Siamo abituati a ritenere che la risoluzione dei nomi avvenga tramite una richiesta in chiaro con protocollo UDP sulla porta 53 di uno dei server specificati nella configurazione dell’host. Per estensione, siamo abituati a credere che se si controllano in un qualche modo i server DNS impostati in un host, si può controllare il modo in cui l’host accede a determinati nomi a dominio.
DoH (DNS over HTTPS) potrebbe cambiare le regole del gioco e le nostre granitiche certezze.
(altro…)Era ora!
Finalmente quel fannullone di Luigi si è deciso a fare i cambiamenti strutturali del caso che hanno permesso al sito di passare in https senza problemi (forse).
È attivo un redirect da http a https per non rompere i link, se ci sono problemi scrivete nei commenti di questo articolo, sulla pagina Facebook oppure via mail.
Molti siti popolari stanno passando per default alle comunicazioni via HTTPS.
Se per un sito ospitato su un solo server dedicato è un’operazione banale, Per una grossa organizzazione non è un’impresa semplice.
Passare in HTTPS non risolve ogni problema di sicurezza sia perché è un protocollo soggetto ad attacchi (qui e qui) sia perché esiste comunque un single point of failure.
La chiave privata.
(altro…)Abbastanza bene, ma non è una bacchetta magica.
Prima di spiegare HTTPS è necessario spiegare cosa sia la Public Key Infrastructure (PKI) e prima ancora la crittografia asimmetrica, il vero mattone con cui è costruito tutto quanto: se qualcuno scoprisse come crackare velocemente una cifratura asimmetrica verrebbe giù tutto o peggio.
I sistemi di crittografia più noti sono simmetrici, ovvero quelli che richiedono una chiave, la stessa, per cifrare e decifrare un testo: dal cifrario di Cesare a Enigma era questo il modo di nascondere le informazioni fino a qualche decennio fa.
A partire da oggi Wikipedia utilizza HTTPS per il login degli utenti e mantiene il protocollo crittografato per il resto degli accessi al sito.
Questa decisione, già parte del percorso di tutela della sicurezza, è stata anticipata alla luce dei recenti eventi legati alle rivelazioni di Edward Snowden secondo le quali Wikipedia sarebbe stata uno dei metodi per tracciare le persone poste sotto sorveglianza.
Per il momento HTTPS non viene attivato sulle versioni di Wikipedia di Paesi che scoraggiano o vietano quel protocollo: cinese (zh.*), fārsì (fa.*), gilaki (glk.*), curdo (ku.*), mazanderani (mzn.*) e soranî (ckb.*). In seguito la decisione di utilizzare o meno HTTPS sarà basata sulla geolocalizzazione dell’indirizzo IP dell’utente che visita Wikipedia.
Ovviamente HTTPS non garantisce l’anonimato né la riservatezza assoluti di ciò che si sta visitando, ma contribuisce, in generale, a ridurre i rischi di furto di informazioni riservate. Esistono firewall normalmente acquistabili su cui si possono abilitare dei veri e propri attacchi di man-in-the-middle per poter analizzare le pagine visitate e confrontarle con le policy impostate. [via Wikimedia Meta]
Tutti sappiamo che il protocollo https permette ad Alice e Bob di scambiarsi messaggi senza che Charlie, costantemente in ascolto sulla linea, li legga.
Ogni browser utilizza degli espedienti grafici per indicare che la connessione in corso non è facilmente intercettabile e leggibile.
Ma c’è un tipo di https che offre una sicurezza maggiore rispetto ad un altro e, per ora, i browser non hanno sistemi di avviso immediatamente riconoscibili per informare l’utente in merito.
Innanzi tutto, una carrellata su come funziona il protocollo https. I due attori in gioco (Alice e Bob) sono il client (browser dell’utente) e il server. Lo scopo è fare in modo che Charlie non legga i dati che passano in ciascuna delle due direzioni.
Da un mesetto ho messo un Palo Alto PA-220 in modalità virtual wire tra il router Internet e lo switch di casa.
Questa mattina controllo il report dell’ACC e trovo tanto traffico Windows Update, eppure non è patch tuesday.
Continua a leggere
È da tempo che non scrivo qualcosa, ma ho letto un articolo che mi ha fatto immediatamente pensare che sarei dovuto tornare qui.
Da qualche anno ho iniziato a seguire in modo sempre più serio la pallavolo femminile. Per questo sono piuttosto interessato a leggere i pochi articoli dedicati a questo sport.
Nota polemica: questo sport, diversamente da “quell’altro”, partecipa sempre ai mondiali o agli europei e, di solito, nella peggiore delle ipotesi, si classifica tra le prime 4, se non addirittura vincendoli.
Mi è capitato tra le mani un articolo online (su Movmag.com) che, dopo averlo letto, mi ha lasciato perplesso: sembra proprio che chi l’ha scritto abbia una conoscenza limitatissima di questo sport, tanto da aver probabilmente utilizzato una Generative AI gratuita.
(altro…)In un dominio Active Directory gli hash delle password degli utenti sono registrati nel file NTDS.dit presente in ogni Domain Controller (DC), il cui path di default è C:\Windows\NTDS\NTDS.dit
Esistono vari modi per fare una copia degli hash, ma tutti quelli normalmente elencati partono dal presupposto che si abbia accesso di un certo tipo ad un Domain Controller.
Molte linee guida raccomandano di monitorare e regolare bene l’accesso ai DC, ma si dimenticano di un dettaglio.
I backup.
Continua a leggere
Per fare un tuffo nel passato e ricordarsi di come era il web quando era solamente HTML senza script o popup vari, ho deciso di caricare l’ultima versione di HyperTrek 100% HTML prima che venisse convertita in PHP+MySQL.
Mancano dei pezzi nella pagina di download e, ovviamente, non è detto che funzionino i link esterni, ma un vero geek non ha bisogno di questi avvertimenti perché ci arriva da solo.
Per qualcosa di un po’ più aggiornato, il progetto continua su https://wikitrek.org
Edit 2024-12-27 sera: i file di download ci sono tutti, solo hypertrek.zip è lo ZIP con il sito che vedete, gli altri sono più vecchi. Si possono scaricare anche il vecchio WinTrekHelp e i sorgenti della Norton Guide.
Microsoft ha annunciato che da inizio 2025 inizierà a forzare il passaggio da Outlook Desktop a New Outlook.
New Outlook non è altro che un brutto wrapper di Outlook Web Access, più limitato nelle funzionalità di Outlook Desktop, specialmente se si possiedono più account.
Continua a leggereCapita spesso di voler creare dei nomi della LAN interna con il FQDN di un nome a dominio pubblico o di voler sovrascrivere alcuni host con IP pubblico con gli stessi nomi, ma con IP interno.
La soluzione più comune è creare una zona con lo stesso nome della zona esterna con gli stessi contenuti, a meno di quelli che devono essere differenti.
Continua a leggere