Ad Blocker

Il titolo indica quell’insieme di tecnologie atte a bloccare la visualizzazione delle pubblicità nelle pagine web.

La pubblicità, in qualsiasi forma e aspetto, quando è ben fatta e discreta al punto giusto è un bene per tutti gli attori del mercato: il consumatore conosce nuovi prodotti, il gestore del mezzo di comunicazione guadagna dall’inserzione e il promotore fa conoscere il proprio prodotto.

Il giocattolo si rompe quando una delle tre parti eccede, provocando una reazione delle altre due. Leggi tutto “Ad Blocker”

Heartbleed e la PA italiana

by heartbleed.comHeartbleed ha decisamente rubato la scena al fine del supporto di Windows XP.

Secondo le analisi, non solo metterebbe a rischio i server, ma anche i client; nel dubbio, meglio cambiare le password e, se possibile, riemettere i certificati SSL/TLS.

Dal momento che Siamo geek ha un database (scaricabile) dei siti della pubblica amministrazione italiana utilizzato per fare delle statistiche settimanali, ho pensato di utilizzarlo per vedere quanti server utilizzati PA sono vulnerabili.

Queste sono le metodologie e i risultati. Leggi tutto “Heartbleed e la PA italiana”

Punti di vista – I Chindōgu

Siamo diventati troppo tecnologici o troppo pigri? Sia come sia, trovo che questa sia una genialata e permette anche di ovviare all’acquisto di un guanto di coppia 😀

Fonte

E’ molto che non posto ma mi piace iniziare il 2014 con una di quei gadget che sono assolutamente inutili al di fuori della specifica funzione per cui sono stati creati. I Giapponesi ne hanno fatto un’arte: si chiamano Chindōgu e gli esempi più classici si sono visti decine di volte in rete.
Stando a Wikipedia i Chindōgu devono avere specifiche caratteristiche:
“1. un chindōgu non può avere un utilizzo reale;
2. un chindōgu deve esistere fisicamente;
3. in ogni chindōgu è insito uno spirito di anarchia;
4. i chindōgu sono strumenti per la vita quotidiana;
5. i chindōgu non sono in vendita;
6. l’umorismo non dev’essere la sola ragione per creare un chindōgu;
7. il chindōgu non è pubblicitario;
8. i chindōgu non trattano mai temi scabrosi;
9. il chindōgu non si può brevettare;
10. i chindōgu non hanno pregiudizi.”

A seguire alcuni dei miei preferiti (e che userei… se sapessi dove comprarli!!): Leggi tutto “Punti di vista – I Chindōgu”

La Stampa. Punto.

Stampa - Corsera - RepubblicaDa ieri il sito de La Stampa ha lo stesso nome della testata e cade il suffisso .it.

Primo tra i tre maggiori quotidiani generalisti italiani a compiere questa scelta non solo grafica, La Stampa si allinea alla strategia delle maggiori testate internazionali. La redazione è ora unica e i contenuti possono essere indirizzati indifferentemente sui vari media.

Per troppo tempo le redazioni online dei quotidiani sono state (e in Italia molte lo sono ancora) le sorelle minori delle testate cartacee, che spesso antepongono la velocità nel dare una notizia all’accuratezza della medesima (tipico esempio), come se arrivare primi fosse più importante della professionalità.

Uniformare una redazione per i vari media non è solamente un fatto logistico o tecnologico, ma richiede un grande sforzo da parte delle persone coinvolte, molte delle quali devono davvero cambiare il loro modo di lavorare.

In bocca al lupo, quindi, alla testata torinese. (via @marcobardazzi)

Traffico dei bot

Robot warriorLa scorsa settimana ha avuto una notevole risonanza la notizia secondo la quale il traffico dei bot ammonterebbe fino al 61,5% del traffico web.

Incuriosito, ho preso i log di Siamo geek della scorsa settimana con tutto il traffico IPv4 e IPv6 verso questo sito, li ho importati in una tabella SQL e ho fatto due conti.

Una nota preliminare per chi non è addentro al funzionamento dei web server. Di seguito vengono analizzati essenzialmente due valori: il numero di richieste e il numero di byte di dati trasmessi. Ipotizziamo di avere una pagina HTML di 1.000 byte che referenzia un file CSS da 200 byte con uno sfondo da 100 byte e un’immagine da 5.000 byte. Sono quattro file in tutto per un totale di 6.300 byte. Un browser che richiama per la prima volta quella pagina farà quattro richieste e trasferirà 6.300 byte di dati. Il conteggio dei byte non tiene conto della parte tecnica di dialogo tra il browser e il server, quindi ai fini di questo tipo di statistica una chiamata del browser al server per vedere se la data di modifica di un file è cambiata non provoca traffico (in realtà muove in genere meno di 1.000 byte).

