SIAMO GEEK

Categoria: Internet

  • Le password nel commercio elettronico

    Dashlane ha pubblicato un rapporto sulle password nel commercio elettronico [PDF].

    Il documento analizza le regole imposte dai primi cento siti americani di e-commerce, molti dei quali operano anche a livello globale. Dashlane ha individuato 24 caratteristiche delle password e ha assegnato a ciascuna un punteggio negativo o positivo; se una caratteristica è applicabile alle password di un sito, il punteggio relativo viene assegnato ad esso. Il punteggio può variare da -100 a +100.

    Prima di esaminare la classifica alcuni dati aggregati degni di nota:

    • il 55% dei siti accetta password del tipo 123456 o password;
    • il 51% non blocca l’account dopo dieci tentativi di collegamento errati, tra questi siti ci sono anche Amazon, Dell, Best Buy e Macy’s;
    • il 64% ha delle regole molto discutibili in merito alle password, la qual cosa ha portato ad un punteggio negativo;
    • il 61% non fornisce alcuna indicazione su come creare una password sicura durante la creazione di un account;
    • il 93% non fornisce in tempo reale una valutazione della forza della password durante la digitazione della medesima
    • 8 siti inviano la password via mail in chiaro.

    Per gli amanti delle top 10 ecco la classifica dei siti migliori. (altro…)

  • Controllate il vostro NTP

    CloudFlare è stato attaccato con un pesante DDoS basato su un baco dell’implementazione di NTP.

    Lo scorso dicembre Symantec aveva scoperto un metodo per sfruttare il comando monlist presente nelle vecchie versioni di ntpd per amplificare un attacco di DDoS. Al momento della pubblicazione dell’articolo già molte distribuzioni aggiornate di Linux erano indenni da questo problema, ma rimanevano comunque una gran quantità di server vulnerabili.

    Il fattore di amplificazione di un attacco questo tipo può raggiungere anche 58,5; il che significa che chi dispone di 100 Mbit di banda può attaccare una vittima con un traffico che può arrivare a 5,85 Gbit.

    Le versioni di ntpd dalla 4.2.7 compresa in su non hanno più la funzione monlist; nelle vecchie versioni si può utilizzare l’opzione noquery in ntp.conf.

    Ironia della sorte, il 9 gennaio scorso era stato pubblicato nel blog di CloudFlare un articolo sugli attacchi via NTP.

    Per scoprire se un server può essere utilizzato per un attacco di questo tipo si può utilizzare il servizio di Open NTP Project che esegue scansioni su blocchi di IP fino al /22.

  • DuckDuckGo

    DuckDuckGoDuckDuckGo è un motore di ricerca che garantisce l’anonimato e offre alcune feature interessanti.

    L’anonimato è il punto fondamentale del motore: DuckDuckGo non traccia la storia delle ricerche effettuate da un singolo utente e, quindi, non profila gli utenti e le loro ricerche basandosi su ciò che hanno cercato. Come ha rilevato Mikko Hyppönen, la cronologia delle ricerche effettuate da ciascuno può essere utilizzata per incriminarlo o comunque imbarazzarlo.

    Il motore di ricerca permette di salvare le impostazioni, ma in maniera assolutamente anonima e volontaria; in ogni caso non viene salvata la cronologia dei termini cercati. Il tutto è protetto da una password, che non può essere recuperata se viene dimenticata, in quanto non viene registrata nessuna informazione che identifica l’utente.

    Tutte caratteristiche degne di nota, ma c’è  di più: una cornucopia di funzioni utili a geek, smanettoni e curiosi. (altro…)

  • Testo nelle immagini

    Naked Security illustra i dettagli di un tipo di attacco molto subdolo.

    Si tratta di nascondere un codice JavaScript nei pixel di un’immagine a toni di grigio; una versione modificata ad arte di jQuery è in grado di decodificare i dati contenuti nel file ed eseguirli come JavaScript.

    Questo metodo potrebbe evadere molti, se non tutti, tipi di scansione perché il codice JavaScript non è riconoscibile come pattern.

