È stata scoperta, a luglio 2016, una vulnerabilità che permette ad un utente malintenzionato di effettuare un attacco di tipo man in the middle potendo leggere quanto viene inviato in uscita, comprese possibili chiavi private, password e dati sensibili. Scopriamo di cosa si tratta. (more...)

Continua a leggere Vulnerabilità HTTPoxy in PHP: security release per tutte le versioni

Categoria: PHP e Open Source

Tags:

Google fornisce da tempo una delle più grandi infrastrutture Cloud dello scenario mondiale. La sua Cloud Platform è costituita da servizi on-line in grado di ospitare applicazioni, macchine virtuali, storage remoto, database e molto altro. L'accesso a tutto ciò viene fornito tramite API di tipo REST, client da riga di comando e, ove disponibili, librerie per gli sviluppatori. (more...)

Continua a leggere Google Cloud Platform: in arrivo soluzione BYOK

Categoria: Sicurezza

Oltre che di documentazione ricca e buoni strumenti, gli informatici di ogni categoria e ruolo hanno bisogno di indicazioni affidabili. In questo senso, possono arrivare input importanti da realtà industriali attive nel settore e Dell è sicuramente una di queste. (more...)

Continua a leggere Dove va l’IT? Le previsioni di Dell per i prossimi 5 anni

Categoria: Software e Servizi

Si ricorderà di certo l'attacco ai server Adobe di qualche settimana fa, una delle più grosse minacce alla sicurezza subita dall'azienda negli ultimi anni. Oggi emergono i primi dati sull'impatto di una simile azione: sono oltre 38 milioni gli utenti coinvolti, a cui si aggiunge la sottrazione del codice sorgente di Photoshop e altre applicazioni. A darne notizia è l'esperto Brian Krebs dal suo sito ufficiale. (more...)

Continua a leggere Attacco Adobe: 38 milioni gli utenti coinvolti

Categoria: Adobe World

Tags: ,

UPDATE: Trudy Muller, portavoce Apple, ha rilasciato una dichiarazione con cui si afferma la sicurezza di iMessage. L'azienda specifica come "la ricerca discuta di vulnerabilità teoriche che richiederebbero ad Apple di riprogettare il sistema iMessage, ma Apple non ha piani né intenzione di farlo". iMessage, il servizio di messaggistica tra device iOS e Mac voluto da Apple, non è così sicuro e inaccessibile come sembra. Nonostante il sistema abbia generato diversi malumori fra le agenzie governative statunitensi per l'impossibilità di accedere a conversazioni private incriminate, l'hacker pod2g spiega perché in realtà l'accesso sia possibile da malintenzionati. Fino a oggi, il protocollo di codifica delle conversazioni iMessage è apparso inattaccabile. Quando un utente invia un messaggio a un contatto, viene assegnata una chiave pubblica di codifica da Apple. Il contenuto viene così criptato e solo e unicamente il dispositivo del ricevente può decodificarlo, grazie a una chiave questa volta privata. Questo sistema ha impedito che malintenzionati, o le stesse forze dell'ordine, potessero leggere le conversazioni altrui, tanto che pare la stessa Cupertino non sia in grado di spiarne i messaggi. Ma vi sarebbe, in realtà, un workaround. (more...)

Continua a leggere iMessage di Apple non è così sicuro come sembra

Categoria: Sicurezza

Tags: ,

Recentemente ho avuto dei problemi di sicurezza sul mio sito. Tutto questo mi ha portato a riflettere sul processo di sviluppo di un sito web e sul perchè oggi più che mai sia necessario affiancare la figura professionale di un esperto di sicurezza informatica a quelle già  presenti all'interno di un team. Con l'evolversi delle tipologie di attacco ai siti e con il rapido affermarsi di nuovi ceppi malware e, soprattutto, con la ovvia constatazione che il tema della sicurezza è qualcosa di estremamente complesso, affidare sempre la cura della sicurezza di un sito ad uno sviluppatore web (imponendogli così un doppio lavoro) si rivela spesso controproducente. Sia chiaro: è ovvio che uno sviluppatore web debba sapere come scrivere codice sicuro, ma è altrettanto vero che il campo della sicurezza è talmente vasto che spesso non basta conoscere alcune best practices per dirsi completamente al sicuro. (more...)

Continua a leggere Esperto di sicurezza: una figura da rivalutare in un team di sviluppo

Categoria: Lavoro

A pochi giorni dal rilascio di Java 6u19 si è reso necessario un urgente aggiornamento per risolvere una grave vulnerabilità  relativa al protocollo Java Network Launch Protocol (JNLP) di cui fa uso Java Web Start, la tecnologia usata per scaricare ed eseguire al volo applicazioni Java dal web. Già  alcuni siti malevoli avevano fatto uso di questo exploit, derivante dal un errore di Java Web Start nel validare parametri passati via riga di comando in ambiente Windows, per cui la replica di Sun non poteva farsi attendere. (more...)

Continua a leggere Java SE 6 Update 20 risolve una grave vulnerabilità 

Categoria: Java

di napolux

Securimage CAPTCHA è una libreria opensource di facile installazione e utilizzo per generare captcha da utilizzare nelle vostre applicazioni PHP. Nonostante la semplicità  di utilizzo (bastano tre righe di codice per mostrare il vostro captcha) ha diverse feature avanzate che permettono un'estrema personalizzazione: dall'utilizzo di captcha audio alla gestione di sfondi e font TrueType, passando per la possibilità  di generare il vostro captcha a partire da una lista di parole predefinite. (more...)

Continua a leggere Captcha facili in PHP

Categoria: PHP e Open Source

Secondo un advisory pubblicato su Seclists, l'entropia alla base della funzione uniqid() si baserebbe un RNG (Random Number Generation) debole, il che, in certe condizioni, potrebbe portare alla generazione di un ridotto numero di ID di sessione, rendendo gli attacchi spoofing con metodo brute force più facili se non nel regno della fattibilità . (more...)

Continua a leggere Una possibile vulnerabilità  nelle sessioni PHP

Categoria: PHP e Open Source

Non so se esistono studi sull'uso (e sulla percezione) da parte degli utenti dei sistemi di avviso sulla vulnerabilità  delle password create al momento dell'iscrizione ad un sito. Di certo non sono pochi quelli che ritengono tali sistemi inutili se non obbligano l'utente a seguire schemi precisi nella definizione delle password che vadano al di là  del semplice numero minimo di caratteri. Mi chiedo poi quanti, di fronte ad un messaggio che mette in guardia rispetto alla debolezza di una certa combinazione, modificano la stessa fino ad ottenerne una considerata sicura dal sistema. Personalmente lascio sempre quella che inserisco, a prescindere dal feedback che ricevo, cerco sempre cioè di combinare sicurezza e usabilità  della password anche se il risultato finale non corrisponde ai criteri definiti da chi gestisce il meccanismo di iscrizione. Nonostante cià, non metto in discussione la funzione positiva di questa soluzione (mettere in guardia, consigliare è comunque apprezzabile sempre quando si parla di sicurezza). Sarebbe però utile, a mio avviso, che il feedback non si limiti alla classica misurazione basata sull'uso di colori (in genere dal rosso al giallo al verde) o di termini chiave come 'vulnerabile', 'media', 'sicura', etc.: accanto a questi 'segnali' andrebbero fornite anche precise istruzioni che guidino in maniera esplicita l'utente all'adozione di pattern complessi e considerati sicuri. Un po' come è possibile fare con il plugin Password Strength Meter per jQuery (demo).

Continua a leggere Sui misuratori di vulnerabilità  delle password

Categoria: Sicurezza