L' Androide Alfa ha deciso di far valere il proprio potere di veto all'interno del “branco” dei sistemi operativi Android: stando a quanto sostiene Businessweek , in questi mesi Google ha reso noto ai suoi partner del mercato mobile un cambio di strategia fondamentale, che vede Mountain View protagonista esclusivo nelle scelte dei produttori di smartphone fino all'imposizione di veti e “regole comportamentali” da seguire per poter ricevere in anteprima le nuove revisioni dell'OS androide.
La notizia non stupisce troppo alla luce della pregressa decisione di ritardare la pubblicazione del codice di Android 3.0 aka Honeycomb: Google cerca di “chiudere” la propria strategia mobile nel tentativo di diminuire la tendenza alla frammentazione sin qui caratteristica della piattaforma Android, e nel farlo non sembra particolarmente preoccupata di fare la voce grossa con colossi del calibro di LG, Toshiba, Samsung e altri.
D'ora in poi Mountain View deciderà su ogni modifica o accordo con società terze messi in cantiere dai produttori di smartphone , dice Businessweek , e chi non rispetterà le linee guida di Andy Rubin – gran capo della divisione Android presso Google – non verrà omaggiato con la fornitura del codice aggiornato dell' OS mobile più popolare .
E le regole dell'open source? La libera redistribuzione del codice sorgente? Il mantra aziendale “don't be evil”? Per dirla con il blogger John Gruber, che non usa mezzi termini, “ora che Google ha preso i produttori di telefonini in una morsa, Android non è più open e Google comincia a rivendicare il controllo” della piattaforma.
Alfonso Maruccia
-
non è che ..
... trattasi di un pesce d'aprile? L'articolo è piuttosto ambiguo, inoltre non esiste la versione 2003 di SQL Server...Re: non è che ..
- Scritto da: Miki> ... trattasi di un pesce d'aprile? > L'articolo è piuttosto ambiguo, inoltre non> esiste la versione 2003 di SQL> Server...http://alturl.com/nns8kRe: non è che ..
- Scritto da: mangiafuoco> - Scritto da: Miki> > ... trattasi di un pesce d'aprile? > > L'articolo è piuttosto ambiguo, inoltre non> > esiste la versione 2003 di SQL> > Server...> > http://alturl.com/nns8kSQL Server 2003 continua a non esistere comunque :-)Re: non è che ..
- Scritto da: nome e cognome> - Scritto da: mangiafuoco> > - Scritto da: Miki> > > ... trattasi di un pesce d'aprile? > > > L'articolo è piuttosto ambiguo, inoltre non> > > esiste la versione 2003 di SQL> > > Server...> > > > http://alturl.com/nns8k> > SQL Server 2003 continua a non esistere comunque> :-)Mi spiace ma informatihttp://it.wikipedia.org/wiki/Microsoft_SQL_ServerNome in codice LibertySalutiRe: non è che ..
- Scritto da: Miki> ... trattasi di un pesce d'aprile? > L'articolo è piuttosto ambiguo, inoltre non> esiste la versione 2003 di SQL> Server...Sarebbe un bel pesce d'aprile un articolo che dice che SQL Server avesse resistito a degli attacchi.Ma che SQL Server venga bucato non e' uno scherzo, e' la normalita' quotidiana.Re: non è che ..
Scusa tanto, ma forse sarebbe meglio che ti documentassi prima di pigiar tasti.Se c'è un sw che negli anni ha avuto pochi problemi di sicurezza quello è proprio MsSQL.Vatti a vedere la lista trimestale delle vulnerabilità di Oracle, in una sola infornata ne enumerano un ordine di grandezza sopra quelle evidenziate in 10 anni e tre generazioni di MsSQL. MySQL non lo conosco, ma anche li so che di XXXXXte ve ne sono state parecchie.In quanto al code injection, in MsSQL basta racchiudere le stringe da sostiture con parentesi quadra ed addio haker.Certo che se uno pretende di realizzare un sito web con qualche tools di autocomposizione senza nemmeno conoscere la base degli strumenti che stanno sotto... siamo all'alzati e cammina!Re: non è che ..
