Info:

twitter

Ultimi commenti: Comment feed

Tags:

Sponsor:

Archivio 2018:

Giu Mag Feb Gen

Archivio 2017:

Dic Nov Ott Mag Apr Mar Feb Gen

Archivio 2016:

Dic Nov Ott Ago Mag Mar Feb Gen

Archivio 2015:

Nov Ott Set Mar Gen

Archivio 2014:

Dic Nov Ott Set Lug Giu Mag Apr Gen

Archivio 2013:

Dic Nov Set Ago Lug Giu Mag Apr Feb Gen

Archivio 2012:

Dic Nov Ott Set Ago Giu Mag Apr Mar Feb Gen

Archivio 2011:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2010:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2009:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2008:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2007:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2006:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Vista piu' sicuro di XP?

Qualche giorno fa è comparso un articolo su CRN intitolato «Review: Vista, XP Users Equally At Peril To Viruses, Exploits». L'articolo, come si evince dal titolo, conclude che tra Vista e XP non ci sono significativi miglioramenti in termini di sicurezza in quanto molti dei virus ed exploit scritti per XP girano lo stesso su Vista. È bastato il titolo per guadagnarsi qualche link da parte dei soliti professoroni che hanno subito sentenziato «ve l'avevamo detto[1]». Ma stanno davvero così le cose?

Naaah.

All'articolo ha fatto seguito un contro-articolo pubblicato dalla più «affidabile» Ars Technica intitolato «Windows Vista no more secure than XP: report». Alcuni punti essenziali:

The report faults Vista for "providing no improvement in virus protection vs. XP," but of course Windows Vista does not ship with antivirus software—something the reviewer fails to mention.

Non c'è nessun antivirus di sistema in Vista, ergo il sistema non può proteggere dai virus (i famosi coniglietti danzanti).

e poi:

CRN doesn't tell the whole story with such exploits, however. IE7 in protected mode forces such scripts to run at a very restricted user privilege level, unlike XP which will allow those same scripts to run at the same privilege level as a user. Vista may let some of those scripts through, but the damage they do is also mitigated to a certain extent. This is why Microsoft believes such threats will have to evolve to survive with fewer rights and less access to the system: if they get through, they will find a very limited sandbox to play in. CRN's coverage complete ignores this point and fails to test for its effectiveness

CRN in poche parole - e come si dice dalla mie parti - «nomina il lampo, ma non parla del tuono», insomma non la dice tutta. Non dice quali sarebbero le conseguenze e i danni di tali exploit che per via delle nuove misure di sicurezza hanno un impatto praticamente nullo (vedasi impatto dei cursori mannari su IE7).

Insomma, sembra che quasi si voglia dimenticare a tutti i costi di:

ecc.

Le prove?

Concludo il post con una figura, presa da questo post:

vuln0307

Riporta il numero di vulnerabilità «fixed» tra inizio Gennaio e fine Marzo dai vari OS (sorry sono in attesa che Jeff Jones pubblichi dati più aggiornati); a me non pare che Vista e XP siano sullo stesso livello.

Enjoy!

-quack


[1] in realtà qualche professorone si è spinto oltre paragonando Vista a Windows 95 con dotazione di firewall e anti-spyware. Inoltre mi chiedo se i soliti professoroni abbiano davvero letto l'articolo o si siano fermati al titolo.

Potrebbero interessarti anche:
Commenti (12):
1. luca
venerdì 15 giugno 2007 alle 9:33 AM - unknown unknown unknown
   

fra la lista aggiungi anche: "session 0 isolation" cioè i servizi girano in una sessione separata dall'utente.

   
2. k22
venerdì 15 giugno 2007 alle 6:28 PM - unknown unknown unknown
   

Mhmh mi chiedevo una cosa, ma è giustificato il prezzo esorbitante della versione Ultimate rispetto a quella Home Premium?

Per fortuna devo scegliere che versione OEM prendere e la differenza li è solo di 90€...Windows Vista Home Premium (107,90 €) e Windows Vista Ultimate (190,00 €)

'njoy

   
3. Paperino
venerdì 15 giugno 2007 alle 7:33 PM - unknown unknown unknown
   

Dipende da quanto ti interessano queste features:

* Backup www.microsoft.com/.../completepcbackup.mspx

* Fax/Scan www.microsoft.com/.../faxscan.mspx

* BitLocker

www.microsoft.com/.../bitlocker.mspx

* Remote Desktop

www.microsoft.com/.../remotedesktopconnection.mspx

In più ci sono gli Ultimate Extras (Dreamscene e altre applicazioni), ma finora s'è visto ben poco ancora.

