny w sieci pochodził od samych zainteresowanych. Nie wiem, na ile wiarygodne są te źródła, które to publikują. I nie sądzę, aby kod źródłowy pochodził z czystego reverse engineering bo widać tam modyfikację w sensie chociażby formatowania.
Tyle o spiskach. Mnie zainteresował fragment weryfikacji certyfikatu. Całość została wytworzona w C#,co jest dosyć popularnymrozwiązaniemdla systemu Windows.Na niektórych serwisach można się zaznajomić z numerem licencji osoby, która miała udział w napisaniu tego kodu. Ale do rzeczy. Poniżej zrzut ekranu:
Weryfikacja certyfikatu w tym kodzie określa jego ważność tylko na podstawie daty obowiązywania w nim zawartym. Co bym zrobił aby to obejść ? Ustawiłbym odpowiedni czas w komputerze. Każdy certyfikat oprócz podstawowych informacji zawiera potwierdzenie od instytucji certyfikującej. Tutaj tego nie ma. Każdy wgrany certyfikat o odpowiedniej dacie będzie prawidłowy. Brak jest podstawowej weryfikacji certyfikatu do jego dalszego użycia.
Aha, jeszcze jedno. Technologia umożliwia wykrywanie sytuacji błędnych. Po to są tzw. wyjątki. Nie po to aby je topić. To kilkukrotne usypianie wątku na 1000ms miało służyć celom testowym? Brak polityki wdrożenia. To amatorszczyzna.
