di Gabriele Farina 3 Commenti

Volevo segnalare che è stata rilasciata la versione 4.4.1 di PHP che risolve alcuni bug si sicurezza, tra cui la sovrascrittura dell'array GLOBALS. Potete consultare i cambiamenti effettuati dal team di sviluppo e scaricare la nuova versione dal sito ufficiale di PHP. Consiglio caldamente di aggiornare i propri webserver. Anche PHP 5.1 sta crescendo ed è stata recentemente rilasciata la Release Candidate 4 che, a detta degli sviluppatori, dovrebbe essere ormai pronta per la produzione e stabile per lo sviluppo. Un po' di testing fa sempre comodo nel campo dell'open source, quindi consiglio anche in questo caso di scaricare la nuova versione ed effettuare qualche prova in locale.

Tags: ,
di Francesco Caccavella Commenta

Circola già  da oggi un proof of concept(POC) per la vulnerabilità  della Graphical Device Interface, pubblicata da Microsoft solo due giorni fa. Un proof of concept è una sorta di prototipo per sfruttare un problema di sicurezza. Il prototipo viene divulgato sulla rete, corretto e successivamente incorporato in worm che replicandosi è in grado di portare l'infezione su un gran numero di macchine.Il bug di Windows che viene sfruttato è quello della libreria destinata a visualizzare i vecchi formati di file grafici wmf e emf. Facendo visualizzare, su un sito Web, in un messaggio di posta elettronica o in un documento Word, un file grafico emf o wmf creato ad hoc, si può spingere il sistema ad eseguire qualsiasi tipo di programma e codice.Stando alla descrizione di Trend Micro, questo primo prototipo di exploit non installa nessun programma ma è in grado solo di mandare in crash Explorer. Per tutti è naturalmente consigliato l'aggiornamento di Windows da Microsoft Update.

di Alessandro Fulciniti 4 Commenti

Le pop-under sembrano costituire l'alternativa moderna alle pop-up, dato che queste ormai non hanno storia grazie a browser e toolbar con il blocco.Chris Heilmann ha recentemente pubblicato How to create user friendly pop-under ads, un articolo molto dettagliato su come costruirle con CSS e Javascript. Nell'esempio la pubblicità  va a fondo pagina ma resta comunque visibile senza disturbare se Javascript è disabilitato. (more...)

di Francesco de Francesco 5 Commenti

Come avevo anticipato, ho studiato a fondo il rapporto preview del Censis che Giacomo Dotta ha presentato nel suo post Noi, internet ed i media (a proposito, ancora grazie, Giacomo!)Ovviamente il documento va letto senza dargli un valore assoluto. Non sono conosciuti i metodi di indagine, il questionario sottoposto e le domande fatte, quindi la valutazione non può essere completa. Certo, invece, può essere considerato unÂ’indicazione di una tendenza e come tale utile per capire importanti fenomeni legati alla navigazione. (more...)

Websense lancia l'allarme: è in circolazione una mail in cui l'autore, spacciando il tutto per un messaggio proveniente direttamente da Google, tenta di recuperare il numero di carta di credito della potenziale vittima. Era inevitabile: Microsoft, PayPal ed eBay sono le vittime predilette dai malintenzionati del phishing, ma un nome fascinoso come Google non può non entrare nella considerazione di quanti intendono sperimentare una truffa di questo tipo. Il tranello è tanto semplice da sconfinare nell'ingenuità : la mail annuncia che il destinatario della mail ha vinto 400$ e che a Google è sufficiente avere il numero della carta di credito per depositare la somma. Facile supporre invece dove vada a finire il numero e quale utilizzo ne venga fatto (difficilmente servirà  per un deposito comunque...)

Tags: ,
di Francesco de Francesco 14 Commenti

Ok, frequentando forum e blog, che un sito debba essere visibile mediante qualunque browser lo sappiamo (almeno, così si spera), ma le brochure?Spesso su siti commerciali sono presenti aree da cui si può scaricare materiale che illustra i prodotti o servizi, la cui stampa provoca non poche sorprese. (more...)

di Francesco Caccavella Commenta

PHPXMLRPC è un componente incluso in decine di web application scritte in PHP. Il suo scopo è quello di implementare in PHP il protocollo XML-RPC per consentire remote call tra differenti host che utilizzano differenti sistemi: garantisce scambio e portabilità  di dati. In particolare viene utilizzata per gestire i ping che i blog si trasmettono per aggiornare i messaggi inviati.Il protocollo ha sofferto nei mesi scorsi di alcuni problemi di sicurezza. Una vulnerabilità  dello scorso luglio 2005 ha avuto enorme eco tra gli sviluppatori. La libreria infatti viene utilizzata in sistemi come Drupal, Wordpress, Phpgroupware, PostNuke rendendo vulnerabili tutti i sistemi su cui sono installati. Exploit e codici per sfruttarla, come del resto la patch, comparvero subito ma non vi furono attacchi su larga scala, anche se alcuni siti non aggiornati subirono diversi defacement.Oggi qualcuno ci riprova, ma il fine non è quello di "bucare" il sito ma di creare una Botnet. Un wormetto chiamato da Symantec Plupii, e segnato come livello 2 di pericolosità  (su 5), gira da alcuni giorni sul web alla ricerca di versioni di PHPXMLRPC vulnerabili per installare backdoor. In recenti installazioni naturalmente il componente è aggiornato, ma la Botnet che il worm cerca di creare riuscirà  sicuramente a trovare qualche vecchio sistema vulnerabile da sfruttare. Dunque "occhio" e aggiornate le web application installate.

di Marco Casario 1 Commento

Siamo arrivati alla fine. Come mi fa notare Andrea Veggiani, il DevNet Resource Kit, i cd rom che Macromedia distribuiva ai suoi clienti iscritti al DevNet, si fermeranno con questo ultimo volume, il 13.In verità  bisogna dire che il servizio DevNet non è mai del tutto decollato. La mia idea è che nemmeno Macromedia ci ha creduto tanto. (more...)

di Alessandro Fulciniti 6 Commenti

Nella realizzazione di layout basati su CSS la fase di test è fondamentale: tipicamente si tende a inserire nelle sezioni principali del testo di riempimento (filler text in inglese) per verificare la robustezza del layout al variare della lunghezza delle colonne.Ritenendo questa operazione piuttosto noiosa, ho pensato di sviluppare un piccolo script che la può velocizzare molto: è infatti in grado di aggiungere dei link attraverso i quali potremo ottenere uno o più paragrafi di filler text, così da effettuare il testing del layout senza dover editare ogni volta il codice HTML.Ho preparato una pagina di esempio che usa lo script. (more...)