   
4. k22
sabato 16 giugno 2007 alle 12:06 PM - unknown unknown unknown
   

Quindi in futuro potrebbero aggiungere altre funzionalità riservate ai soli possessori di Ultimate?(con un update ad esempio) mhmh erano molto interessanti Backup e BitLocker ma non so davvero quanto le userei..

'njoy

   
5. Paperino
sabato 16 giugno 2007 alle 4:32 PM - unknown unknown unknown
   

Dimenticavo di citare i language pack distribuiti come Ultimate Extra.

Backup è una feature fantastica perché permette di fare il backup dell'immagine a la Ghost per intenderci. Oltre ai famosi "Previous Version" folder.

   
6. Pr3d
sabato 16 giugno 2007 alle 6:14 PM - unknown unknown unknown
   

Grafico che dimostra come i sistemi operativi Ms hanno fatto una bella virata dopo il Sp2 di Xp.

Basterebbe usare Vista con Uac e utenza limitata come faccio io e stai certo che di virus non se ne vedono.

Non conosco nè voglio conoscere antivirus o antispyware succhiamemoria/cpu ma di porcherie sul mio pc non ne passano lo stesso.

Ma si tratta di voler capire, portiamo Linux ai livelli di diffusione di Windows e facciamo loggare tutti come root, poi ne riparliamo...

   
7. Gabriele
lunedì 18 giugno 2007 alle 8:02 PM - unknown unknown unknown
   

@Pr3d

> portiamo Linux ai livelli di diffusione di Windows e facciamo > loggare tutti come root, poi ne riparliamo

E perché facciamo fare login a tutti come root? Ma dai... Quello che è fantastico del marketing di MS è che non dicono

"Scusate per questa feature di sicurezza indispensabile che tutti avevano e noi no. Adesso la abbiamo inclusa anche noi"

ma

"E da oggi questa nuovissima feature indispensabile che porta la sicurezza a livelli mai raggiunti! Solo con Vista!!"

> Backup www.microsoft.com/.../completepcbackup.mspx

Ma dai, esistono già infinite soluzioni di backup per tutti i sistemi operativi. E con feature ben più sofisticate

> Fax/Scan www.microsoft.com/.../faxscan.mspx

> Windows Fax and Scan offers several preset categories and

> folders to help you organize your faxes and scanned

> documents more easily, and it enables you to create

> customized folders.

Hmm, grazie ma credo di saper crearle da me le cartelle...

> BitLocker www.microsoft.com/.../bitlocker.mspx

Un po' più interessante, ma i volumi compressi su altri fs esistono già. Però è interessante perché per NTFS mancava.

Ma vi fidate del trusted computing? Io no

> Remote Desktop www.microsoft.com/.../remotedesktopconnection.mspx

Idem. E' interessante ma ssh -X e vnc esistono da tempo immemore ormai

Infine, una nota metodologica. Non ha tantissimo senso confrontare i bug fixed dei vari sistemi operativi.

Meglio confrontare quelli aperti.

Esistono vendor che sono molto più lenti nel patchare i loro prodotti rispetto ad altri.

Infine, sono molto contento del fatto che per ora Vista abbia pochi problemi di sicurezza aperti.

Ma il confronto va fatto con equità.

Date un'occhiata qui

secunia.com/.../13844

Debian stable è la classica distribuzione che viene scelta per i server. Sicura e molto stabile.

A parte il fatto che ci sono 0 vulnerabilità aperte...

Guardate quelle patchate quali software riguardano

- Iceweasel (ossia Mozilla Firefox)

- Icedove (ossia Mozilla Thunderbird)

- Openoffice

- Gimp

- Postgresql

- Apache

- lighttpd

- php

- samba

- squirrelmail

- qemu

Cosa voglio dire?

Che bisognerebbe fare il confronto con Vista + IIS (o apache o lighttpd) + MS Office (o openoffice) + Photoshop (o gimp) + Outlook (o Thunderbird) + SQL Server (o postgresql) + vmware (o qemu) + WinMediaPlayer + MSNMessenger...

Così il confronto sarebbe equo (ed i risultati molto diversi)

Detto questo, mi auguro sempre che Vista sia il sistema operativo più sicuro del mondo, dato che la maggior parte dei problemi di sicurezza sono dovuti alla poca considerazione che MS ha finora avuto per la sicurezza.

