Gli ultimi post di Edit
Better WP Security: per rendere sicuro WordPress basta un plugin
Martedì 8 Novembre 2011 - 09:30
di Matteo Campofiorito
Con la sua grandissima diffusione WordPress è diventato uno tra i bersagli privilegiati di attacchi da parte di cracker che sfruttando password deboli, bug presenti in versioni obsolete del blog engine o in qualche plugin riescono a compromettere migliaia di installazioni.
Ecco perché esistono ormai delle “buone pratiche” per aumentare la sicurezza di WordPress: aggiornare sempre all’ultima versione disponibile, modificare l’utente admin, cambiare il prefisso delle tabelle, proteggere l’area amministrativa con un .htaccess, bloccare brute force alla pagina di login etc.
Per attuare tutte queste regole si può procedere manualmente oppure selezionare diversi plugin che ci aiutino nei vari compiti. Se invece amate le soluzioni veloci e complete la scelta ideale è Better WP Security.
Continua a leggere Better WP Security: per rendere sicuro WordPress basta un plugin
Categoria: CMS | Permalink | Commenti (1)
Vulnerabilità in timthumb.php: WordPress a rischio
Martedì 2 Agosto 2011 - 10:07
di Matteo Campofiorito
Per bucare un’installazione di WordPress basta poco, è necessario soltanto che nel tema che si utilizza o in uno dei temi presenti nella directory “wp-content/themes” sia presente il file timthumb.php, un innocuo script per il ridimensionamento delle immagini che tuttavia può essere utilizzato come veicolo di possibili infezioni.
La scoperta è stata fatta da Mark Maunder che, investigando sulle possibili cause della compromissione del suo blog, ha individuato in timthumb.php il vettore di attacco.
Continua a leggere Vulnerabilità in timthumb.php: WordPress a rischio
Categoria: Sicurezza, CMS | Permalink | Commenti (5)
BrowserID, il Single Sign On proposto da Mozilla
Venerdì 15 Luglio 2011 - 15:06
di Claudio Cicali
Abbiamo sempre ritenuto importante utilizzare un sistema di Single Sign On sui siti web, sia come utenti che come sviluppatori. Abbiamo visto OpenID, che non è riuscito ad imporsi per svariati motivi (salvo notevoli eccezioni). Abbiamo visto passare anche BBAuth (che essendo di Yahoo! puzza un po’ di morto). Poi ecco Facebook Connect, ma occorre fidarsi e poi anche Google Federated Login, ma poi hai paura di essere tracciato e forse non ce lo hanno in troppi… insomma, a dispetto di coloro che pensano che la questione SSO sia una faccenda conclusa e risolta, sembra proprio che ci sia ancora spazio per delle buone idee. E quando si parla di buone idee, Mozilla è sempre in prima fila. E infatti, ecco la loro proposta: BrowserID. Vediamo di capire meglio di cosa si tratta.
Continua a leggere BrowserID, il Single Sign On proposto da Mozilla
Categoria: Software e Servizi | Permalink | Commenti (4)
Sei consigli sulla sicurezza delle applicazioni Web
Lunedì 25 Ottobre 2010 - 10:35
di Andrea de Palo
Tra le regole per il corretto sviluppo di un’applicazione Web figura anche quella di considerare la sicurezza come uno degli aspetti principali del prodotto e non come una funzionalità aggiuntiva, da includere (eventualmente) in un secondo momento.
Visto che spesso questo non risulta essere vero, segnaliamo con piacere una guida alla Web security pubblicata su Smashing Magazine; lo stile adottato la rende utile sia agli utenti più pigri, sia a quelli che preferiscono avere sempre a portata di mano una reference.
Continua a leggere Sei consigli sulla sicurezza delle applicazioni Web
Categoria: Sicurezza | Permalink | Commenti (5)
Esperto di sicurezza: una figura da rivalutare in un team di sviluppo
Mercoledì 21 Aprile 2010 - 11:04
di Gabriele Romanato
Recentemente ho avuto dei problemi di sicurezza sul mio sito. Tutto questo mi ha portato a riflettere sul processo di sviluppo di un sito web e sul perchè oggi più che mai sia necessario affiancare la figura professionale di un esperto di sicurezza informatica a quelle già presenti all’interno di un team.
Con l’evolversi delle tipologie di attacco ai siti e con il rapido affermarsi di nuovi ceppi malware e, soprattutto, con la ovvia constatazione che il tema della sicurezza è qualcosa di estremamente complesso, affidare sempre la cura della sicurezza di un sito ad uno sviluppatore web (imponendogli così un doppio lavoro) si rivela spesso controproducente. Sia chiaro: è ovvio che uno sviluppatore web debba sapere come scrivere codice sicuro, ma è altrettanto vero che il campo della sicurezza è talmente vasto che spesso non basta conoscere alcune best practices per dirsi completamente al sicuro.
