SIAMO GEEK

Autore: Luigi Rosa

  • Parsing dei nomi dei file: non si fa così

    Questa mattina ero da un cliente che mi cheide «Visto che sei qui, mi puoi spiegare perché non riesco a caricare alcuni file su questo sito?»

    Il sito era di un ente governativo europeo, i file erano una serie di documenti PDF che devono essere caricati per adempiere ad alcune formalità per poter accedere a qualcosa che non ricordo. Diciamo per poter accedere al livello successivo.

    L’interfaccia di caricamento prevedeva il solito form con un <input type='file'...> e una successiva interfaccia in cui era possibile verificare l’effettivo caricamento del file tramite un link <a href=...> per riscaricarlo come verifica o un altro link per cancellarlo e ripetere l’upload.

    Il problema era che alcuni file non venivano accettati e la verifica dopo il caricamento dava perennemente un bel 404 di Tomcat, ma solamente su alcuni file. Ovviamente la dimensione del file non era una discriminante. Troppo facile.

    (altro…)

  • CentOS 6.0 seguirà l’uscita della 5.6 e della 4.9

    Karanbir Singh ha annunciato che le versioni 4.9 e 5.6 di CentOS stanno passando l’esame del controllo di qualità.

    La 6.0 verrà dopo queste due release.

    La decisione di rilasciare anche la 4.9 e di dare a questa release la precedenza rispetto alla 6.0 è motivata dal fatto che, secondo i dati di 8 mesi fa, il 18% degli utenti CentOS utilizza ancora la 4.x.

  • Esempio da evitare

    L’immagine a fianco mostra un tipico esempio di come non vada scritto il software di gestione di un sito.

    L’errore principale in questo caso è stato quello di realizzare un software che accetta un file come parametro passato via HTTP.

    Ipotizzando che la lettura di un file passato come parametro sia una necessità, è comunque possibile evitare il directory traversal.

    La funzione realpath() permette di convertire i path relativi in path assoluti e, quindi, sanificare le stringhe prima di passarle alle funzioni di apertura file: utilizzando il valore ritornato da realpath('.') è possibile eseguire dei controlli sulla stringa da sanificare per evitare che vengano caricati file in posizioni non previste.

  • Dati sensibili sui dischi a stato solido

    Steven Swanson e  Michael Wei hanno dimostrato che le normali procedure di cancellazione dati che si applicano ai supporti magnetici non sono efficaci per alcune memorie allo stato solido.

    Se si riesce a bypassare il flash translation layer sarebbe, in alcuni casi, possibile rileggere i dati salvati e sovrascritti.

    Dalle ricerche dei due scienziati sembrerebbe, infatti, che nelle memorie allo stato solido la cancellazione definitiva dei dati sia più difficile rispetto ai supporti magnetici convenzionali.

    Dal momento che non sempre è possibile distruggere fisicamente i supporti, fino a quando i produttori non implementeranno un sistema certo e garantito per cancellare i dati dalle memorie allo stato solido è bene non utilizzarle per dati sensibili oppure registrare solamente dati precedentemente crittografati.

  • 0day del protocollo SMB di Windows

    Fonti diverse confermano un vulnerabilità del protocollo SMB di Windows pubblicata, assieme al codice per sfruttarla, l’altro ieri sulla mailing list full-disclosure.

    La vulnerabilità consisterebbe nell’inviare a macchine Windows dei pacchetti di richiesta di Browser Election modificati ad arte per sfruttare un baco della funzione BrowserWriteErrorLogEntry() definita nel file mrxsmb.sys.

    La vulnerabilità colpirebbe solamente Windows, non le implementazioni del protocollo SMB di SAMBA.

    (altro…)

  • Siete insonni? C’è un’applicazione che risolve il problema!

    L’insonnia potrebbe essere causata dalla temperatura dei colori del monitor.

    Ma non vi preoccupate, c’è F.lux, un’applicazione per Linux, Windows e Mac che adatta il tono cromatico del display al ritmo dell’alternanza notte/dì.

    Il sito dell’applicativo cita molte fonti che supporterebbero l’utilità di questa applicazione per chi soffre di disturbi del sonno.

  • Aggiornamento per Java

    Oracle ha pubblicato l’aggiornamento 24 della versione 6 di Java.

    L’aggiornamento contiene la correzione di 21 vulnerabilità del software.

    Oracle classifica come critico questo aggiornamento e suggerisce di installare la nuova versione appena possibile.

    Gli utenti Windows possono forzare l’aggiornamento selezionando la funzione Aggiornamento dell’applet Java nel pannello di controllo.

