Info:

twitter

Ultimi commenti: Comment feed

Tags:

Sponsor:

Archivio 2018:

Lug Giu Mag Feb Gen

Archivio 2017:

Dic Nov Ott Mag Apr Mar Feb Gen

Archivio 2016:

Dic Nov Ott Ago Mag Mar Feb Gen

Archivio 2015:

Nov Ott Set Mar Gen

Archivio 2014:

Dic Nov Ott Set Lug Giu Mag Apr Gen

Archivio 2013:

Dic Nov Set Ago Lug Giu Mag Apr Feb Gen

Archivio 2012:

Dic Nov Ott Set Ago Giu Mag Apr Mar Feb Gen

Archivio 2011:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2010:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2009:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2008:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2007:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2006:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Sparalink #4

  • Quelli "sicuri": cosa si ottiene combinando quelli del browser più sicuro al mondo insieme allegriaa quelli con la security in mind sin dal primo giorno? Si ottiene l'unico browser al mondo vulnerabile al baco di QuickTime . Come direbbe Mike Buongiorno: allegria!
  • Bachi conosciuti: un giorno racconterò la storia del baco internamente più famoso del Framework 1.1; nel frattempo mi consolo con il fatto che "qualcuno" rilascia un update software pur sapendo che potrebbe rendere un sistema in-operativo; quando l'unica soluzione è cancellare tutti i dati senza neanche "spostarli"
  • I migliori clienti di Vista? indovinate su cosa gira usa il 10% delle copie retail di Vista (secondo qualcuno circa 2,4 utenti visto che in tutto sono state vendute 2 dozzine di copie)? Lo dice Joe Wilcox. In tutta onestà non so se sia un bene o un male. Smile
  • È uscito Visual Studio 2008 già da una settimana. La feature più interessante del C# 3.0? Linq, ancora meglio Linq2SQL degno erede di ObjectSpaces. Scott Guthrie parla nel suo blog di come una LINQ diventa SQL.

-Allegriaaaaaaaaaah!

Potrebbero interessarti anche:
Commenti (10):
1. FDG
lunedì 3 dicembre 2007 alle 3:28 PM - unknown unknown unknown
   

Scusa ma non credo che il baco di quicktime sia imputabile a Firefox. Per me la scelta di FF di lanciare il player di quicktime non è di per se un problema di sicurezza.

Ora un paio di considerazioni sull'acquisto di Vista, Windows in generale, da parte degli utenti mac.

La prima riguarda in parte la mia esperienza. Probabilmente quel 10% di acquirenti di Vista all'epoca dei PowerPC avevano pure un PC con su Windows. Ora no. E visto che spesso la licenza di Windows è legata al computer, se si vuole installare Windows sul proprio mac bisogna comprarsi una licenza ex novo, a meno di non aver acquistato una retail in precedenza, come ho fatto io. Personalmente uso Windows per giocare e da quanto ho l'iMac Intel ho solo rimosso il mio vecchio PC liberando spazio sulla scrivania. La partizione Windows è giusto grande lo spazio necessario per quei giochi che purtroppo non girano su OS X (ultimamente ho potuto apprezzare l'ottimo lavoro fatto dalla gente di transgaming nel supportare il porting di un gioco DirectX come EvE).

Insomma, non ci viene l'orticaria ad usare software fatto da microsoft.

L'altra è che oggi un mio collega è venuto con un bel portatilino di piccole dimensioni. Dice che è soddisfatto dell'acquisto e guardando meglio noto che ha su XP. Gli chiedo: "ma non hai messo Vista?". Lui mi risponde che non solo non l'ha voluto lui ma anche che il fornitore ne ha ordinato un migliaio chiedendo alla casa madre espressamente di installare Vista al posto di XP. La ragione principale di questa scelta sono le prestazioni. Purtroppo dato che sono un inguaribile smemorato non mi ricordo marca e modello.

