HSTS: più sicurezza per i siti Web con poco sforzo
Mercoledì 26 Ottobre 2011 - 09:35
di Claudio Cicali
Da che mondo e mondo sappiamo quanto sia importante utilizzare il protocollo HTTPS per le nostre transazioni web più sensibili. Lo abbiamo imparato giorno per giorno, grazie anche ai sottili ma continui miglioramenti UI nei nostri browser, vedendo con piacere che sempre più siti lo usavano obbligatoriamente non solo, ovviamente, per il pagamento di un bene ma anche già a livello di login. Facebook, Google, Friendfeed e una lunga lista di altri siti sono poi utilizzabili completamente solo in HTTPS.
Stiamo sicuramente facendo dei passi avanti, in questo contesto, dove anche l’utente medio (quello che per esempio non ha notato che lo schema delle URL è ormai sparito dalla barra degli indirizzi del browser) sta acquistando la sensibilità necessaria per non farsi ingannare in maniera troppo semplice.
Per migliorare ulteriormente la situazione sicurezza e privacy, è stata proposta piuttosto recentemente una semplice, poco intrusiva, specifica: si chiama HSTS, che sta per HTTP Strict Transport Security.
Continua a leggere HSTS: più sicurezza per i siti Web con poco sforzo
Categoria: Sicurezza | Permalink | Commenti (2)
Attaccate milioni di pagine e-commerce basate su osCommerce
Giovedì 4 Agosto 2011 - 10:00
di Claudio Garau
Secondo quanto riportato dall’Armorize Malware Blog, milioni di pagine Web basate sul Content Manager Open source per il commercio elettronico osCommerce sarebbero state coinvolte in un attacco volto a sfruttare delle vulnerabilità relative ad applicazioni di largo utilizzo che per esempio il browser Internet Explorer, il Reader di Adobe e l’ambiente Java.
Continua a leggere Attaccate milioni di pagine e-commerce basate su osCommerce
Categoria: Sicurezza, CMS | Permalink | Commenti (2)
Vulnerabilità in timthumb.php: WordPress a rischio
Martedì 2 Agosto 2011 - 10:07
di Matteo Campofiorito
Per bucare un’installazione di WordPress basta poco, è necessario soltanto che nel tema che si utilizza o in uno dei temi presenti nella directory “wp-content/themes” sia presente il file timthumb.php, un innocuo script per il ridimensionamento delle immagini che tuttavia può essere utilizzato come veicolo di possibili infezioni.
La scoperta è stata fatta da Mark Maunder che, investigando sulle possibili cause della compromissione del suo blog, ha individuato in timthumb.php il vettore di attacco.
Continua a leggere Vulnerabilità in timthumb.php: WordPress a rischio
Categoria: Sicurezza, CMS | Permalink | Commenti (6)
Domini co.cc bannati da Google
Giovedì 7 Luglio 2011 - 12:23
di Claudio Garau
Mountain View ha deciso di bannare dai risultati delle ricerche i siti Web aventi nome a dominio con estensione “.co.cc“, la motivazione da parte dell’azienda è stata che dalle pagine che facevano riferimento a questi domini veniva generata una quantità inaccettabile di spam. Effettivamente, in Rete sono presenti alcune conferme riguardo al fatto che dai “.cc” provenisse gran parte del traffico generato dai tentativi di phishing.
Continua a leggere Domini co.cc bannati da Google
Categoria: Sicurezza | Permalink | Commenti (5)
Tre trucchi da utilizzare nel tuo .htaccess
Giovedì 23 Giugno 2011 - 09:33
di Mariano Calandra
Il file .htaccess è un file molto potente e possiamo usufruire di tutte le sue potenzialità quando abbiamo a disposizione un web server Apache. L’uso a tutti più noto è quello che ci consente la riscrittura delle URL per avere indirizzi più user-friendly, ma ci sono anche altri usi meno noti, questi sono, a mio modo di vedere, alcuni dei più interessanti tra quelli trovati in giro per la rete.
Continua a leggere Tre trucchi da utilizzare nel tuo .htaccess
Categoria: Sicurezza | Permalink | Commenti (6)
XSS e PHP: teoria e pratica
Lunedì 20 Giugno 2011 - 09:17
di Kiko
Controllare l’input di un form è una delle prime mosse in ottica sicurezza che un buon programmatore deve mettere in pratica. L’attacco XSS mira, tramite inserimento di codice all’interno dei campi di un form, ad alterare i contenuti di una pagina Web.
Continua a leggere XSS e PHP: teoria e pratica
Categoria: Sicurezza, PHP e Open Source | Permalink | Commenti (16)
Tutto quello che devi sapere sulle password
Lunedì 9 Maggio 2011 - 14:00
di Claudio Cicali
Ammetto che il titolo di questo post può suonare un po’ esagerato, ma ho recentemente letto un paio di articoli che in effetti ti fanno riflettere molto su uno dei più importanti aspetti riguardante il sistema di autenticazione ad oggi più diffuso: la scelta della password. Come fare a conciliare la presunta sicurezza di un password “difficile” con l’usabilità della stessa (ovvero evitare che la si scriva sul classico post-it da attaccare al monitor perché è impossibile da ricordare)? Parliamo dunque di usabilità delle password.
Continua a leggere Tutto quello che devi sapere sulle password
Categoria: Sicurezza | Permalink | Commenti (3)
HTTPS, questo sconosciuto
Lunedì 28 Marzo 2011 - 11:27
di Claudio Garau
Segnalo un interessante articolo intitolato “HTTPS is more secure, so why isn’t the Web using it?”; lo scopo del post è semplicemente quello di evidenziare quella che potrebbe essere definita una cattiva pratica: lo scarso utilizzo del protocollo HTTPS per la sicurezza delle pagine Web e dei dati da esse gestiti, in particolare le credenziali per l’autenticazione.
Quali sono i motivi di questo sotto utilizzo, proviamo a proporre delle motivazioni sulla base degli argomenti proposti dall’articolo:
Continua a leggere HTTPS, questo sconosciuto
Categoria: Sicurezza | Permalink | Commenti (7)
Sei consigli sulla sicurezza delle applicazioni Web
Lunedì 25 Ottobre 2010 - 10:35
di Andrea de Palo
Tra le regole per il corretto sviluppo di un’applicazione Web figura anche quella di considerare la sicurezza come uno degli aspetti principali del prodotto e non come una funzionalità aggiuntiva, da includere (eventualmente) in un secondo momento.
Visto che spesso questo non risulta essere vero, segnaliamo con piacere una guida alla Web security pubblicata su Smashing Magazine; lo stile adottato la rende utile sia agli utenti più pigri, sia a quelli che preferiscono avere sempre a portata di mano una reference.
Continua a leggere Sei consigli sulla sicurezza delle applicazioni Web
Categoria: Sicurezza | Permalink | Commenti (5)
I malware preferiscono Java
Mercoledì 20 Ottobre 2010 - 08:26
di Giuseppe de Santis
Hai aggiornato Java? È un interrogativo che bisognerebbe porsi con frequenza, così come avviene per browser e sistemi operativi: ce lo fa notare Microsoft, che in un recente studio mostra come nell’arco del 2010 si sia verificata una “ondata senza precedenti” di attacchi mirati a sfruttare le falle di Java.
Continua a leggere I malware preferiscono Java
Categoria: Sicurezza, Java | Permalink | Commenti (2)