Categoria: Internet

  • Reset delle password di WordPress.org

    Ieri le password degli account di WordPress.org sono state resettate e gli utenti devono sceglierne una nuova.

    La decisione segue una serie inusuale di aggiornamenti di vari plugin molto utilizzati, tra cui AddThis, WPtouch e W3 Total Cache. Un’analisi ha rivelato che tutti questi aggiornamenti contenevano una backdoor e che le nuove versioni non erano state caricate dagli sviluppatori.

    Gli amministratori hanno ripristinato la versione dei plugin senza backdoor e hanno deciso di resettare le password di tutti gli utenti.

    Se avete un account su WordPress.org andate su questa pagina per impostare la nuova password.

    Come al solito, vale la regola che non è una buona idea utilizzare la medesima password per siti differenti.

  • Non è colpa degli hacker

    Ultimamente ci sono stati molti episodi di attacchi informatici a vari siti, a partire dal noto caso di Sony, di cui credo si sia perso il conto dei siti compromessi.

    The Hacker News segnala un errore nel sito di CNN che sono riuscito a riprodurre senza problemi.

    Se si visita l’URL http://cgi.money.cnn.com/tools/collegecost/collegecost.jsp?college_id='7966 (notare l’apicino) esce il bel messaggio d’errore

    ERROR!
    SELECT G.NAME, G.STATE_CODE, G.CITY, E.TUIT_OVERALL_FT_D, E.TUIT_AREA_FT_D, E.TUIT_STATE_FT_D, E.TUIT_NRES_FT_D, E.FEES_FT_D, E.RM_BD_D, E.RM_ONLY_D FROM COLLEGE_EXPENSES E, COLLEGE_GENERAL G WHERE G.INUN_ID = '7966 AND G.INUN_ID = E.INUN_ID (+) ORDER BY E.ACAD_YR DESC
    java.sql.SQLException: ORA-01756: quoted string not properly terminated

    e la videata riprodotta a qui sopra.

    Questo non è un sofisticato attacco di un esperto programmatore contro un sito dotato di tutte le normali difese che il buon senso richiede.

    Si tratta, invece, del più banale degli esempi di SQL Injection, così ovvio che è citato nella Wikipedia.

    Come narra la cronaca, la maggior parte degli attacchi contro vari siti ha avuto successo non perché portati da gente esperta, ma perché c’era una porta lasciata colpevolmente aperta che attendeva solamente che qualcuno entrasse.

    Un’ultima cosa:  visualizzare all’utente trace e dettaglio degli errori in un ambiente di produzione non è la più furba delle idee.

  • ICANN sta per approvare i TLD dei brand

    Al momento esistono quattro categorie di domini di primo livello (TLD) approvati da ICANN:

    Secondo Reuters presto ICANN potrebbe aprire a tutti la possibilità di avere un proprio TLD.

    Se venisse approvata questa norma, chiunque potrebbe teoricamente richiedere un proprio TLD, rispettando, ovviamente, alcune norme.

    Innanzi tutto, il costo per avanzare una simile richiesta è fissato attualmente a 185.000 dollari; inoltre il richiedente dovrà dimostrare la titolarità del nome legato al TLD.

    I possibili acquirenti sono, ovviamente, i brand famosi, ma si potrebbero fare avanti anche zone metropolitane.

    Visto che, stante l’attuale struttura, più in alto del TLD non si può andare, sarà interessante vedere cosa succede in caso di omonimie: ad esempio, se lo spumante Ferrari riuscisse a soffiare a Maranello il TLD cosa potrebbe succedere?

    Aggiornamento 20/6/2011 6:30 – ICANN ha approvato la creazione di nuovi gTLD sponsorizzati con 13 voti a favore, 1 contrario e 2 astenuti. Le richieste potranno essere presentate dal 12 gennaio 2012 al 12 aprile 2012.

  • Sownage

    Sownage è una contrazione di “Sony ownage“, il neologismo creato per descrivere la serie di attacchi portati a termine contro i siti e i servizi di Sony.

    Questa pagina tiene traccia della situazione in via di sviluppo e viene aggiornata man mano che si verificano altri atti ostili nei confronti di Sony. (via Twitter)

     

  • XSS sulla MyFastPage

    Emilio Pinna ha scoperto una vulnerabilità XSS dell’autenticazione dell’utente della MyFastPage di FastWeb.

    Esiste anche una pagina in cui è possibile verificare se si rischia di cadere vittime di questo tipo di attacco.

    Un ipotetico attaccante potrebbe modificare la password di accesso o accedere ai dati dell’utente e alla posta elettronica.

    Questo documento [PDF] mostra in dettaglio come sia possibile sfruttare questa vulnerabilità.

    Emilio ha segnalato il problema a FastWeb un mese fa ed ha ricevuto una risposta, ma il problema permane. (via Full Disclosure)

  • openWAF

    openWAF è un firewall applicativo distribuito per il web.

    Il mondo dei firewall per le applicazioni è ancora da esplorare, ma le recenti notizie di cronaca invitano a prendere rapidamente in esame questo aspetto della sicurezza.

    Normalmente i firewall operano a livello di protocollo di rete e fanno pochissime incursioni nei livelli applicativi.

    Inoltre, con una curiosa allegoria del teorema di Gödel, i firewall migliori sono quelli posti all’esterno di ciò che si vuole proteggere.

