Info:

twitter

Ultimi commenti: Comment feed

Tags:

Sponsor:

Archivio 2018:

Gen

Archivio 2017:

Dic Nov Ott Mag Apr Mar Feb Gen

Archivio 2016:

Dic Nov Ott Ago Mag Mar Feb Gen

Archivio 2015:

Nov Ott Set Mar Gen

Archivio 2014:

Dic Nov Ott Set Lug Giu Mag Apr Gen

Archivio 2013:

Dic Nov Set Ago Lug Giu Mag Apr Feb Gen

Archivio 2012:

Dic Nov Ott Set Ago Giu Mag Apr Mar Feb Gen

Archivio 2011:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2010:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2009:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2008:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2007:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2006:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Letture per il weekend

1. Gli storici si ripetono. Ancora.

Businessweek fa notare che:

A number of companies are opting not to embrace Redmond's latest operating system and, like GM, are waiting for Windows 7 instead

Niente di nuovo sotto il sole. Era successo la stessa cosa con XP come avevo già fatto notare in passato. Questo link molto più fresco e più drammatico dell'altro potrebbe rinfrescare la memoria a quelli di business week:

Although many are eagerly awaiting Microsoft next version of Windows, known as Longhorn, a recent study by AssetMetrix shows that many companies have not even upgraded to Windows XP, a full four years after its release.

Nel 2005, dopo 4 anni dal rilascio, molte aziende non erano passate ad XP e dichiaravano di aspettare Vista; la microsoft nel frattempo è sopravvissuta. Di business week altrettanto interessante è un articolo di copertina stavolta su Apple: The Mac in the Gray Flannel Suit a tratti apocalittico.

2. Slashdot e la propaganda

Credo si possa definire propaganda quando si dice di voler fare informazione ma si selezionano accuratamente non solo le fonti, ma cosa di queste citare. E così il "security blogger Nate McFeters" viene citato per una "IE 70/8.0b Code Execution 0-Day Released", secondo me neanche estremamente grave. Si fa finta di niente sul ben più grave Safari "Carpet Bomb" attack et vari pubblicato poche righe più in su: ben più grave perché il primo "baco" non richiede nessuna interazione e permette di tappezzare il desktop di file maligni, pronti ad essere eseguiti al primo doppio click. Altrettanto grave (secondo me) la risposta di Apple:

Please note that we are not treating this as a security issue, but a further measure to raise the bar against unwanted downloads.

Gli unwanted downloads per Apple sono una annoyance anziché un problema di sicurezza. Potrebbe essere semplicemente incompatibilità di percezione tra me e i security engineer di Apple (si sa che io sono molto più paranoico). Ricordo ironicamente il motto: Safari, designed with security in mind from day one.

3. Processi sommari

Adrian Kingsley-Hughes e la fissa del DRM su Vista.

In poche parole Adrian non riesce a guardare un DVD sul terzo monitor del suo PC (non sto scherzando, sugli altri due funziona regolarmente; beato lui!!). Secondo lui la questione è dovuta al DRM perché basta installare anyDVD che il problema scompare. DRM sucks conclude ed io concordo al 100%. Tranne che per un piccolo particolare: i DVD non hanno nessun meccanismo di protezione HDCP e anche Adrian ammette che è così e che non saprebbe spiegare il perché. Ma anche se Adrian non è convinto al 100% che il problema sia davvero dovuto ai nuovi meccanismi di protezione di Vista (abbastanza buffo se tali meccanismi si accaniscano solo con monitor Cintiq) questo non ferma la flotta dei detrattori-a-priori che concludono sommariamente: aveva ragione Gutmann, Occam è solo un pirla!!

4. Linux e sarcasmo

A guardare la vignetta di ieri di XKCD posso dire a confronto che il mio tapiro d'oro è un segno di affetto.

5. Windows 7

L'altro giorno ho incrociato per caso Cutler, da queste parti per via di Windows 7. E a tal proposito consiglio di non prendere per oro colato tutto quello che si vede in giro. A buon intenditor...