- Scritto da: Francesco> Scusa tanto, ma forse sarebbe meglio che ti> documentassi prima di pigiar> tasti.> > Se c'è un sw che negli anni ha avuto pochi> problemi di sicurezza quello è proprio> MsSQL.Quindi siccome negli anni non ha mai avuto problemi di sicurezza, tu concludi che e' sicuro; e non che, siccome si appoggia su un SO colapasta, nessuno ha mai pensato di attaccarlo, perche' tanto c'era il cartello "ingresso libero" su tutte le porte del SO. > Vatti a vedere la lista trimestale delle> vulnerabilità di Oracle, in una sola infornata ne> enumerano un ordine di grandezza sopra quelle> evidenziate in 10 anni e tre generazioni di> MsSQL. Anche qui entrano in gioco i grandi numeri.Oracle viene usato pesantemente, mentre sqlserver al massimo uno ci tiene l'agendina telefonica. > MySQL non lo conosco, ma anche li so che> di XXXXXte ve ne sono state> parecchie.MySQL non e' software commerciale: nessuno lo vende spacciandolo per il massimo della sicurezza.> In quanto al code injection, in MsSQL basta> racchiudere le stringe da sostiture con parentesi> quadra ed addio> haker.E quindi l'articolo di che cosa parla?> Certo che se uno pretende di realizzare un sito> web con qualche tools di autocomposizione senza> nemmeno conoscere la base degli strumenti che> stanno sotto... siamo all'alzati e> cammina!Giova ricordare che il produttore di tools di autocomposizione per sistemi M$ e' la stessa M$.l'ennesimo attacco contro software ms
tempo fa un certo nome e cognome si arrabbiò quando gli feci notare che il web ( dominato da linux ) vede in pole position i software ms tra i bucatisarà un caso? forse i malfattori conoscono solo windows ? o magari fu quel punto e virgola che mise il primo chiodo sulla bara di sql server?ah quel punto e virgola, se non fosse per lui, il 90% delle sql injection a danno di sql server sarebbero impossibili, ma si sa a Redmond lavorano per il benessere dei cracker :DRe: l'ennesimo attacco contro software ms
Leggendo qui: http://www.orebla.it/news/31_03_2011/sql-injection-lizamoon-attacco-di-massa-colpisce-200mila-siti/sembra che il problema non riguardi MS, piuttosto MySql.Re: l'ennesimo attacco contro software ms
- Scritto da: Miki> Leggendo qui: > http://www.orebla.it/news/31_03_2011/sql-injection> sembra che il problema non riguardi MS, piuttosto> MySql.no, si tratta di 2 attacchi diversi.quello di mysql e' questo http://alturl.com/d9nv2questi invece usano ms sql:http://alturl.com/mp883Re: l'ennesimo attacco contro software ms
O meglio mysql.com (e sun.com), non MySQL. Il loro sito può essere vulnerabile per mille motivi, pochi dei quali potrebbero essere attribuibili al DBMS.- Scritto da: Miki> Leggendo qui: > http://www.orebla.it/news/31_03_2011/sql-injection> sembra che il problema non riguardi MS, piuttosto> MySql.Re: l'ennesimo attacco contro software ms
Scommetto il mio uccello che dipende da quella mondezza di Wordpress o Joomla o PhpFuck, non aggiornato, con il padre di "Vergine Maria_Santissima_DB" (MySql) bacato.SQL server è ok, non sparare sempre a zero su microsoft, e che palle.Re: l'ennesimo attacco contro software ms
don't feed the trollRe: l'ennesimo attacco contro software ms
- Scritto da: ZioB> Scommetto il mio uccello che dipende da quella> mondezza di Wordpress o Joomla o PhpFuck, non> aggiornato, con il padre di "Vergine> Maria_Santissima_DB" (MySql)> bacato.Comincia a tagliare...http://alturl.com/mp883Re: l'ennesimo attacco contro software ms
- Scritto da: mangiafuoco> - Scritto da: ZioB> > Scommetto il mio uccello che dipende da quella> > mondezza di Wordpress o Joomla o PhpFuck, non> > aggiornato, con il padre di "Vergine> > Maria_Santissima_DB" (MySql)> > bacato.> > Comincia a tagliare...> http://alturl.com/mp883La cosa che ha tagliato anni orsono è l'alimentazione al cervello ormai putrefattoRe: l'ennesimo attacco contro software ms
Il problema non è solo di SQL server ma anche Mysql Postgre ecc.. la injection è una tecnica stupida da prevenire, solo che il 90% dei developers lo è per sport o hanno poca esperienza in gestione database e sicurezza.Metti che i CMS sono tutti uguali se uno ha una falla e non è aggiornato il danno è enorme. Mi hanno chiamato ieri per un problema a Wordpress 2.0 che ha avuto l'attacco con Mysql.Re: l'ennesimo attacco contro software ms