   
2. Paperino
lunedì 3 dicembre 2007 alle 5:33 PM - unknown unknown unknown
   

@FDG:

Non volevo insinuare che il baco fosse di Firefox, ma c'è una certa allegria nel _modo_ in cui Firefox a differenza di altri browser lancia quicktime e cioé in un processo separato. Per questo né Safari né IE6 (che è il colmo!!) sono vittime dell'exploit di quicktime.

   
3. FDG
lunedì 3 dicembre 2007 alle 6:23 PM - unknown unknown unknown
   

Forse l'allegria è nel fatto che FF costringe l'utente a vedere il video nel player invece che nella stessa pagina. Però non capisco quando capita, visto che a me non mi è mai capitato.

Già che ci sono, un po di benzina sul fuoco:

blog.mozilla.com/.../critical-vulnerability-in-microsoft-metrics

Condivido l'idea secondo cui non è male che vengano trovati dei problemi, ma che questi non vengano risolti rapidamente. Anzi, in quest'ottica più buchi si trovano, quindi più se ne chiudono, meglio è.

Leggo su ./

"Head Security Strategist of Mozilla was a former MS employee"

Se è così, dovrebbe essere uno a conoscenza dei meccanismi di rilascio dei fix da parte di Microsoft, giusto?

   
4. Paperino
lunedì 3 dicembre 2007 alle 7:05 PM - unknown unknown unknown
   

Hai ragione, "dovrebbe", condizionale d'obbligo. Window Snyder - purtroppo - ha dimostrato più volte in passato di aver dimenticato come si lavora in Microsoft.

Pensa ha pure dimenticato di avere scritto un libro sulla sicurezza usato internamente come manuale di riferimento per fare "threat modeling" (il libro si intitola appunto così): in molte occasioni si è lasciata sfuggire l'ignoranza di alcuni concetti elementari di cui _LEI_ ha scritto e noi, poveri mortali, abbiamo attinto a piene mani: Jesper, anche lui ex-MSFT, l'ha pizzicata sugli URI handler chiedendole come mai non si ricordava che avesse scritto che "qualsiasi software deve considerare qualsiasi input esterno come malizioso"; verissimo, tranne poi, dopo essere passata a Mozilla, cominciare a incolpare qualsiasi processo gli passi input malformato. Ops.

Detto questo: ormai non credo neanche ad una parola di quello che dice. Se raccontassi che due palle è stata la review di sicurezza per ACT5.0.2 (dopo che era stata fatta quella per 5.0.1) mi sembra semplicemente assurdo che quelli di IE se la possano cavare post-ponendo roba significativa al SP1 nonostante i patch-Tusday. Probabile che roba di poco conto, tipo quei bachi che "se sei amministratore puoi cambiare le DLL di sistema e causare la perdita di informazioni sensibili", possa non vedere mai la luce come baco di sicurezza.

Infine su quel "più se ne chiudono meglio è": spiacente ma discordo (*). Si parte dal presupposto che i bachi di sicurezza siano inevitabili come l'aria che respiriamo: forse mi avranno pure lavato il cervello con la SDL, ma io parto dal principio che scrivere codice migliore si può; sforzarsi di inventare e applicare misure a tappeto (IL, opzioni di compilazione, sandboxing, ecc.) si può e funziona come hanno dimostrato i cursori mannari. In Mozilla, per bocca del loro vippì, credono invece che piazzare una pezza più velocemente possibile sia invece l'investimento più giusto in assoluto. Tu cosa ne pensi?

Mi sembra una visione contrapposta che non so come un transfugo come Window possa arrivare ad abbracciare completamente: immagino che sia "internally torn" Smile

-quack

(*) discordo anche perché, quando si rilascia una fix di sicurezza, c'è qualche malintenzionato là fuori che ne fa il Reverse Engineering e produce un exploit alquanto efficace. È dimostrato che i Piccì là fuori non patchati (indipendentemente dal browser) siano una percentuale totalmente non trascurabile (non pensare solo ai browser, ma a tutto quanto ci sta attorno: plugin, plugon, plugoff, ecc.)

