Gli ultimi post di Edit
Il sistema di login ideale
Lunedì 25 Maggio 2009 - 08:17
di Cesare Lamanna
Non so se usare il termine leggi sia o meno esagerato, ma sono sicuramente buoni consigli quelli presentati da George Reese.
E allora quali sono secondo il nostro i 5 requisiti di base di un sistema di autenticazione davvero efficace e sicuro?
- Criptare sempre le password
- Non porre limiti massimi sul numero di caratteri che è possibile usare per creare una password
- Non limitare il tipo di caratteri che è possibile usare in una password
- Non mandare mai all’utente via mail la password in chiaro, ma adottare altri sistemi di recupero
- Quando è possibile usare OpenId
Categoria: Sicurezza | Permalink | Commenti (10)
Password sicure e usabili
Giovedì 21 Maggio 2009 - 08:19
di Cesare Lamanna
Può una password essere al tempo stesso sicura e usabile (leggi: facile da ricordare)? Detto altrimenti: per garantirci da attacchi e tentativi di hacking siamo condannati a scegliere cose come “J4fS<2" (che magari siamo costretti ad appuntare su un bel Post-it giallo a sua volta lasciato attaccato in bella mostra sul monitor... l'ho visto, l'ho visto :) )?
Thomas Baekdal prova a fare due conti in questo articolo. Due conti perché sottopone la sicurezza delle password ad un test ben preciso: quanto tempo impiegherebbe un hacker a indovinare la combinazione giusta usando i 3 metodi di attacco più comuni (brute force, attacco basato su parole comuni, attacco basato su tutti i termini contenuti in un dizionario)?
Usando una sola parola, non c’è storia. “J4fS<2", con la sua combinazione di simboli, numeri, lettere maiuscole e minuscole, è praticamente inattaccabile. Ma usando più parole, anche molto comuni e facili da ricordare, lo scenario cambia. Qualcosa come "this is fun" potrebbe impiegare un malintenzionato per ben 2537 anni.
Tutti convinti? O sempre meglio farle strane?
Categoria: Sicurezza | Permalink | Commenti (14)
Drupal 6.12 e 5.18, aggiornamenti di sicurezza
Martedì 19 Maggio 2009 - 10:07
di Claudio Garau
A breve distanza dal rilascio delle versioni 6.11 e 5.17, il team di sviluppo di Drupal ha messo a disposizione degli utilizzatori due nuove release, la 6.12 e la 5.18; anche in questo caso si tratta di aggiornamenti di sicurezza, quindi è fortemente consigliato procedere quanto prima ad un upgrade delle piattaforme utilizzate per la realizzazione dei propri siti.
L’aggiornamento è da considerarsi urgente in quanto dovrebbe risolvere una vulnerabilità classificata come di livello critico (anche se moderato); in alternativa è possibile ricorrere ad una più semplice procedura consistente nell’applicazione delle patch disponibili per entrambe le versioni dell’applicazione (qui è disponibile la patch per Drupal 6.11, mentre il codice per la patch di Drupal 5.17 potrà essere visualizzato su questa pagina).
Continua a leggere Drupal 6.12 e 5.18, aggiornamenti di sicurezza
Categoria: CMS | Permalink | Commenta
I browser più aggiornati
Venerdì 8 Maggio 2009 - 08:38
di Cesare Lamanna
Chi sono gli utenti di browser più lesti nell’aggiornare il proprio programma di navigazione? Dai risultati emersi da questo studio (formato PDF) condotto da due ricercatori svizzeri (Stefan Frei e Thomas Duebendorfer di Google) emerge un quadro piuttosto chiaro: quelli che usano Firefox e Chrome. Molto più restii all’update e quindi più vulnerabili dal momento che la maggior parte degli aggiornamenti servono a tappare falle di sicurezza, quelli di Safari e Opera. Complessivamente, valutando gli accessi ai server di Google, solo il 45% degli utenti naviga con una versione del browser aggiornata all’ultima release.
Come spiegare il comportamento virtuoso di chi usa Firefox e Chrome? Semplice: i due browser adottano il meccanismo dell’aggiornamento in background. Via Ars Technica.
Categoria: Sicurezza | Permalink | Commenti (14)
Rilasciato Joomla 1.5.10
Martedì 31 Marzo 2009 - 10:08
di Gino Giorgetti
Gli svilupatori di Joomla hanno da pochi giorni (28 marzo) rilasciato la versione 1.5.10.