-quack

Potrebbero interessarti anche:
Commenti (20):
1. Scrooge McDuck
venerdì 16 maggio 2008 alle 10:24 PM - unknown unknown unknown
   

Ah ah ah, la vignetta è fantastica :°D

La Apple invece non si smentisce mai, si dovrebbero raccogliere tutte queste perle e poi a fine anno votare il perlone dell'anno (come fanno ad esempio blog come "perle complottiste").

   
2. Edward
sabato 17 maggio 2008 alle 1:54 AM - unknown unknown unknown
   

Rispondo ai punti:

1) La aziende passeranno a Vista quando acquisteranno nuovo hardware e il software che usano sara' compatibile. Se per ora XP basta e avanza, utilizzano questo. Della serie: "If it's not broken, why fix it?"

2) Non mi soffermo sulla vulnerabilita' di IE: per principio ho sempre cambiato le politiche di sicurezza ad almeno "Medio-Alto" anche nelle zone "Internet locale", "Siti attendibili" e "Sicuri, ma cosi' sicuri che le mamme ci portano i passeggini". Ho brutti ricordi del mio passeggino, quindi prevengo

Il bug di Safari e' pericoloso se vi e' modo di far scaricare un eseguibile per OS X: un utonto potrebbe avviarlo per sbaglio.

Infine, Slashdot e' affidabile come "Novella 2000"; BillG si tinge i capelli, Jobs fa gli addominali per nascondere la pancetta, Clippy e' stata sottoposta ad un lifting: ritornera' in "Office XP Reloaded", ci abbandonera' di nuovo in "Office XP Revolution" e il suo nuovo canto di battaglia sara': "Sembra che tu stia scrivendo una lettera minatoria. Ho amici influenti, serve una consulenza non solo legale?".

3) I DVD sono protetti con il CSS (quasi tutti) e con altre protezioni di dubbia efficacia (dovendo essere compatibili con i lettori esistenti, hanno qualche debolezza legata al CSS), inoltre sono a definizione standard: a meno che WMP non upscali internamente i DVD e li spacci per contenuto HD, l'Hdcp non dovrebbe entrare in funzione. Intervengono altri meccanismi, come il Protected Media Path [1], le protezioni incluse nei driver video e tutto quello che la perversita' umana riesce ad immaginare (es uscite spdif disabilitate quando gli speaker sono connessi a quelle analogiche e riproduci un dvd). Per onesta', anche XP non e' da meno: con WMP e player commerciali e' impossibile riprodurre un dvd in modalita' provvisoria (quindi Windows carica il driver vesa), mentre paradossalmente VLC riproduce di tutto, sfrutta le accelerazioni hardware della scheda grafica, mi consentirebbe di vedere un dvd anche col driver Vesa: di chi e' la colpa?

Non ho un terzo monitor (limite della scheda grafica, ha solo due ramdac; inoltre non posso collegare un'altra scheda grafica) qundi non posso aiutare Adrian, ma ho il sospetto che VLC riprodurrebbe anche su quello.

4) Correndo il rischio di sembrare ironico (e, in questa frase, non lo sono), la vignetta di XKCD e' tutto fuorche' ironica: il bug di Debian e' talmente serio che persino quelli delle altre distribuzioni passano in secondo piano. Oppure (libera interpretazione personale) ogni distro ha una debolezza inaspettata.

Se qualcuno mi spiega la battuta sul Powerbook di Goldblum, gliene saro' grato: mi ricordo di Ian Malcom [2] e della teoria del caos, ma all'epoca non c'erano i PB. Al massimo c'erano ragazzine che esclamavano: "It's a UNIX system! I know this!" [3]

4) Ooops, doppione

5) Aspetta, vuoi dire che non avra' DirectX 19.75 gamma, che non richiedera' un 8 core con 16 GB di ram e triplo SLI per funzionare in provvisoria e che non dovro' agitare le braccia al ritmo di "We are the world" come meccanismo antipirateria? Accidenti, ma a parte consumare sempre piu' risorse, avere una interfaccia grafica ancora piu' barocca di quella di Vista, installare il WGA e il WGA-GA (attivazione dell'attivazione, giusto per essere sicuri che a qualcuno non salti in mente di crackare pure questo) e non essere adottato dalle aziende e dagli utenti che ora promettono di saltare a pie' pari Vista, cosa c'e' in pentola?