    Incuriosito da questa tecnica, ho provato a ricreare il metodo per codificare e decodificare un testo in un’immagine PNG. (altro…)

  • Mal di testa vettoriale

    xmlMi sto dedicando in questi giorni a una revisione del mio sito web e sono incappato in un interessante problema la cui soluzione penso possa interessare gli altri geek.
    Dovevo inserire alcune icone social da utilizzare sia nella classica dimensione 32×32 pixel, sia in altre grandezze in pagine diverse. La soluzione iniziale a cui avevo pensato era salvare le immagini nella dimensione più grande necessaria e poi utilizzarle ridimensionadole dove servivano più piccole.
    Idea apparentemente buona, ma all’atto pratico non molto gradevole esteticamente: il layout engine del browser si occupa anche di scalare le immagini e applicare lo anti-aliasing dove necessario, ma i risultati visivi variano di molto. Mentre Firefox e Chrome fanno un lavoro abbastanza buono, Internet Explorer – guarda un po’ – fa una riduzione pessima; in nessuno dei tre casi, però, il risultato è ottimale.
    Tutte le immagini erano in formato PNG, quello che possiamo definire a grandi linee il GIF dell’informatica moderna: supporta, tra le altre cose, lo alpha compositing e la tavolozza RGB a 24bit. Non è adatto per la grafica professionale – dove dominano JPEG, TIFF e i vari formati proprietari – ma è perfettamente equipaggiato per fornire le grafiche decorative su internet.

    Per risolvere il problema della riduzione in maniera definitiva, avrei dovuto preparare immagini di diverse dimensioni a monte: un software di fotoritocco può rimpicciolire una immagine in maniera decisamente migliore rispetto a motore di rendering di un browser. In questo caso però avrei dovuto creare tante copie della immagine quante le dimnsioni di cui avevo bisogno.
    Ho quindi iniziato a ragionare su una soluzione diversa più pratica e, possibilmente, più geek. (altro…)

  • Se l’attacco è mirato

    Le mail di phishing arrivano quasi quotidianamente, nonostante le protezioni antispam e alcune sono talmente grossolane da strapparci qualche secondo di ilarità.

    La storia cambia notevolmente se una persona o un’organizzazione viene presa di mira con un attacco mirato, detto tecnicamente spear phishing.

    A differenza del phishing che pesca a strascico (come le notifiche da banche in cui non solo non abbiamo un conto, ma di cui ignoriamo l’esistenza), un attacco mirato avviene al termine di un’indagine sulla vittima.

    (altro…)

  • Finto FileZilla che ruba le credenziali

    FileZillaavast! ha scoperto una versione modificata di FileZilla che ruba le credenziali e le trasmette ad un server gestito da malviventi.

    Le versioni modificate hanno numero di release 3.7.3 e 3.5.3, si possono riconoscere essenzialmente in due modi: non eseguono l’auto-aggiornamento e le informazioni nella finestra di About sono diverse. Queste versioni sono perfettamente funzionanti e, se utilizzate, non presentano altre differenze rispetto alla versione legittima del programma.

    (altro…)

  • L’Internet delle cose insicure

    L’elettrodomestico e la casa in rete è un ritornello più vecchio della diffusione di massa di Internet.

    A questa promessa abbastanza inutile si sono aggiunte negli ultimi anni e nelle ultime settimane le promesse che tutti gli oggetti saranno online: termostati, orologi, frigoriferi, lampadine, calzini…

    Bisogna riconoscere che adesso la tecnologia c’è quasi tutta per rendere veritiere queste promesse: ogni casa tecnologica ha una connessione a Internet con un access point. Il prossimo protocollo IPv6 permetterebbe, allo stato attuale, di assegnare non meno di 264 indirizzi univoci ad ogni abbonamento residenziale.

    (altro…)

  • Vergogna!

    150Offerta di lavoro per un webmaster, grafico, esperto di SEO (già qui…) e per di più appassionato di motociclismo (non faccio commenti a sfondo sessuale, ma avete capito dove andrei a parare).

    Retribuzione: 150 euro.

    ALL’ANNO!