   
5. Blackstorm
martedì 4 dicembre 2007 alle 2:33 AM - unknown unknown unknown
   

Scopro ora che Window è una donna. Sempre pensato fosse un uomo :D

A parte questo:

"Infine su quel "più se ne chiudono meglio è":"

Beh, imho, meno se ne trovano, più se ne chiudono, meglio è.

   
6. Paperino
martedì 4 dicembre 2007 alle 3:23 AM - unknown unknown unknown
   

@Blackstorm:

Meno se ne scrivono, meglio stiamo tutti. Smile

@FDG:

è interessante notare come Schrep, l'uomo della mitica frase "meglio mandare una volante ogni 5 minuti che dotare il nostro alloggio dei nuovi lucchetti IntegrityLevel", cerchi di mescolare le carte in tavola mettendo in relazione due bachi che non centrano assolutamente niente tra loro se non per il fatto che entrambi hanno a che vedere con gli URI-handler. Infatti, come già ho detto in precedenza, questo baco:

bugzilla.mozilla.org/show_bug.cgi

si manifesta anche senza quest'altro baco (che era presente solo su XP):

bugzilla.mozilla.org/show_bug.cgi

Schnep continua ad insistere che loro hanno sistemato il primo dei due per ovviare ai problemi del secondo (cito lui: "the fix for 389106 migated the known attacks for 389580"): e su Vista come pensa avrebbero risolto il primo baco? Delle due motivazioni che mi vengono in mente come causa per reiterare un errore siffatto deve essere vera almeno una:

1) ignoranza: non ha letto ancora il libro di Snyder o più semplicemente la sicurezza non gli interessa e parla solamente a sproposito

2) malafede: ha letto il libro, gli interessa la sicurezza, ma pensa che i loro clienti siano abbastanza stupidi da non poter capire e verificare.

Non saprei veramente qual è peggio. Schnep sembra aver perso l'ennesima occasione per fare bella figura standosene in silenzio.

   
7. FDG
martedì 4 dicembre 2007 alle 11:36 AM - unknown unknown unknown
   

@Paperino

Ti darei ragione se non fosse che purtroppo ci sono buchi aperti da secoli che non ci si sbriga a chiudere. Sperate che il codice di protegga da solo?

   
8. Paperino
martedì 4 dicembre 2007 alle 5:48 PM - unknown unknown unknown
   

@FDG:

c'è ancora qualche buco aperto o ti riferisci al fatto che una patch richiede più tempo?

Perché per la seconda c'è una ragione e sta nella proporzione tra tempo "di codice" e tempo "di test".

Stavo per scrivere una risposta più lunga, poi qualcuno ha scritto esattamente quello che ho osservato in passato:

blogs.zdnet.com/Ou

1. Microsoft’s position is that life is different when you have a hundred million customers using the software and they’re in a tough position to release patches quickly without adequate testing.

2. One other big factor in my experience is that corporate customers don’t even like the fact that patches are released monthly.

Di nuovo credo che come è stato abbondantemente dimostrato in passato con il SP2 di XP, le misure proattive (firewall di default, IL, ecc.) sono molto più importanti di ogni singola patch. Non mi sembra che ci siano controesempi a riguardo e la mia domanda, che rivolgo a te e a Schnep, qual è il invece il motivo di fondo per non implementare il protected mode in FF3? Io non l'ho ancora capito.

   
9. Blackstorm
mercoledì 5 dicembre 2007 alle 12:05 AM - unknown unknown unknown
   

@Paperino: chiaramente, meno buchi vengono trovati, meno se ne sono scritti :) è una questione statistica, ma sono pienamente d'accordo ocn te :)

PS: hai sbagliato uno dei due link al bug: puntano tutti e due alla stessa pagina ;)

   
10. Paperino
mercoledì 5 dicembre 2007 alle 12:40 AM - unknown unknown unknown
   

@Blackstorm:

non ho sbagliato, è questa piattaforma che "taglia i link" in fase di display rimuovendo la parte che segue i punti interrogativi. Se ci clicchi finisci sui due bachi diversi. Wink

   
Lascia un commento:
Commento: (clicca su questo link per gli smiley supportati; regole di ingaggio per i commenti)
(opzionale, per il Gravatar)