Edward

[1] en.wikipedia.org/.../Protected_Media

[2] en.wikipedia.org/.../List_of_charact

[3] Veramente era Irix e il file manager era fsn. Il file manager 3D e' un componente che ancora manca a Vista

escience.anu.edu.au/.../fsn.map2.jpg

   
3. FDG
sabato 17 maggio 2008 alle 10:10 AM - unknown unknown unknown
   

Hai citato solo parte della risposta.

"the ability to have a preference to “Ask me before downloading anything” is a good suggestion. We can file that as an enhancement request for the Safari team. Please note that we are not treating this as a security issue, but a further measure to raise the bar against unwanted downloads. This will require a review with the Human Interface team. We want to set your expectations that this could take quite a while, if it ever gets incorporated."

A me pare che dicano che la questione riguarda l'Human Interface team non quello che si occupa della sicurezza, per cui questa modifica non sarà eventualmente rilasciata come bug fix in un security update.

E infatti, alla fine il commento è: "I’d like to thank the Apple security team for their timely responses and for letting me discuss these issues with the security community"

E non c'è un "non capisco che cavolo di risposta mi hanno dato!"

Personalmente, mi annoia di più la finestra di Firefox che mi chiede conferma ogni volta se voglio scaricare un file (è una valutazione personale che non riguarda considerazioni di carattere più generale). Se il rischio è quello di dover buttare per intero il contenuto della directory di download, sono disposto ad accettarlo. Piuttosto, mi preoccupo di più dei singoli file, di ciò che contengono. Se volessi essere uno che vuole dispensare troian, lo farei scaricandolo con discrezione e cercando di non provocando in lui allarme. Per questo, ritengo più importante evidenziare ciò che l'utente sta scaricando. E si potrebbe fare una cosa in più sulla visibilità della finestra di download (rimane dietro se è già aperta quando parte un nuovo download).

Invece il bug di IE, per quanto sia meno facilmente sfruttabile, può produrre danni molto più gravi. Mi pare di capire però che il problema riguarda solo XP.

   
4. Scrooge McDuck
sabato 17 maggio 2008 alle 12:07 PM - unknown unknown unknown
   

Personalmente, mi annoia di più la finestra di Firefox che mi chiede conferma ogni volta se voglio scaricare un file

Strumenti->opzioni->principale, sotto download deselezioni "mostra la finestra bla bla" e metti direttamente "salva i file in". Problema risolto.

   
5. Paperino
sabato 17 maggio 2008 alle 5:38 PM - unknown unknown unknown
   

@FDG:

il problema più spinoso non è tanto dove vanno a finire il download o se c'è bisogno di conferma ecc. Ma il fatto che contenuto IFRAME non conosciuto venga salvato come file. È molto diverso da un sito (tipo sourceforge) che presenta una pagina di download e cerchi di far partire un download legittimo.

Questi sono i pezzi interessanti:

and interestingly enough, Apple has decided NOT to fix some of the issues he presented e Let’s hope Apple does add the suggestion Nitesh mentioned at least. I see this as a major security issue.

Quello di chiedere all'utente l'autorizzazione non è la vera soluzione al problema ma per lo meno una via per mitigarlo. Contenuto non riconosciuto come IFRAME non deve essere né renderizzato né tanto meno scaricato (con o senza autorizzazione)

   
6. Shance
lunedì 19 maggio 2008 alle 3:19 PM - unknown unknown unknown
   

Non capisco il motivo di produrre Safari, per l'iPhone? Io uso Firefox sia su Piccì che Leopard, di Safari non mi fido proprio.

Ho guardato l'articolo e il fatto che Safari senza autorizzazione mi scriva sul desktop non è il massimo, Vista o Xp permettono di farglielo fare?