Ecco i risultati. Leggi tutto “Traffico dei bot”

Apache: proteggere le directory di upload

Nella sicurezza non esiste un solo silver bullet, ma ci sono tanti piccoli accorgimenti che aiutano a rafforzare un sistema.

Uno dei problemi dei siti è il controllo e l’isolamento dei file caricati dagli utenti o da sconosciuti. Ci sono vari modi per mitigare eventuali  problemi che si possono verificare quando viene caricato un file indesiderato, qui ne viene esposto uno, ben sapendo che non si tratta dell’unico.

Il tipico esempio di directory pericolosa per un sito è la directory /wp-content/uploads di WordPress. Un metodo per mitigare gli attacchi è disabilitare qualsiasi tipo di esecuzione di script o programmi da questa directory da parte di Apache aggiungendo queste direttive alla configurazione del sito:

<Directory /path/wp-content/uploads/>
  AllowOverride none
  RemoveHandler .cgi .pl .py
  <FilesMatch "\.(php|p?html?)$">
    SetHandler none
  </FilesMatch>
</Directory>

In questo modo nessun file CGI, Perl, Python o PHP caricato in quella directory potrà essere interpretato come tale se richiamato da Apache.

Weevely

Tubo di lancio siluri / Torpedo tubeÈ uscita la versione 1.0 di Weevely, un kit in Python per generare una shell remota in PHP.

Questo è il tipico tool che si colloca nella zona grigia tra il reato e la legalità, ma tacere su queste cose non fa altro che aumentare l’ignoranza dei SysAdmin e, quindi, la sicurezza dei loro sistemi. È inutile fare le mezze verginelle, meglio guardare in faccia alla realtà.

La legge punisce gli accessi non autorizzati ai sistemi informatici, i software come Weevely devono essere utilizzati solamente negli ambiti della legalità. Ecco fatto.

Una volta installato Weevely, bisogna generare il codice PHP lato server con il comando

./weevely.py generate p@ssw0rd

che crea un file weevely.php il quale dovrà essere caricato sul server da controllare.

Leggi tutto “Weevely”

6 Aug 91 16:00:12 GMT

In quella data Sir Tim Berners-Lee scriveva questo messaggio su alt.hypertext.

Alcuni passaggi:

The project started with the philosophy that much academic information should be freely available to anyone. It aims to allow information sharing within internationally dispersed teams, and the dissemination of information by support groups.

e ancora:

The WWW model gets over the frustrating incompatibilities of data format between suppliers and reader by allowing negotiation of format between a smart browser and a smart server. This should provide a basis for extension into multimedia, and allow those who share application standards to make full use of them across the web.

Questa è la filosofia che ha dato vita al web, alle home page personali il cui url conteneva un carattere ~, a Geocities, Yahoo!, Google, ai blog, ai forum, a Facebook e Twitter…

Internet e il web sono nati per condividere le informazioni e per fare in modo che l’intero sia maggiore della somma delle parti.

Thank you Sir Tim Berners-Lee.

SEO e spostamento dei siti

COS'E'PAZZNell’ultima settimana ho spostato un po’ di siti web, incluso questo e ho verificato ancora una volta quello che avevo già notato.

Quando si sposta un sito da un server ad un altro la procedura è più o meno questa:

  1. Verifica che il server destinazione abbia i prerequisiti necessari;
  2. backup del sito;
  3. restore sul server destinazione;
  4. verifica del restore usando artifizi come la forzatura in /etc/hosts del nome;
  5. modifica della zona relativa al nome a dominio del sito;
  6. rimozione del virtual host (o similare) dal vecchio server.

Qualcuno noterà che spesso il punto (1) viene fatto dopo il punto (4), ma sto divagando.

Leggi tutto “SEO e spostamento dei siti”

Ok gli attacchi di Anonymous, ma…

Necessaria premessa: non credo che se un sito sia poco protetto debba essere hackerato per il fatto stesso di essere poco protetto.

Questo weekend molti siti hanno subito attacchi come rappresaglia alla chiusura di Megaupload, sui cui dettagli vi rimando al sito di Paolo Attivissimo.

Le conseguenze degli attacchi sono stati di fatto di due tipi: denial of service temporaneo per sovraccarico o danneggiamento dei contenuti del sito.

Contro il sovraccarico si può far poco ed è comunque un problema temporaneo.