Saluti

   
8. Philip J. Fry
giovedì 28 giugno 2007 alle 10:54 AM - unknown unknown unknown
   

Esatto, che diamine c'entra, sono vulnerabilità del software, come potrebbero essere Thunderbird, Firefox o un fix dell'antivirus.

E poi è già pronto il SP1 di Vista, che racchiuderà la solita miriade di patch e cerotti vari...altrochè il Kernel di ubuntu, non fatemi ridere...

   
9. Paperino
giovedì 28 giugno 2007 alle 4:30 PM - unknown unknown unknown
   

Dipano un po' di confusione. Il rapporto di cui parlavo nel post era già obsoleto. Solo pochi giorni fa l'autore ha tirato fuori un altro report, disponibile qui: blogs.csoonline.com/windows_vista_6_month_vulnerability_report come si può leggere dettagliatamente nel PDF allegato al report: www.csoonline.com/.../6_Month_Vista_Vuln_Report.pdf

Questa volta ha cercato di rimuovere quanto più software possibile dalle varie distribuzioni prima di confrontare le varie vulnerabilità. Il risultato a sei mesi dal lancio dei vari OS è questa figura:

blogs.csoonline.com/.../6mo-reduced-high.PNG

Le vulnerabilità di Firefox rientrano nel calderone insieme alle vulnerabilità di IE, per cui non capisco cosa ci sia da ridere sul fatto che nel caso di *nix sia il "software" ad avere bachi (nel caso di Windows è l'hardware?). C'è ancora qualcuno là fuori che usa *nix senza usare il "software"? C'è qualcuno là fuori che dopo aver installato Ubuntu rimuove Firefox e OpenOffice? non credo...

Sul service pack: di solito un SP non corregge solo problemi di sicurezza ma per buona parte corregge problemi "minori" oltre ad impacchettare in un unico aggiornamento cumulativo tutti gli update precedenti; per cui come diceva Totò è la somma che fa il totale e gli aggiornamenti del SP non devono essere contati due volte. Laddove i numeri non bastano a convincere la gente, è chiaro che interviene la fede.

Infine mi chiedo: ma qualcuno ha notato che nel post il confronto era stato considerato solamente tra Vista ed XP?

   
10. Philip J. Fry
sabato 30 giugno 2007 alle 6:35 PM - unknown unknown unknown
   

Nessuno vuole mettere in discussione il fatto che Vista sia migliorato rispetto a Xp, ci andava anche talmente poco a migliorare un OS che era una falla dopo l'altra...inoltre ricordo che l'ultima versione LTS di Ubuntu è stata la 6.06, uscita più un anno fa...bisognerebbe fare il confronto con la più recente 7.04, uscita praticamente assieme alla comparsa di Vista in Italia.

   
11. Philip J. Fry
sabato 30 giugno 2007 alle 6:39 PM - unknown unknown unknown
   

...e poi ammettiamo che un confronto a 6 mesi dall'uscita non ha un granchè senso, con Xp le patch per coprire problemi di sicurezza le hanno rilasciate fino a 6 anni dopo la sua uscita, e escono tuttora.

   
12. Paperino
sabato 30 giugno 2007 alle 6:49 PM - unknown unknown unknown
   

Anche la 7.04 ha la sua buona quantità di patch e problemi forse più gravi (vedi baco dei mouse PS/2): tra l'altro se non è LTS un motivo ci sarà. La 7.04 è meglio della 6.06? Buono così, vuol dire che anche un SO "perfetto" può essere migliorabile.

XP è l'unico sistema operativo della lista qui sopra precedente all'avvento dell'ADSL, l'anno zero quando il malware è diventato davvero di massa. Forse un confronto a 6 mesi, _con XP_, non ha molto senso, ma resta il fatto che molte patch vengano ancora rilasciate per XP e sono in quantità molto superiore a quelle per Vista. Cosa vuol dire? Che i problemi che affliggono XP (sistema vecchio di 6 anni ormai) non affliggono Vista, per una quantità di misure messe in atto: SDL, UAC, IL, ecc. ecc. ecc.

Un po' come la differenza tra un soldato disarmato ed un soldato armato di fucile, bombe a mano, mitraglietta e bazooka. Sei libero di pensare che non faccia nessuna differenza, ma la realtà è un po' diversa.

   
Lascia un commento:
Commento: (clicca su questo link per gli smiley supportati; regole di ingaggio per i commenti)
(opzionale, per il Gravatar)