  • Keylogger trovati nei computer di una biblioteca britannica

    La BBC e altre testate riportano la notizia del ritrovamento di keylogger USB connessi ai computer pubblici di una biblioteca di Wilmslow, vicino a Manchester.

    La polizia sarebbe riuscita a recuperare due dei tre keylogger che sarebbero stati installati nei computer della biblioteca, le indagini sono in corso.

    Questa notizia dimostra, casomai ce ne sia bisogno, che i computer pubblici non devono essere utilizzati per accedere a qualsiasi tipo di account privato, dalla posta elettronica personale al profilo dei siti di acquisti online.

    A titolo di ulteriore sicurezza, è bene controllare periodicamente il retro del proprio computer aziendale e i computer aziendali collocati in luoghi frequentati da tante persone come i corridoi o le sale riunioni.

  • La posta elettronica, questa sconosciuta (ai programmatori)

    Mi capita, in quanto SysAdmin, di dover spiegare ai clienti perché un messaggio apparentemente valido è stato scartato con disprezzo dall’antispam.

    Spesso ho a che fare con messaggi non di spam vero e proprio, ma assemblati da programmi scritti da chi non ha la benché minima idea di come sia fatto un messaggio e non sa nemmeno cosa sia RFC 821 (tralasciamo gli aggiornamenti).

    L’ultimo esempio è un messaggio scartato da SpamAssassin anche per queste ragioni:  FROM_MISSP_EH_MATCH, FROM_MISSP_NO_TO, MISSING_DATE, MISSING_HEADERS, REPLYTO_WITHOUT_TO_CC, che non sono altro che il modo che SpamAssassin ha per dire “questo testo assomiglia solo vagamente ad un messaggio di posta elettronica, impara le regole e torna dopo aver studiato, asino!”

    Mi rivolgo a chi vuole integrare i messaggi di posta elettronica nei propri programmi: o vi studiate religiosamente gli standard, oppure utilizzate librerie scritte da chi conosce la materia. Grazie.

  • (x² + y² – 1)³ = x² y³

    È l’equazione cartesiana di una delle curve adatte per questo giorno.

    Perché noi geek siam fatti così.

  • È possibile creare un virus che spegne Internet?

    Risposta breve: teoricamente sì, ma con un sacco di se e di ma.

    Max Schuchard e i ricercatori dell’università del Minnesota hanno dimostrato [PDF] che un botnet di circa 250.00 elementi ben programmato potrebbe mettere in crisi le tabelle BGP dei router di confine delle varie sottoreti e bloccare, quindi, il routnig tra gli autonomous system.

    Una premessa: per comprendere le implicazioni di quanto scritto in questo articolo è necessaria un minimo di familiarità sui meccanismi che regolano Internet ad un livello che non viene normalmente percepito dagli utenti o dai SysAdmin che operano a livello server. Di seguito cercherò di spiegare a grandi linee questi meccanismi.

    Durante il primo boom di Internet (metà anni ’90) questa veniva definita anche la rete delle reti, definizione che ci viene molto utile in questo contesto. A livello macrosocopico Internet è una serie di reti con delle regole specifiche di interconnessione (peering) e instradamento (routing) tra di loro. Le regole di routing interne delle singole reti non sono importanti: come la singola connessione ADSL raggiunga il confine della rete di un provider non interessa le altre reti. Le singole reti sono, ad esempio, quelle dei vari ISP, quelle delle grandi società di hosting/housing, quelle delle multinazionali. Da questo momento in avanti il termine rete è utilizzato con questa accezione, non pensate alla vostra LAN, ma all’insieme degli indirizzi del vostro provider (per esempio). Bisogna pensare in grande quando si parla di BGP e assimilati.

    (altro…)

  • Borders

    La catena di librerie Borders sta per chiedere la protezione prevista dal capitolo 11 del diritto fallimentare americano.

    Borders è nato nel 1971 ad Ann Arbor, Michigan, creato da Tom e Louis Borders ed è stato per decenni un marchio molto famoso negli USA.

    All’inizio del secolo Borders aveva delegato ad Amazon la gestione delle vendite online e solamente nel 2008 aveva interrotto l’accordo per portare in casa il business delle vendite via Internet.

    L’avvento delle pubblicazioni digitali ha inferto un duro colpo alla società, che aveva scelto di non entrare nel business degli ebook. Ne pagheranno le spese, oltre agli azionisti, qualche migliaio dei 19.500 dipendenti e almeno un terzo dei 674 punti vendita. (via America 24)