Rieccoci nella nostra rubrica dedicata ai piccoli tool da shell per developer e amministratori di sistema. Oggi il nostro focus riguarda un tool in bash chiamato Testssl.sh. Si tratta di una piccola applicazione open source capace di eseguire svariati test e analizzare lo status della criptazione TLS/SSL su tutti i siti Web che si desidera analizzare. (more…)

Continua a leggere Testssl.sh per i test sulla TLS/SSL encryption

Categoria: Software e Servizi

Tags: ,

Il certificate pinning è un meccanismo di sicurezza che consente di verificare che un canale di comunicazione basato su protocollo HTTPS sia sicuro. Vedremo, infatti, come sia piuttosto semplice intercettare una comunicazione instaurata da un'applicazione mobile a meno che questa non implementi tale meccanismo di sicurezza. (more…)

Continua a leggere Certificate Pinning e sicurezza delle comunicazioni mobili

Categoria: Mobile

Tags: ,

Entro breve tempo tutti i gateway delle principali piattaforme per i pagamenti online, come per esempio PayPal, aggiorneranno i loro API server in modo da accettare soltanto le richieste cifrate tramite protocollo TLS 1.2; per questioni di sicurezza dovute all'obsolescenza di SSL la stessa modifica dovrebbe coinvolgere anche i Web service che si basano su API per l'integrazione in progetti di terze parti. (more…)

Continua a leggere Payment gateway e TLS 1.2: cosa fare per tenersi pronti

Categoria: CMS

Tags: , ,

SSL v3 non è più sicuro. A sancirlo definitivamente, una nota della IETF (Internet Engineering Task Force), l'Ente che si occupa di redigere le specifiche dei protocolli della Rete. Il documento che in poche righe comunica questa decisione è la RFC 7568, una Request For Comments, pubblicata nel mese di giugno 2015 ed intitolata "Deprecating Secure Sockets Layer Version 3.0". (more…)

Continua a leggere IETF: SSL v3 è deprecato

Categoria: Sicurezza

Tags: , ,

Alcuni ricercatori hanno individuato l’ennesima minaccia alle comunicazioni protette su canale HTTPS, un bug con caratteristiche non dissimili da quello sfruttato nel già noto attacco FREAK e che ancora attende di essere corretto. (more…)

Continua a leggere Logjam, nuovo attacco alla sicurezza in rete

Categoria: Sicurezza

Nel corso della giornata di ieri alcuni ricercatori di sicurezza avrebbero confermato l'esistenza di una nuova vulnerabilità a carico dei protocolli crittografici SSL/TLS; questa problematica, denominata FREAK attack, potrebbe permettere ad utenti malintenzionati di intercettare connessioni (teoricamente sicure) tramite HTTPS fra client vulnerabili e server, fatto questo il processo di cifratura potrebbe essere alterato e decriptato. (more…)

Continua a leggere FREAK Attack, nuova vulnerabilità SSL/TLS

Categoria: Sicurezza

Tags: , ,

HTTPSWatch è una sorta di osservatorio online concepito per monitorare il livello di supporto alle comunicazione sicure via HTTPS (HyperText Transfer Protocol over Secure Socket Layer) da parte di alcuni dei siti Web più trafficati della Rete; l'idea alla base del progetto non è quindi quella di restituire una panoramica completa, ma di tracciare il comportamento delle realtà più importanti tra quelle che operano su Internet supponendo che esse rappresentino un esempio per le altre. (more…)

Continua a leggere Lo stato di HTTPS secondo HTTPSWatch

Categoria: Sicurezza

Tags: ,

I ricercatori di sicurezza tornano a parlare di POODLE, l’attacco a una grave vulnerabilità di sicurezza presente nel protocollo SSL per le comunicazioni cifrate su Web di cui tanto si è parlato nelle scorse settimane. La minaccia è tornata, dicono gli esperti, e ora coinvolge anche i protocolli più recenti. (more…)

Continua a leggere POODLE, la nuova minaccia

Categoria: Sicurezza

Tags: ,

L'application security researcher Ivan Ristic ha recentemente reso noti i nuovi requisiti previsti dagli SSL Labs per la valutazione del livello di sicurezza di un progetto Web based e dell'ambiente in cui opera; si tratta di criteri specificati all'interno della "SSL Server Rating Guide" che permettono di utilizzare un sistema di classificazione dove "A+" corrisponde al massimo grado di sicurezza ed "F" ad una condizione di insicurezza che necessiterebbe di immediato rimedio. (more…)

Continua a leggere I nuovi requisiti di sicurezza degli SSL Labs

Categoria: Sicurezza

Tags: ,