Ben più grave (per i titolari) è il fatto che i siti americani della CBS e della Warner siano stati compromessi con danneggiamento dei contenuti come se fossero gestiti da sprovveduti.

I siti sono stati compromessi decine di ore dopo l’inizio degli attacchi e i gestori hanno avuto tutto il tempo per mettere in atto le opportune contromisure.

Certo che se una BigCorp appalta la gestione del sito a $nota_societa_di_consulenza, la quale si avvale a sua volta di subcontractor strozzati su costi e tempistiche avvisati sempre all’ultimo momento delle modifiche con il consueto incipit “Urgente! Urgente! Urgente!” questi sono i risultati.

Esternalizzare lavori e competenze potrebbe servire al maquillage del bilancio da presentare agli azionisti, ma sul lungo periodo fa perdere le competenze, aumenta la dipendenza dai fornitori e riduce la visibilità sulla qualità dei lavori svolti. Uno può scrivere sul contratto tutto quello che vuole, ma quando succedono questi incidenti la frittata è fatta.

Full path disclosure

Sentiero verde / Green pathFull path disclosure (letteralmente divulgazione del percorso completo) è una vulnerabilità di un sito tale per cui, in particolari condizioni di errore, viene rivelato il percorso completo della directory del server in cui si trovano i file di un sito.

Apparentemente potrebbe essere un problema minimale, ma è un dato che facilita molto la vita a chi vuole penetrare nel sistema utilizzando altri punti deboli di un sito.

Leggi tutto “Full path disclosure”

ASP.NET: la cosa si fa seria (aggiornamento)

Contrariamente a quanto riportato da Microsoft, sembra che gli attacchi che sfruttano la vulnerabilità di ASP.NET siano non solo fattibili, come mostra il video qui sopra, ma anche in corso.

La situazione sembra seria e chi amministra un sito esposto a Internet basato su ASP.NET dovrebbe al più presto prendere le contromisure consigliate da Microsoft per mitigare il problema.

La vulnerabilità in questione permette, di fatto, di passare attraverso la sicurezza del framework ASP.NET senza blocchi in poche decine di minuti. (via Schneier on Security)

Aggiornamento 28/9/2010 06:15: Microsoft rilascerà oggi un aggiornamento d’emergenza sul Download Center; pare che le contromisure consigliate non siano molto efficaci, quindi l’aggiornamento è d’obbligo.

Aggiornamento 28/9/2010 19:45: la patch è stata rilasciata.

Rowan, senza saperlo hai aggiornato il tuo status

Chimatemi scettico, chiamatemi come volete, ma quando leggo articoli che parlano di Facebook in un certo modo, faccio immensa fatica a credere alle buone intenzioni dell’autore, ma mi viene spontaneo pensare che dietro ci sia una forte necessità di un po’ di sana pubblicità… gratuita.
Mi riferisco a questo articolo: Six reasons Why I’m Not On facebook, nel quale l’autore, che altro non è che il direttore di Wired UK, spiega i sei motivi per i quali lui non è su Facebook. E mi chiedo… perchè il direttore di una rivista dovrebbe dedicare un intero articolo per spiegare una sua scelta personale, se non per sfruttare proprio il fenomeno che l’articolo stesso osteggia ed ottenere un po’ di nuova visibilità in rete?

Ho ovviamente letto queste motivazioni e la prima impressione è stata quella di qualche idea a cui è stata data una pennellata di moralismo … insomma, il minimo sindacale per scrivere un articolo ad effetto.

1) Private companies aren’t motivated by your best interests
Wow, che pensatona… Probabilmente la mia Nicole, di 5 anni, sarebbe già in grado di capire che lo scopo di una società privata è quella di fare soldi per far felice gli investitori. Se poi questo combacia con i migliori interessi di chi usufruisce del servizio, allora bene. Esattamente come Wired, che non è una rivista a scopo benefico. Per quale motivo, quindi, questo dovrebbe essere diverso per Facebook?

2) They make it harder to reinvent yourself
E perchè la gente dovrebbe reinventare se stessa? Per cancellare gli errori che uno ha fatto? E perchè? Ci viene insegnato che si impara dai propri errori… certo, bisognerebbe non farne, ma quando accade… perchè “reinventarsi”. Accettiamo l’errore e cerchiamo di non rifarlo più. Magari, bisognerebbe pensare più a lungo a quello che si condivide, non so… urlereste la stessa frase o fareste girare la stessa foto in mezzo ad uno stadio gremito? (e lo dice uno che di errori, su Facebook, ne ha commessi tanti, nda). Che Rowan abbia qualcosa da nascondere e abbia paura che andando su Facebook questi scheletri nell’armadio possano uscire e ‘rovinargli la carriera’?

