sicurezza form

[giorgio]

Salve a tutti, sono nuovo del forum!
Da poco ho iniziato ad utilizzare Forma per un progetto di e-learning e trovo che sia davvero ben fatto...a parte qualche bug...ma vedo che la comunità è sempre pronta e disponibile!!
Da un po' di tempo sto facendo dei test sulla sicurezza e mi sono accorto di alcuni problemini sui form: anche quando utilizzano "post" come metodo di invio dei dati, sono in grado di riceverli anche in "get" ad esempio direttamente dalla barra del browser!
Ho visto poi che per la sicurezza viene utilizzata una specie di chiave ma questa poi non sempre viene verificata...
Mi sembra un gran bel problema di sicurezza questo!
A qualcuno è capitato di fare simili verifiche e di riscontrare lo stesso mio problema?
Giorgio

[canelli]

Ciao Giorgio
Forma gestisce e controlla i dati inviati sia in GET che in POST(nei form) con la sanitizzazione dei dati in input (toglie tutti i caratteri e le stringhe pericolose e con il controllo che il form contenga una chiave generata apposta per quel form in quel momento per evitare l'XSS (Cross Site Scripting)
Periodicamente vengono fatti delle analisi sulla sicurezza di Forma e vengono corrette le vulnerabilità trovate.
Anche siti indipendenti specializzati fanno analisi sulla sicurezza e vulnerabilità di Forma e segnalano le vunlerabilità .
FIX per le vulnerabilità trovate e segnalate sono state rilasciate con le nuove versioni. Quando le segnalazioni erano importanti, sono state rilasciate patch per versioni precedenti .