Intervista a Stephan Esser e il mese del bug di PHP

Posted on February 11, 2007 by claudio

Un’intervista che dovrebbe creare non poche preoccupazioni. Da quanto racconta Esser, l’intero processo di sviluppo, aggiornamento e gestione della sicurezza di PHP è drammatico. Chiaramente, Esser se n’è andato dal team, e quindi potrebbe anche avere una visione eccessivamente pessimistica dello stato di PHP, ma certamente le cose che dice suonano credibili. Se le cose stanno così, e a marzo ci sarà il mese dei bug di PHP, ci sarà da stare all’erta… Esser sottolinea comunque come la cattiva reputazione di PHP sia anche dovuta ai difetti nelle applicazioni basate su PHP. È curiosa l’ultima affermazione che fa su Wordpess: The problem with many of these big PHP applications like WordPress and PHPBB is that they were started in the days when security was not taken so seriously… Considerando che WordPress è stato sviluppato dopo il 2000, sembra incredibile quanto breve è l’orizzonte (o la memoria) in questi ambienti. Comunque sia, io non ho la sensazione che l’attenzione alla sicurezza, dal 2000 ad ora, abbia avuto chissà che grandi cambiamenti. Al più, è cambiata l’attenzione a PHP e alla sua sicurezza.

Posted in Sicurezza | Comments Off on Intervista a Stephan Esser e il mese del bug di PHP

Problemi di identità, in altri ordini di grandezza

Posted on February 10, 2007 by claudio

Da China.org: per i cinesi sarà possibile verificare online le carte di identità di quasi un miliardo e mezzo di persone, allo scopo di limitare le frodi perpetrate usando documenti falsi. Il meccanismo è minimo: dato un nome e un numero di carta di identità, il sistema dirà se corrispondono, e se sì mostra anche la foto; nessuna altra informazione è disponibile. Semplice. Problemi di privacy? L’unica informazione che “aggiunge” è la foto se si hanno già nome e numero di carta, informazioni che raramente si hanno senza aver avuto occasione di vedere la carta di identità (e quindi la foto). Problemi di sicurezza? Di principio, dato che la query è unica e molto semplice, il sistema potrebbe essere altrettanto semplice, e quindi relativamente facile da rendere sicuro… in caso di violazione, un database di questo tipo avrebbe certamente una sua appetibilità. Efficace? Vediamo. Anni fa ho subito un furto, fra l’altro mi è stato rubato un libretto di assegni, che ho subito bloccato. Dopo un paio di settimane, qualcuno ha usato uno degli assegni per un acquisto. Il negoziante si era fotocopiato la carta di identità, che però era chiaramente falsa. Risultato: il negoziante si è preso il pacco. Il sistema cinese avrebbe prevenuto il problema? Di primo acchito direi di sì. Spesso le soluzioni semplici sono quelle che funzionano. Per inciso, ho una personale antipatia per gli assegni, mi sembrano strumenti d’altri tempi con i quali la frode è fin troppo semplice.

Posted in Sicurezza, Varie | Comments Off on Problemi di identità, in altri ordini di grandezza

Virus, antivirus e posta

Posted on February 10, 2007 by claudio

Vi segnalo questa mail dalla mailing list di sikurezza. Questo messaggio, semplice ma molto ben concepito e realizzato, mostra quanto possa essere facile “iniettare” in una rete aziendale un trojan. Un buon esercizio è cercare di capire se gli utenti della vostra azienda sono tutelati da un attacco di questo tipo, e quali misure di sicurezza praticabili riuscirebbero a neutralizzarlo. Per dare un po’ di pepe alla questione, notate quanti antivirus non lo hanno rilevato come pericoloso…

Posted in Sicurezza | Comments Off on Virus, antivirus e posta