SIAMO GEEK

Tag: web

  • State lontani dal DNS

    Per un caso del destino (o no?) a un mio cliente e ad un cliente di un collega questa settimana è successa la medesima cosa.

    Continua a leggere

  • Ad Blocker

    Il titolo indica quell’insieme di tecnologie atte a bloccare la visualizzazione delle pubblicità nelle pagine web.

    La pubblicità, in qualsiasi forma e aspetto, quando è ben fatta e discreta al punto giusto è un bene per tutti gli attori del mercato: il consumatore conosce nuovi prodotti, il gestore del mezzo di comunicazione guadagna dall’inserzione e il promotore fa conoscere il proprio prodotto.

    Il giocattolo si rompe quando una delle tre parti eccede, provocando una reazione delle altre due. (altro…)

  • Punti di vista – I Chindōgu

    Siamo diventati troppo tecnologici o troppo pigri? Sia come sia, trovo che questa sia una genialata e permette anche di ovviare all’acquisto di un guanto di coppia 😀

    Fonte

    E’ molto che non posto ma mi piace iniziare il 2014 con una di quei gadget che sono assolutamente inutili al di fuori della specifica funzione per cui sono stati creati. I Giapponesi ne hanno fatto un’arte: si chiamano Chindōgu e gli esempi più classici si sono visti decine di volte in rete.
    Stando a Wikipedia i Chindōgu devono avere specifiche caratteristiche:
    “1. un chindōgu non può avere un utilizzo reale;
    2. un chindōgu deve esistere fisicamente;
    3. in ogni chindōgu è insito uno spirito di anarchia;
    4. i chindōgu sono strumenti per la vita quotidiana;
    5. i chindōgu non sono in vendita;
    6. l’umorismo non dev’essere la sola ragione per creare un chindōgu;
    7. il chindōgu non è pubblicitario;
    8. i chindōgu non trattano mai temi scabrosi;
    9. il chindōgu non si può brevettare;
    10. i chindōgu non hanno pregiudizi.”

    A seguire alcuni dei miei preferiti (e che userei… se sapessi dove comprarli!!): (altro…)

  • La Stampa. Punto.

    Stampa - Corsera - RepubblicaDa ieri il sito de La Stampa ha lo stesso nome della testata e cade il suffisso .it.

    Primo tra i tre maggiori quotidiani generalisti italiani a compiere questa scelta non solo grafica, La Stampa si allinea alla strategia delle maggiori testate internazionali. La redazione è ora unica e i contenuti possono essere indirizzati indifferentemente sui vari media.

    Per troppo tempo le redazioni online dei quotidiani sono state (e in Italia molte lo sono ancora) le sorelle minori delle testate cartacee, che spesso antepongono la velocità nel dare una notizia all’accuratezza della medesima (tipico esempio), come se arrivare primi fosse più importante della professionalità.

    Uniformare una redazione per i vari media non è solamente un fatto logistico o tecnologico, ma richiede un grande sforzo da parte delle persone coinvolte, molte delle quali devono davvero cambiare il loro modo di lavorare.

    In bocca al lupo, quindi, alla testata torinese. (via @marcobardazzi)

  • Traffico dei bot

    La scorsa settimana ha avuto una notevole risonanza la notizia secondo la quale il traffico dei bot ammonterebbe fino al 61,5% del traffico web.

    Incuriosito, ho preso i log di Siamo geek della scorsa settimana con tutto il traffico IPv4 e IPv6 verso questo sito, li ho importati in una tabella SQL e ho fatto due conti.

    (altro…)

  • Apache: proteggere le directory di upload

    Nella sicurezza non esiste un solo silver bullet, ma ci sono tanti piccoli accorgimenti che aiutano a rafforzare un sistema.

    Uno dei problemi dei siti è il controllo e l’isolamento dei file caricati dagli utenti o da sconosciuti. Ci sono vari modi per mitigare eventuali  problemi che si possono verificare quando viene caricato un file indesiderato, qui ne viene esposto uno, ben sapendo che non si tratta dell’unico.

    Il tipico esempio di directory pericolosa per un sito è la directory /wp-content/uploads di WordPress. Un metodo per mitigare gli attacchi è disabilitare qualsiasi tipo di esecuzione di script o programmi da questa directory da parte di Apache aggiungendo queste direttive alla configurazione del sito:

    <Directory /path/wp-content/uploads/>
  AllowOverride none
  RemoveHandler .cgi .pl .py
  <FilesMatch "\.(php|p?html?)$">
    SetHandler none
  </FilesMatch>
</Directory>

    In questo modo nessun file CGI, Perl, Python o PHP caricato in quella directory potrà essere interpretato come tale se richiamato da Apache.

  • Weevely

    È uscita la versione 1.0 di Weevely, un kit in Python per generare una shell remota in PHP.