    Signori, capisco che si interessa di motociclismo non debba avere la benché minima conoscenza delle professionalità del web, ma voi esperti centauri vi fareste cambiare i freni da una persona che viene pagata 150 euro l’anno?

    Non è finita: una ‘APP’ verrebbe compensata con ben 100 euro.

    Essere una startup non vuol dire fare gli straccioni.  Se non avete un business plan, fatelo prima di partire, se non sapete fare un business plan, lasciate perdere. Se non avete soldi per pagare un collaboratore, usate cose come Wix, ma non offendete chi la professionalità se l’è guadagnata con studi e applicazione costanti nel tempo. (via Marco M.)

  • Defacement del sito di OpenSSL

    OpenSSLIl 29 dicembre scorso verso le 01:00UTC la home page del sito di OpenSSL ha subito un defacement ed è stata sostituita con il messaggio TurkGuvenligiTurkSec Was Here @turkguvenligi + we love openssl _

    I file del sito sono stati ripristinati entro le due ore successive, ma i dettagli dell’attacco si sono fatti attendere.

    Solamente due giorni dopo è apparso un breve messaggio che spiegava in modo molto generico e onestamente un po’ dubbioso l’accaduto:

    Initial investigations show that the attack was made via hypervisor through
the hosting provider and not via any vulnerability in the OS configuration.
Steps have been taken to protect against this means of attack in future.

    Messa così sembrava che il software che governa le macchine virtuali fosse stato attaccato; l’hypervisor è lo strato più basso di un sistema di virtualizzazione, nella virtualizzazione bare metal è anche l’ultimo strato di software prima dell’hardware. Un’affermazione di questo tipo implicava un attacco alla macchina host del provider, con tutte le conseguenze del caso.

    (altro…)

  • Punti di vista – I Chindōgu

    Siamo diventati troppo tecnologici o troppo pigri? Sia come sia, trovo che questa sia una genialata e permette anche di ovviare all’acquisto di un guanto di coppia 😀

    Fonte

    E’ molto che non posto ma mi piace iniziare il 2014 con una di quei gadget che sono assolutamente inutili al di fuori della specifica funzione per cui sono stati creati. I Giapponesi ne hanno fatto un’arte: si chiamano Chindōgu e gli esempi più classici si sono visti decine di volte in rete.
    Stando a Wikipedia i Chindōgu devono avere specifiche caratteristiche:
    “1. un chindōgu non può avere un utilizzo reale;
    2. un chindōgu deve esistere fisicamente;
    3. in ogni chindōgu è insito uno spirito di anarchia;
    4. i chindōgu sono strumenti per la vita quotidiana;
    5. i chindōgu non sono in vendita;
    6. l’umorismo non dev’essere la sola ragione per creare un chindōgu;
    7. il chindōgu non è pubblicitario;
    8. i chindōgu non trattano mai temi scabrosi;
    9. il chindōgu non si può brevettare;
    10. i chindōgu non hanno pregiudizi.”

    A seguire alcuni dei miei preferiti (e che userei… se sapessi dove comprarli!!): (altro…)

  • La Stampa. Punto.

    Stampa - Corsera - RepubblicaDa ieri il sito de La Stampa ha lo stesso nome della testata e cade il suffisso .it.

    Primo tra i tre maggiori quotidiani generalisti italiani a compiere questa scelta non solo grafica, La Stampa si allinea alla strategia delle maggiori testate internazionali. La redazione è ora unica e i contenuti possono essere indirizzati indifferentemente sui vari media.

    Per troppo tempo le redazioni online dei quotidiani sono state (e in Italia molte lo sono ancora) le sorelle minori delle testate cartacee, che spesso antepongono la velocità nel dare una notizia all’accuratezza della medesima (tipico esempio), come se arrivare primi fosse più importante della professionalità.

    Uniformare una redazione per i vari media non è solamente un fatto logistico o tecnologico, ma richiede un grande sforzo da parte delle persone coinvolte, molte delle quali devono davvero cambiare il loro modo di lavorare.

    In bocca al lupo, quindi, alla testata torinese. (via @marcobardazzi)