   
7. Paperino
lunedì 19 maggio 2008 alle 6:12 PM - unknown unknown unknown
   

@Edward:

riguardo a 3), data l'architettura abbastanza complessa di DirectShow (filtri con priorità e altre amenità varie) posso confermare che si tratta di un baco. È incredibile che gli aprioristi parlino dell'applicazione di quella che va sotto il nome di degradazione dell'immagine, cosa che non è possibile in quanto:

a) la degradazione avviene solo in presenza di contenuto ad HD protetto; un DVD non rientra in tale categoria

b) per degradazione si intende la proiezione di contenuto HD a 800x600 anziché in full HD. Lo scarabocchio di cui parla Adrian non è degradazione.

@Shance:

Non è un problema di SO, accade anche su MACOS (scrive nell'home folder). Tutte(*) le applicazioni che girano sotto l'account di un utente limitato hanno accesso in scrittura all'home folder e sottodirectory varie (Desktop ad esempio). Tra l'altro non è tanto il fatto che Safari scriva nell'home folder a impensierirmi, ma il fatto che per i developer Safari la cosa sembri essere by design. Se così è devo concludere che si tratta di by poor design.

-quack

(*) tutte ad eccezione di IE su Vista, l'unico browser incapace di scrivere nell'home folder neanche per sbaglio. Of course

   
8. Shance
lunedì 19 maggio 2008 alle 11:41 PM - unknown unknown unknown
   

Non insistere, non lo userò mai.

Non mi piace assolutamente la politica vecchia e nuova di IE. Non parlo del lato sicurezza, ma di un browser che attualemnte gira in 3 versioni e queste tre versioni non seguono (tranne qualche miglioramento di IE8, ma aspettiamo la versione finale tralasciando la modalità rendering IE7) gli standard del W3C. Chiedi a uno che fa siti secondo gli standard, vedrai che ti dice, ci sono capitoli apposta sui libri che spiegano "trucchi" per IE6.

So bene che il browser usa le permission dell'utente che lo lancia, non volevo incolpare solamente Windows, chiedevo appunto se IE su Vista te lo permetteva.

   
9. Paperino
martedì 20 maggio 2008 alle 12:40 AM - unknown unknown unknown
   

@Shance:

non sto facendo velatamente marketing ad IE ma al protected mode. Se tutti gli altri browser lo implementassero tutti i bachi diminuirebbero automaticamente di importanza.

   
10. Edward
martedì 20 maggio 2008 alle 1:15 AM - unknown unknown unknown
   

@ Paperino:

3) Strano bug, comunque.

IE vs Safari) E se al posto del protected mode utilizzassi una sandbox? Potrei limitare l'accesso in scrittura e lettura, inoltre sarebbe compatibile anche con 2000 e XP.

Edward

   
11. Paperino
martedì 20 maggio 2008 alle 2:45 AM - unknown unknown unknown
   

Una sandbox esterna è meno "integrata" e lascia all'utente il fatto di gestire correttamente i download. Il protected mode altro non è che una sandbox integrata meglio

   
12. Shance
martedì 20 maggio 2008 alle 10:08 AM - unknown unknown unknown
   

Che cosa è questa sandbox? All'incirca lo so, ma esiste un software o un sistema per crearla e metterci dentro programmi?

   
13. Edward
martedì 20 maggio 2008 alle 10:49 AM - unknown unknown unknown
   

Si, ce ne sono parecchi: il piu' famoso e' chroot [1] per sistemi *nix, segue la sua evoluzione jail [2].

Per Windows 2000-XP ci sono Sandboxie [3], WinJail [4] o altri sistemi piu' o meno complicati/efficaci/artigianali: fra questi cito solo I_AM [5] del team italiano BFi (la descrizione dei token e' ben fatta).