    Questo è il tipico tool che si colloca nella zona grigia tra il reato e la legalità, ma tacere su queste cose non fa altro che aumentare l’ignoranza dei SysAdmin e, quindi, la sicurezza dei loro sistemi. È inutile fare le mezze verginelle, meglio guardare in faccia alla realtà.

    La legge punisce gli accessi non autorizzati ai sistemi informatici, i software come Weevely devono essere utilizzati solamente negli ambiti della legalità. Ecco fatto.

    (altro…)

  • 6 Aug 91 16:00:12 GMT

    In quella data Sir Tim Berners-Lee scriveva questo messaggio su alt.hypertext.

    Alcuni passaggi:

    The project started with the philosophy that much academic information should be freely available to anyone. It aims to allow information sharing within internationally dispersed teams, and the dissemination of information by support groups.

    e ancora:

    The WWW model gets over the frustrating incompatibilities of data format between suppliers and reader by allowing negotiation of format between a smart browser and a smart server. This should provide a basis for extension into multimedia, and allow those who share application standards to make full use of them across the web.

    Questa è la filosofia che ha dato vita al web, alle home page personali il cui url conteneva un carattere ~, a Geocities, Yahoo!, Google, ai blog, ai forum, a Facebook e Twitter…

    Internet e il web sono nati per condividere le informazioni e per fare in modo che l’intero sia maggiore della somma delle parti.

    Thank you Sir Tim Berners-Lee.

  • SEO e spostamento dei siti

    Nell’ultima settimana ho spostato un po’ di siti web, incluso questo e ho verificato ancora una volta quello che avevo già notato.

    (altro…)

  • Ok gli attacchi di Anonymous, ma…

    Necessaria premessa: non credo che se un sito sia poco protetto debba essere hackerato per il fatto stesso di essere poco protetto.

    Questo weekend molti siti hanno subito attacchi come rappresaglia alla chiusura di Megaupload, sui cui dettagli vi rimando al sito di Paolo Attivissimo.

    Le conseguenze degli attacchi sono stati di fatto di due tipi: denial of service temporaneo per sovraccarico o danneggiamento dei contenuti del sito.

    Contro il sovraccarico si può far poco ed è comunque un problema temporaneo.

    Ben più grave (per i titolari) è il fatto che i siti americani della CBS e della Warner siano stati compromessi con danneggiamento dei contenuti come se fossero gestiti da sprovveduti.

    I siti sono stati compromessi decine di ore dopo l’inizio degli attacchi e i gestori hanno avuto tutto il tempo per mettere in atto le opportune contromisure.

    Certo che se una BigCorp appalta la gestione del sito a $nota_societa_di_consulenza, la quale si avvale a sua volta di subcontractor strozzati su costi e tempistiche avvisati sempre all’ultimo momento delle modifiche con il consueto incipit “Urgente! Urgente! Urgente!” questi sono i risultati.

    Esternalizzare lavori e competenze potrebbe servire al maquillage del bilancio da presentare agli azionisti, ma sul lungo periodo fa perdere le competenze, aumenta la dipendenza dai fornitori e riduce la visibilità sulla qualità dei lavori svolti. Uno può scrivere sul contratto tutto quello che vuole, ma quando succedono questi incidenti la frittata è fatta.

  • Full path disclosure

    Full path disclosure (letteralmente divulgazione del percorso completo) è una vulnerabilità di un sito tale per cui, in particolari condizioni di errore, viene rivelato il percorso completo della directory del server in cui si trovano i file di un sito.

    Apparentemente potrebbe essere un problema minimale, ma è un dato che facilita molto la vita a chi vuole penetrare nel sistema utilizzando altri punti deboli di un sito.

    Immaginiamo che ci sia un sito dinamico che carica le pagine in base ad un parametro passato nell’URL tipo

    (altro…)

  • ASP.NET: la cosa si fa seria (aggiornamento)

    [youtube=http://www.youtube.com/watch?v=yghiC_U2RaM&w=480]

    Contrariamente a quanto riportato da Microsoft, sembra che gli attacchi che sfruttano la vulnerabilità di ASP.NET siano non solo fattibili, come mostra il video qui sopra, ma anche in corso.

    La situazione sembra seria e chi amministra un sito esposto a Internet basato su ASP.NET dovrebbe al più presto prendere le contromisure consigliate da Microsoft per mitigare il problema.

    La vulnerabilità in questione permette, di fatto, di passare attraverso la sicurezza del framework ASP.NET senza blocchi in poche decine di minuti. (via Schneier on Security)

    Aggiornamento 28/9/2010 06:15: Microsoft rilascerà oggi un aggiornamento d’emergenza sul Download Center; pare che le contromisure consigliate non siano molto efficaci, quindi l’aggiornamento è d’obbligo.

    Aggiornamento 28/9/2010 19:45: la patch è stata rilasciata.