    Possiamo, infatti, scrivere l’applicazione web nel modo più sicuro che ci viene in mente, sanificando ogni input, ma una distrazione o un giro imprevisto della procedura sono sempre in agguato.

    (altro…)

  • Prova gratuita Amazon EC2

    Amazon EC2 (Amazon Elastic Compute Cloud) è un servizio di cloud computing a capacità scalabile/ridimensionabile, erogato con modello “pay per use”: si paga solo per il tempo e le risorse utilizzate.
    Consente di creare “istanze” contenenti sistemi operativi.
    Sono disponibili “immagini” preconfigurate per varie distribuzioni Linux e Windows server.

    I prezzi sono piuttosto abbordabili anche paragonati con quelli di altri gestori che offrono servizi di VPS.

    Per chi volesse effettuare una prova gratuita viene offerta la possibilità di far girare a tempo pieno un’istanza “micro” (altro…)

  • Elenco dei profili di Google

    Con questo semplice script in Python è possibile scaricare l’elenco degli URL di tutti i profili degli utenti di Google:

    import urllib
    from BeautifulSoup import BeautifulStoneSoup as bs
    xml = bs(urllib.urlopen('http://www.gstatic.com/s2/sitemaps/profiles-sitemap.xml').read())
    for i in xml.findAll('loc'):
        try:
            urllib.urlretrieve(i.text, i.text[35:])
            print 'Downloaded %s' % i.text[35:]
        except Exception, err:
            print '%s could not be retrieved' % i.text
    print 'All done'

    gstatic.com è il nome a dominio che Google utilizza per servire contenuti statici e ridurre, quindi, il carico sui server principali.

    Il risultato è una serie di file di testo con un URL per ogni riga.

    L’URL è quello del profilo di ciascuno dei 35.513.445 utenti registrati. Per fare un esempio, questa è la pagina del mio profilo, contenuta tra quelle scaricabili con lo script riportato sopra (via Yiannis).

  • Wolfram|Alpha compie due anni

    Due anni fa circa andava online Wolfram|Alpha.

    In occasione del suo secondo compleanno sono stati aggiunti molti dati al motore di ricerca, sia relativi agli Stati Uniti, sia al resto del mondo, sebbene Wolfram|Alpha parli, per ora, solamente inglese.

  • Adobe Flash Player 10.3

    Finalmente un pannello di controllo decente

    Adobe ha rilasciato la versione 10.3 di Flash Player per tutte le piattaforme.

    La documentazione della release descrive in dettaglio tutte le novità contenute in questa versione.

    Tra le migliorie degne di nota c’è finalmente la possibilità di accedere facilmente alle impostazioni del programma. Fino alle versioni precedenti, l’accesso non era intuitivo e l’interfaccia lasciava a desiderare. Dalla 10.3, nel pannello di controllo del sistema operativo è possibile richiamare la funzionalità di configurazione del player. In questo modo gli utenti possono vedere chiaramente quali dati vengono registrati da Flash.

    Da questa versione viene supportata l’API ClearSiteData, che permette al browser di cancellare, se richiesto dall’utente, anche i dati memorizzati da Flash. Una funzionalità analoga è supportata anche per Internet Explorer.

    Da segnalare l’implementazione anche per la piattaforma OSX della funzionalità di auto aggiornamento già presente in Windows. Per default, viene effettuato un controllo ogni settimana.

    Una volta aggiornato Flash, verificate le impostazioni nel pannello di controllo e cancellate i dati registrati da siti che non conoscete.

  • È ora di cambiare la password di Facebook

    Symantec segnala che alcune applicazioni di Facebook potrebbero aver concesso involontariamente l’accesso all’access token degli utenti a terzi.

    L’access token è il sistema con il quale le applicazioni agiscono per conto degli utenti su Facebook, dopo aver ricevuto l’approvazione dell’utente stesso.

    Un’applicazione con il vostro access token può impersonarvi su Facebook limitatamente alle azioni che voi avete concesso a quel token.

    Per invalidare l’access token è sufficiente cambiare la password del proprio account, l’opzione si trova nelle impostazioni dell’account.

    Resta sempre valido il consiglio di concedere privilegi a meno applicazioni possibili e di rivedere di tanto in tanto le applicazioni a cui si sono concessi dei privilegi.

  • Microsoft starebbe per comperare Skype

    Skype starebbe per passare ancora una volta di mano.

    La società è stata fondata nel 2003 dagli estoni Ahti Heinla, Priit Kasesalu e Jaan Tallinn, che avevano fatto parte del team di sviluppo di Kazaa. Utilizzato all’inizio solamente dagli smanettoni, il programma è diventato sempre più famoso, specialmente quando molte aziende riuscivano a chiamare all’estero con costi ridotti. Nel 2005 eBay compera Skype per 2,6 miliardi di dollari in cash, per rivendere due anni dopo il 70% delle azioni ad una cordata di investitori privati; la transazione portava il valore della società a 2,75 miliardi.

    La scorsa estate CISCO aveva messo gli occhi su Skype, valutata in quel periodo attorno a 5 miliardi di dollari.

    Microsoft starebbe per farsi avanti con un’offerta tra i 7 e gli 8 miliardi.

    Nel 2010 Skype ha registrato incassi per 860 milioni di dollari, con un passivo di 7 miliardi. (via WSJ)

    Aggiornamento 10/5/2011 17:00 – Microsoft ha completato la transazione per 8,5 miliardi.