Si tratta di una security release, cioè una versione che interviene per risolvere bug e correggere problemi di sicurezza di basso e medio livello, oltre a risolvere ben 66 bug generici.
Continua a leggere Rilasciato Joomla 1.5.10
Categoria: CMS | Permalink | Commenti (3)
MD5: abbandonare la nave?
Martedì 24 Febbraio 2009 - 08:21
di Sandro Paganotti
Il 30 Dicembre 2008 un team internazionale di ricercatori ha dimostrato come il popolare algoritmo MD5 non sia cosi sicuro come sembra. Dimostrazioni teoriche di possibili attacchi erano già state poste sotto i riflettori negli anni passati ma mai nessuno aveva corredato quanto esposto con un vero e proprio attacco portato a termine con successo.
I ricercatori hanno proceduto in questo modo: prima di tutto hanno acquistato un certificato per un sito web presso una nota CA (RapidSSL), quindi hanno utilizzato un cluster di 200 Playstation 3 per generare un ‘Intermediate Certificate Authority (ICA)’, cioè un certificato che può a sua volta certificare altri siti, la cui MD5 fosse identica a quella del certificato acquistato.
Sfruttando questo stratagemma è stato poi possibile, utilizzando l’ICA generato, certificare un certo numero di siti rendendoli validi agli occhi di RapidSSL e di conseguenza dei nostri browser (che automaticamente ’si fidano’ delle maggiori Certificate Authority).
L’attacco sfrutta una caratteristica dell’MD5 che comporta la (rara) possibilità che l’hash criptografico generato da questo algoritmo su due documenti diversi sia lo stesso (md5 collision); il team di ricercatori ha concluso consigliando a chiunque debba far uso dell’MD5 di migrare verso algoritmi per il momento più sicuri come SHA-1 o SHA-2.
Categoria: Sicurezza | Permalink | Commenti (3)
Joomla e scelta del template, feature o bug?
Martedì 17 Febbraio 2009 - 09:37
di andrea.ferrini
Una delle caratteristiche più interessanti dei moderni CMS è quella della separazione tra rappresentazione e contenuto, ossia la possibilità di cambiare “al volo” l’aspetto di un sito senza dover mettere mano ai contenuti.
Joomla interpreta questa funzionalità in maniera egregia e già nella versione 1.0.x era presente un modulo di front-end che, se pubblicato, concedeva ai visitatori (o, a seconda dei permessi, solo agli utenti registrati) di cambiare il template e quindi colore e grafica del sito.
Continua a leggere Joomla e scelta del template, feature o bug?
Categoria: CMS | Permalink | Commenti (7)
Joomla, sicurezza del sito sotto controllo con GuardXT
Giovedì 22 Gennaio 2009 - 09:10
di massimo.giagnoni
La sicurezza dei propri siti è giustamente una preoccupazione molto sentita tra la comunità degli utenti di Joomla. Anche se è bene tenere presente che in questo campo nessuna soluzione software può sostituirsi completamente alla conoscenza e all’esperienza degli amministratori del sito, ci sono alcune estensioni che possono essere di aiuto.
Ho avuto modo in un post precedente di menzionare JSecure, e ora voglio segnalare una estensione rilasciata di recente, GuardXT.
Continua a leggere Joomla, sicurezza del sito sotto controllo con GuardXT
Categoria: CMS | Permalink | Commenti (1)
PhpIDS, più sicurezza per il nostro CMS
Venerdì 26 Dicembre 2008 - 10:17
di andrea.ferrini
Per gli esperti di sicurezza l’acronimo IDS riconduce subito agli strumenti di Intrusion Detection System, applicazioni dedicate in grado di rilevare eventuali tentativi di attacco e di reagire in base a delle regole per applicare le dovute contromisure (ad esempio, Snort).
PhpIDS è un layer di sicurezza (una serie di librerie più che una applicazione dedicata) che se adeguatamente configurato e integrato in qualsiasi applicazione Web è in grado di diminuire i rischi dovuti ad attacchi ed exploit a livello applicativo.
Continua a leggere PhpIDS, più sicurezza per il nostro CMS
Categoria: CMS | Permalink | Commenti (3)
Rilasciato Movable Type 4.23
Venerdì 12 Dicembre 2008 - 09:16
di Gino Giorgetti
È stata rilasciata da qualche giorno la nuova versione di uno tra i blog engine più noti e apprezzati: Movable Type 4.23.
Già in passato avevamo avuto modo di parlare di questo blog e di confrontarlo con il suo più diretto antagonista, WordPress, mettendone in luce pregi e difetti.