Continua a leggere Esperto di sicurezza: una figura da rivalutare in un team di sviluppo
Categoria: Sicurezza, Lavoro | Permalink | Commenti (3)
Java SE 6 Update 20 risolve una grave vulnerabilità
Mercoledì 21 Aprile 2010 - 10:22
di Giuseppe de Santis
A pochi giorni dal rilascio di Java 6u19 si è reso necessario un urgente aggiornamento per risolvere una grave vulnerabilità relativa al protocollo Java Network Launch Protocol (JNLP) di cui fa uso Java Web Start, la tecnologia usata per scaricare ed eseguire al volo applicazioni Java dal web.
Già alcuni siti malevoli avevano fatto uso di questo exploit, derivante dal un errore di Java Web Start nel validare parametri passati via riga di comando in ambiente Windows, per cui la replica di Sun non poteva farsi attendere.
Continua a leggere Java SE 6 Update 20 risolve una grave vulnerabilità
Categoria: Sicurezza, Java | Permalink | Commenta
Captcha facili in PHP
Martedì 20 Aprile 2010 - 08:08
di napolux
Securimage CAPTCHA è una libreria opensource di facile installazione e utilizzo per generare captcha da utilizzare nelle vostre applicazioni PHP.
Nonostante la semplicità di utilizzo (bastano tre righe di codice per mostrare il vostro captcha) ha diverse feature avanzate che permettono un’estrema personalizzazione: dall’utilizzo di captcha audio alla gestione di sfondi e font TrueType, passando per la possibilità di generare il vostro captcha a partire da una lista di parole predefinite.
Continua a leggere Captcha facili in PHP
Categoria: Sicurezza, PHP e Open Source | Permalink | Commenti (4)
Una possibile vulnerabilità nelle sessioni PHP
Venerdì 16 Aprile 2010 - 08:07
di Andrea Ganduglia
Secondo un advisory pubblicato su Seclists, l’entropia alla base della funzione uniqid() si baserebbe un RNG (Random Number Generation) debole, il che, in certe condizioni, potrebbe portare alla generazione di un ridotto numero di ID di sessione, rendendo gli attacchi spoofing con metodo brute force più facili se non nel regno della fattibilità.
Continua a leggere Una possibile vulnerabilità nelle sessioni PHP
Categoria: Sicurezza, PHP e Open Source | Permalink | Commenti (2)
Sui misuratori di vulnerabilità delle password
Venerdì 8 Gennaio 2010 - 12:45
di Cesare Lamanna
Non so se esistono studi sull’uso (e sulla percezione) da parte degli utenti dei sistemi di avviso sulla vulnerabilità delle password create al momento dell’iscrizione ad un sito. Di certo non sono pochi quelli che ritengono tali sistemi inutili se non obbligano l’utente a seguire schemi precisi nella definizione delle password che vadano al di là del semplice numero minimo di caratteri.
Mi chiedo poi quanti, di fronte ad un messaggio che mette in guardia rispetto alla debolezza di una certa combinazione, modificano la stessa fino ad ottenerne una considerata sicura dal sistema. Personalmente lascio sempre quella che inserisco, a prescindere dal feedback che ricevo, cerco sempre cioè di combinare sicurezza e usabilità della password anche se il risultato finale non corrisponde ai criteri definiti da chi gestisce il meccanismo di iscrizione.
Nonostante ciò, non metto in discussione la funzione positiva di questa soluzione (mettere in guardia, consigliare è comunque apprezzabile sempre quando si parla di sicurezza). Sarebbe però utile, a mio avviso, che il feedback non si limiti alla classica misurazione basata sull’uso di colori (in genere dal rosso al giallo al verde) o di termini chiave come ‘vulnerabile’, ‘media’, ’sicura’, etc.: accanto a questi ’segnali’ andrebbero fornite anche precise istruzioni che guidino in maniera esplicita l’utente all’adozione di pattern complessi e considerati sicuri. Un po’ come è possibile fare con il plugin Password Strength Meter per jQuery (demo).
Categoria: Sicurezza, Scripting | Permalink | Commenti (9)
Wordpress sotto attacco: aggiornare subito, please!
Domenica 6 Settembre 2009 - 14:44
di Cesare Lamanna
Se uno dei più importanti blogger del mondo rimane vittima di un attacco al suo sito che gira su Wordpress, è facile immaginare che la cosa abbia un impatto immediato e fragoroso. Occhio dunque: i blog che usano vecchie release di Wordpress e non sono hostati su Wordpress.com sono a rischio.
Come riporta Matt Mullenweg, un worm particolarmente pericoloso riesce a registrarsi come utente amministratore e, sfruttando un bug di sicurezza, inserisce spam e malware nei vecchi post. Il consiglio è di aggiornare immediatamente alla versione 2.8.4.
Dal momento che il worm utilizza la struttura dei permalink per eseguire il codice dannoso, è importante prestare attenzione agli URL/permalink del nostro blog. La presenza di parole strane come “eval” e “base64_decode” è uno dei segni che consente di capire se si è stati attaccati (ulteriori dettagli in questo post di Lorelle VanFossen).
Categoria: Sicurezza | Permalink | Commenti (13)