Nessuno dei prodotti citati è tipicamente associato a SQL Server, se non in una percentuale irrisoria dei casi.Poi è ovvio che è una trollata.- Scritto da: ZioB> Scommetto il mio uccello che dipende da quella> mondezza di Wordpress o Joomla o PhpFuck, non> aggiornato, con il padre di "Vergine> Maria_Santissima_DB" (MySql)> bacato.> > SQL server è ok, non sparare sempre a zero su> microsoft, e che> palle.Re: l'ennesimo attacco contro software ms
si parla di sql injection e ovviamente l'injection è a danno del cms o della webapp di turno ma rimane il fatto che le sql injection sono facilissime da realizzare con sql server perchè è possibile concatenare più statements sql tramite il punto virgola che citavoho visto migliaia di injection che sarebbero state impossibili se solo sql server, come mysql, avesse rinunciato alla possibilità del concatenamentoRe: l'ennesimo attacco contro software ms
- Scritto da: collione> tempo fa un certo nome e cognome si arrabbiò> quando gli feci notare che il web ( dominato da> linux ) vede in pole position i software ms tra i> bucati> > sarà un caso? forse i malfattori conoscono solo> windows ? o magari fu quel punto e virgola che> mise il primo chiodo sulla bara di sql> server?> > ah quel punto e virgola, se non fosse per lui, il> 90% delle sql injection a danno di sql server> sarebbero impossibili, ma si sa a Redmond> lavorano per il benessere dei cracker> :DProbabilmente non sai minimamente di cosa parli. Tutto sta nel come vengono gestiti gli input da parte della pagina lato server che sia oracle, mysql, sql server non ha importanza. Personalmente ho avuto più problemi con php + mysql , soprattutto con e-commerce basati su oscommerce.Re: l'ennesimo attacco contro software ms
probabilmente sei tu che non sai di cosa parlistudiati cos'è la sql injection e perchè il concatenamento dei comandi sql tramite il punto e virgola semplifica di 1000 volte la vita dei crackerRe: l'ennesimo attacco contro software ms
- Scritto da: collione> probabilmente sei tu che non sai di cosa parli> > studiati cos'è la sql injection e perchè il> concatenamento dei comandi sql tramite il punto e> virgola semplifica di 1000 volte la vita dei> crackerRiesci a trasformare una cosa positiva (supporto di query concatenate) in negativa. Verificando opportunamente gli input puoi concatenare quel che ti pare. Poi anche con una singola query puoi fare disastri a cascata. Se poi addirittura valutiamo l'accoppiata asp.net - sql server anche un niubbo come te riuscirebbe a fare un applicazione sicura.Re: l'ennesimo attacco contro software ms
Stai solo farneticando.....Pochi giorni fa hanno "bucato" i DB che stavano dietro ai siti web di MySQL.com e SUN.COM e non credo che usino SQL Server.In più, in 3 anni SQL Server 2008 ha accumulato ZERO security bug, SQL 2005 ne ha "solamente" 3 in 6 anni, mentre ORACLE solo nel 2009 ne ha avuti 144 (dico 144 !) e MySQL 77 (fonte SECUNIA).Per ultimo, gli attacchi di SQL injection non sono basati su debolezze del prodotto DB ma sulle XXXXXXX che gli sviluppatori scrivono nel codice, leggi "dynamic SQL" e "Adhoc" queries, unitamente alla totale mancanza di validazione degli input.Oh, ma quando leggete Microsoft spegnete proprio il cervello, eh ?Re: l'ennesimo attacco contro software ms
e quindi? non ho detto che mysql è invulnerabile, ho solo detto che sql server lo è di piùe a riprova di ciò basta che vai a guardare il numero di server violati negli ultimi 5 anni a causa di sql serverricordo ancora il titolone di PI "bucati 10000 siti basati su sql server"Re: l'ennesimo attacco contro software ms
il problema è sempre lo sviluppatore che sviluppa, spesso male.questi attacchi riguardano tutti
ho amici che hanno siti web con forum ...Os LinuS Debiananche loro sono caduti in questo attacco che poi deviava il browser web dei naviganti a sito tarocco che mediante il raggiro del pollo di turno incitava a far scaricare ed installare il finto antivirus cercando di convincere il solito boccaloneRe: questi attacchi riguardano tutti