3) Information you supply for one purpose will invariably be used for another …
4) … and there’s a good chance it will be used against you
Dejavù… si diceva lo stesso quando, digitando su Altavista (si, quell’Altavista, quello a ‘altavista.digital.com’) un termine per una ricerca, ‘casualmente’ appariva un banner ad essa relativa. “Hey, loro guardano quello che fai… ti mandano la pubblicità in base alle tue ricerche.”
E allora? Dov’è il male? Non metto in dubbio che sia possibile che qualcuno usi le mie informazioni per scopi “malevoli” ma, ripeto, basta usare un po’ il cervello e non rivelare troppo. Forse Rowan non è in grado di farlo?

5) People screw up, and give away more than they realise
Traduzione (non letterale): “gli altri sono ciula e si fanno fregare e per questo io non ci vado, perchè se mi faccio fregare faccio anche io la figura del ciula”.

6) And besides, why should we let businesses privatize our social discourse?
Per capire questo punto, è anche necessario aggiungere un pezzo della sua spiegazione: “Yes, it’s free to join — but with half a billion of us now using it to connect, it’s worth asking ourselves how far this ‘social utility’ (its own term) is really acting in the best interests of society“. Insomma siamo ad una differente versione di ciò che è stato espresso nel primo punto. Siccome Facebook si autodichiara ‘social utility’ da qualche parte nel sito, ed è gratuita, allora è deciso che lo sia e che debba funzionare per il bene della società. Scherza, vero? Ditemi che scherza e che il direttore di una rivista come Wired UK non può essere così ingenuo.

Se non vuoi “andare su Facebook”, non c’è assolutamente nulla di male. E’ una scelta esattamente uguale a quella fatta da chi ci è andato. Nessuno ti contesta e se lo fa è un cretino. Lo trovi un giocattolo inutile? Può esserlo. Lo trovi solo una grande perdita di tempo? Possibile. Lo trovi stupido? Liberissimo di crederlo.
Ma, per favore, non fare facili moralismi e usare banali luoghi comuni, perchè questo articolo non è molto diverso dallo scrivere sul tuo status “oggi ho sei motivi per non leggere wired”.

Ma chi vuoi che…

«Sicurezza» sulla rampa di Malpensa / «Safety at Malpensa ramp»«Ma chi vuoi che venga ad hackerare proprio il nostro sito?»

Questa è la reazione di molte persone (indifferentemente singoli cittadini e responsabili di aziende o enti pubblici) che hanno o gestiscono un sito web  quando viene segnalata loro l’importanza della sicurezza. Leggi tutto “Ma chi vuoi che…”

Vulnerabilità di ASP.NET – Aggiornamento

Secondo Microsoft sembrerebbero non esserci ancora stati attacchi basati sulla vulnerabilità di ASP.NET segnalata qualche giorno fa; lo stesso articolo di Microsoft elenca in dettaglio i sistemi coinvolti e propone una modifica alla configurazione che potrebbe mitigare l’impatto del problema.

Anche Scott Guthrie consiglia di modificare i medesimi parametri per ridurre gli effetti del problema e segnala uno script VBS che analizza il server locale e verifica se ci sono applicazioni con la pagina di errore personalizzata. (via SANS)

Vulnerabilità delle applicazioni ASP.NET

LHR BSODThai Duong e Juliano Rizzo, due ricercatori nel campo della sicurezza, hanno messo a punto uno schema di attacco che sfrutta un baco del modo in cui le applicazioni realizzate con la piattaforma ASP.NET di Microsoft trattano i cookie di sessione criptati.

Il problema, che riguarda milioni di applicazioni web che utilizzano quella piattaforma, potrebbe essere molto serio e potrebbe essere utilizzato per impersonare un utente di un sito. Il metodo di attacco verrà illustrato in dettaglio alla ekoparty Security Conference che si tiene questa settimana in Argentina. Leggi tutto “Vulnerabilità delle applicazioni ASP.NET”

Lycos venduto per 36 milioni di dollari

Lycos

Ci sono nomi che per chi è su Internet da più di dieci anni suscitano ricordi e talvolta emozioni. Spesso pensi che certi siti non esistano più, estinti dalla naturale evoluzione di Internet. Lycos è uno di questi nomi.

Da Wikipedia apprendiamo che “Lycos è [Era?] un motore di ricerca ed un portale web che focalizza la sua attività nella fornitura di servizi e contenuti per Internet.”

Leggi tutto “Lycos venduto per 36 milioni di dollari”