Edward

[1] en.wikipedia.org/.../Chroot

[2] en.wikipedia.org/.../FreeBSD_Jail

[3] http://www.sandboxie.com/

[4] www.winquota.com/.../license.html

[5] www.s0ftpj.org/.../bfi-en.html - BFi#13-dev-19

   
14. Paperino
martedì 20 maggio 2008 alle 7:38 PM - unknown unknown unknown
   

Quì è spiegato come funziona la sandbox su Vista: aovestdipaperino.com/.../vista-e-gli-int

   
15. FDG
giovedì 22 maggio 2008 alle 12:44 PM - unknown unknown unknown
   

@Paperino

il problema più spinoso non è tanto dove vanno a finire il download o se c'è bisogno di conferma ecc. Ma il fatto che contenuto IFRAME non conosciuto venga salvato come file. È molto diverso da un sito (tipo sourceforge) che presenta una pagina di download e cerchi di far partire un download legittimo.

No, ci ho riflettuto. Non va risolta con un "siamo in un iframe? Posso accettare o meno il contenuto?" aggiunto in una parte che magari i iframe non sa nulla. È meglio un "accetto o non acceto il contenuto? Come lo tratto?", che è anche un meccanismo più generale.

Questi sono i pezzi interessanti:

Ma la polemica c'è solo perché quelli di Apple hanno risposto che la decisione sulla modifica è sotto la responsabilità di chi si occupa di interfaccia utente? Si può discutere sulla loro organizzazione, ma mi pare esagerato parlare di minimizzazione di un problema. È un'interpretazione aleatoria fatta dal punto di vista di chi sta fuori.

   
16. FDG
giovedì 22 maggio 2008 alle 12:49 PM - unknown unknown unknown
   

@ Scrooge McDuck

Strumenti->opzioni->principale, sotto download deselezioni "mostra la finestra bla bla" e metti direttamente "salva i file in". Problema risolto.

No, non fa quello che voglio io.

   
17. Edward
giovedì 22 maggio 2008 alle 1:34 PM - unknown unknown unknown
   

@ FDG: hai installato la Google Toolbar? Se si, potrebbe essere un avviso dela barra dovuto ad impostazioni di sicurezza troppo elevate [1]: infatti Firefox con un profilo pulito (firefox.exe --profilemanager) non mostra alcun warning per il download.

Edward

[1] www.google.com/.../answer.py

   
18. Paperino
giovedì 22 maggio 2008 alle 4:05 PM - unknown unknown unknown
   

@FDG:

"siamo in un iframe? Posso accettare o meno il contenuto?"

Io credo che sia il contrario. Cioè che l'IFRAME sia solo una condizione che porti alla manifestazione del baco perché senza IFRAME il baco non si presenta.

Ma la polemica c'è solo perché quelli di Apple hanno risposto che la decisione sulla modifica è sotto la responsabilità di chi si occupa di interfaccia utente?

No, la polemica è questa: un browser a causa di un baco scrive dei file potenzialmente pericolosi senza avvertire l'utente. Per Apple la questione non è un problema di sicurezza (forse non riescono neanche a capire il pericolo a questo punto!) ma una questione di "usabilità": infatti le modifiche veranno vagliate da quelli responsabili per la UI. Non è questione di chi sistema il baco, me ne frega poco: è questione di come viene trattato; per Apple non è un baco di sicurezza, per altri si. Non sono solo.

   
19. FDG
lunedì 26 maggio 2008 alle 11:06 AM - unknown unknown unknown
   

Per Apple la questione non è un problema di sicurezza (forse non riescono neanche a capire il pericolo a questo punto!) ma una questione di "usabilità": infatti le modifiche veranno vagliate da quelli responsabili per la UI

Non so, ma l'impressione che ne ricavo che dalle tue parti non esistono responsabilità e ruoli. Così chiunque può decidere come vanno fatte cose su cui non ha competenza. È forse per questo che l'interfaccia di Vista è un gran casino?

   
20. Paperino
lunedì 26 maggio 2008 alle 5:08 PM - unknown unknown unknown
   

Stiamo girando in tondo: la questione è semplice. In Apple non hanno capito che questo è un baco di sicurezza. Forse è lì che non ci sono ruoli (evidentemente manca un responsabile per la sicurezza): la UI centra poco perché il problema è molto più grave che settare un "flag".

   
Lascia un commento:
Commento: (clicca su questo link per gli smiley supportati; regole di ingaggio per i commenti)
(opzionale, per il Gravatar)