Con "questo attacco" intendi l'attacco a SQL Server? mi sembra un po' improbabile che girasse sotto Debian;)Se invece intendi un generico attacco di SQL injection, allora semplicemente il forum conteneva codice scritto male (come molto probabilmente nel caso dell'attacco oggetto dell'articolo).Il sistema operativo usato è totalmente ininfluente dal punto di vista di vulnerabilità a sql injection, al massimo può influenzare la misura nella quale il server può essere compromesso al di là della modifica dei contenuti del database e del web server.Quindi il tuo messaggio, per come è scritto, odora un po' di trollata.Re: questi attacchi riguardano tutti
- Scritto da: Klut> Con "questo attacco" intendi l'attacco a SQL> Server? mi sembra un po' improbabile che girasse> sotto> Debian;)> Se invece intendi un generico attacco di SQL> injection, allora semplicemente il forum> conteneva codice scritto male (come molto> probabilmente nel caso dell'attacco oggetto> dell'articolo).> Il sistema operativo usato è totalmente> ininfluente dal punto di vista di vulnerabilità a> sql injection, al massimo può influenzare la> misura nella quale il server può essere> compromesso al di là della modifica dei contenuti> del database e del web> server.> > Quindi il tuo messaggio, per come è scritto,> odora un po' di> trollata.http://punto-informatico.it/3123945/PI/News/lizamoon-tempesta-sql-peggiora.aspxRe: questi attacchi riguardano tutti
meno demagogia no eh? "una vulnerabilità presente in vecchie versioni di SQL Server"adesso vienimi a dire che sql server gira su debian (rotfl)capisco che ti pagano per leccare le scarpe al padrone di Redmond, ma almeno se dovete fare i servi fatelo in modo intelligenteRe: questi attacchi riguardano tutti
- Scritto da: collione> meno demagogia no eh? "una vulnerabilità presente> in vecchie versioni di SQL Server"> adesso vienimi a dire che sql server gira su> debian> (rotfl)> capisco che ti pagano per leccare le scarpe al> padrone di Redmond, ma almeno se dovete fare i> servi fatelo in modo intelligenteSe avessero abbastanza intelligenza non farebbero i servi :)Sveglia Maruccia!!!!
Questa non è una vulnerabilità di sql server. Dallo stesso sito che hai linkato si può leggere questo: Q: Could this mean that there's a vulnerability in Microsoft SQL Server 2003 and 2005?A: No. Everything points to that this is a vulnerability in a web application . We don't know which one(s) yet but SQL Injection attacks work by issuing SQL commands in unsanitized input to the server. That doesn't mean it's a vulnerability in the SQL Server itself, it means that the web application isn't filtering input from the user correctly. Insomma il solito problema di programmatori incapaci, che non usano i prepared statement per eseguire query su database.http://xkcd.com/327/Re: Sveglia Maruccia!!!!
Parole sante. Il fatto che ci siano ancora degli XXXXXXXXX che non usano le query parametriche è desolante.Re: Sveglia Maruccia!!!!
Basta anche usare un po' di parentesi al posto giusto, senza nemmeno prendersi il disturbo di usare Stored Procedure e Query parametrizzate.Re: Sveglia Maruccia!!!!
stai confondendo metodi, situazioni e condizionile sql injection sono SEMPRE dovute a mancato sanitizzazione degli input da parte delle web applicationsnel caso in questione hanno visto che sono stati attaccati siti basati su sql server ( magari gli sta antipatico )il punto è che, come dicevo poco più sopra, sql server permette di semplificare l'exploiting di questi bug perchè consente il concatenamento di comandi sql in un'unica rigamysql non lo permette e quindi ti ritrovi a poterXXXXXre un comando che legge una certa entry in una tabella ma poi non lo puoi concatenare con un update e quindi l'exploit falliscetengo a precisare che si sono altri dbms che fanno la stessa cosa di sql server e probabilmente consentono di eseguire lo stesso exploit ma nel caso in oggetto, i ricercatori hanno trovato siti web basati su sql server infettati e non siti web basati su oracle infettatiRe: Sveglia Maruccia!!!!
Si beh... il fatto che "conceda di fare più cose" non mi sembra un punto negativo. Ovvio, aumentanto le potenzialità aumenti anche le attenzioni da avere nello scrivere applicazioni.Altrimenti torniamo tutti al dos, al web con pagine statiche senza immagini, ad email testuali senza allegati o quant'altro ecc ecc.Detto questo, che venga attaccato www.MySql.com, che si indichi MsSqlServer, che la notizia sia il 1° aprile, che si dia la colpa a una vulnerabilità di mssqlserver per sqlinjection... puzza di pesce avariato!Re: Sveglia Maruccia!!!!
- Scritto da: collione> mysql non lo permette e quindi ti ritrovi a poter>XXXXXre un comando che legge una certa entry in> una tabella ma poi non lo puoi concatenare con un> update e quindi l'exploit> fallisceQuindi mysql.com è stato bucato con una sql injection perché usa sql server? http://www.eweek.com/c/a/Security/Oracles-Suncom-Hit-Along-with-MySQLCom-in-SQL-Injection-Attack-727118/LOLRe: Sveglia Maruccia!!!!
> mysql non lo permette e quindi ti ritrovi a poter>XXXXXre un comando che legge una certa entry in> una tabella ma poi non lo puoi concatenare con un> update e quindi l'exploit> fallisceHo guardato parecchie tonnellate di log dell'attacco: con il razzo che attacca solo MSSQL. A mio parere riuscirebbe in svariati casi a lavorare anche su mysql e famiglia, anche se alcuni tentativi più "audaci" sono fatti apposta per mssql.Re: Sveglia Maruccia!!!!
- Scritto da: collione> > mysql non lo permette e quindi ti ritrovi a poter>XXXXXre un comando che legge una certa entry in> una tabella ma poi non lo puoi concatenare con un> update e quindi l'exploit> fallisce> è chiaro che XXXXXXX dell'incoroneta DB non consenta di fare qualcosa essendo un XXXXX che di DBMS ha ben poco.èh??
Ma che cavolo di notizia è? Ma state scherzando spero...prendendo di mira ignota vulnerabilità ?
La "vulnerabilità" non è poi tanto ignota.Si chiama ignoranza del prorgrammatore, ovvero incapacità di scrivere codice decente per la gestione dei data base.Se non filtri gli input (abc della programmazione sui data base) e non usi stored esponi i fianchi ad attacchi di questo genere.Deve essere la stessa "vulnrabilità" da cui sono afflitti i pietosi articoli del Maruccia, che parla di cose di cui non conosce nemmeno l'ombra, un pò come i "programmatori sql express" dei vari siti attaccati.Re: prendendo di mira ignota vulnerabilità ?
- Scritto da: asino che vola> Deve essere la stessa "vulnrabilità" da cui sono> afflitti i pietosi articoli del Maruccia, che> parla di cose di cui non conosce nemmeno l'ombra,> un pò come i "programmatori sql express" dei variasino che scrive :Re: prendendo di mira ignota vulnerabilità ?
- Scritto da: asd> - Scritto da: asino che vola> > > Deve essere la stessa "vulnrabilità" da> cui> sono> > afflitti i pietosi articoli del Maruccia, che> > parla di cose di cui non conosce nemmeno> l'ombra,> > un pò come i "programmatori sql express"> dei> vari> > asino che scrive :qualcosa non mi tornaRe: prendendo di mira ignota vulnerabilità ?
- Scritto da: asino che vola> La "vulnerabilità" non è poi tanto ignota.> Si chiama ignoranza del prorgrammatore, ovvero> incapacità di scrivere codice decente per la> gestione dei data base.> Se non filtri gli input (abc della programmazione> sui data base) e non usi stored esponi i fianchi> ad attacchi di questo genere.> Deve essere la stessa "vulnrabilità" da cui sono> afflitti i pietosi articoli del Maruccia, che> parla di cose di cui non conosce nemmeno l'ombra,> un pò come i "programmatori sql express" dei vari> siti attaccati.Si ma... I CMS esposti ? ? ?Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commenti04 04 2011
Link copiato negli appuntiTi potrebbe interessare
![Alfonso Maruccia]()
04 04 2011Link copiato negli appunti
