Roma – L’ Androide Alfa ha deciso di far valere il proprio potere di veto all’interno del “branco” dei sistemi operativi Android: stando a quanto sostiene Businessweek , in questi mesi Google ha reso noto ai suoi partner del mercato mobile un cambio di strategia fondamentale, che vede Mountain View protagonista esclusivo nelle scelte dei produttori di smartphone fino all’imposizione di veti e “regole comportamentali” da seguire per poter ricevere in anteprima le nuove revisioni dell’OS androide.
La notizia non stupisce troppo alla luce della pregressa decisione di ritardare la pubblicazione del codice di Android 3.0 aka Honeycomb: Google cerca di “chiudere” la propria strategia mobile nel tentativo di diminuire la tendenza alla frammentazione sin qui caratteristica della piattaforma Android, e nel farlo non sembra particolarmente preoccupata di fare la voce grossa con colossi del calibro di LG, Toshiba, Samsung e altri.
D’ora in poi Mountain View deciderà su ogni modifica o accordo con società terze messi in cantiere dai produttori di smartphone , dice Businessweek , e chi non rispetterà le linee guida di Andy Rubin – gran capo della divisione Android presso Google – non verrà omaggiato con la fornitura del codice aggiornato dell’ OS mobile più popolare .
E le regole dell’open source? La libera redistribuzione del codice sorgente? Il mantra aziendale “don’t be evil”? Per dirla con il blogger John Gruber, che non usa mezzi termini, “ora che Google ha preso i produttori di telefonini in una morsa, Android non è più open e Google comincia a rivendicare il controllo” della piattaforma.
Alfonso Maruccia
-
prendendo di mira ignota vulnerabilità ?
La "vulnerabilità" non è poi tanto ignota.Si chiama ignoranza del prorgrammatore, ovvero incapacità di scrivere codice decente per la gestione dei data base.Se non filtri gli input (abc della programmazione sui data base) e non usi stored esponi i fianchi ad attacchi di questo genere.Deve essere la stessa "vulnrabilità" da cui sono afflitti i pietosi articoli del Maruccia, che parla di cose di cui non conosce nemmeno l'ombra, un pò come i "programmatori sql express" dei vari siti attaccati.-
Re: prendendo di mira ignota vulnerabilità ?
- Scritto da: asino che vola
Deve essere la stessa "vulnrabilità" da cui sono
afflitti i pietosi articoli del Maruccia, che
parla di cose di cui non conosce nemmeno l'ombra,
un pò come i "programmatori sql express" dei variasino che scrive :-
Re: prendendo di mira ignota vulnerabilità ?
- Scritto da: asd
- Scritto da: asino che vola
Deve essere la stessa "vulnrabilità" da
cui
sono
afflitti i pietosi articoli del Maruccia, che
parla di cose di cui non conosce nemmeno
l'ombra,
un pò come i "programmatori sql express"
dei
vari
asino che scrive :qualcosa non mi torna
-
-
Re: prendendo di mira ignota vulnerabilità ?
- Scritto da: asino che vola
La "vulnerabilità" non è poi tanto ignota.
Si chiama ignoranza del prorgrammatore, ovvero
incapacità di scrivere codice decente per la
gestione dei data base.
Se non filtri gli input (abc della programmazione
sui data base) e non usi stored esponi i fianchi
ad attacchi di questo genere.
Deve essere la stessa "vulnrabilità" da cui sono
afflitti i pietosi articoli del Maruccia, che
parla di cose di cui non conosce nemmeno l'ombra,
un pò come i "programmatori sql express" dei vari
siti attaccati.Si ma... I CMS esposti ? ? ?
-
-
èh??
Ma che cavolo di notizia è? Ma state scherzando spero... -
Sveglia Maruccia!!!!
Questa non è una vulnerabilità di sql server. Dallo stesso sito che hai linkato si può leggere questo: Q: Could this mean that there's a vulnerability in Microsoft SQL Server 2003 and 2005?A: No. Everything points to that this is a vulnerability in a web application . We don't know which one(s) yet but SQL Injection attacks work by issuing SQL commands in unsanitized input to the server. That doesn't mean it's a vulnerability in the SQL Server itself, it means that the web application isn't filtering input from the user correctly. Insomma il solito problema di programmatori incapaci, che non usano i prepared statement per eseguire query su database.http://xkcd.com/327/-
Re: Sveglia Maruccia!!!!
Parole sante. Il fatto che ci siano ancora degli XXXXXXXXX che non usano le query parametriche è desolante.-
Re: Sveglia Maruccia!!!!
Basta anche usare un po' di parentesi al posto giusto, senza nemmeno prendersi il disturbo di usare Stored Procedure e Query parametrizzate.
-
-
Re: Sveglia Maruccia!!!!
stai confondendo metodi, situazioni e condizionile sql injection sono SEMPRE dovute a mancato sanitizzazione degli input da parte delle web applicationsnel caso in questione hanno visto che sono stati attaccati siti basati su sql server ( magari gli sta antipatico )il punto è che, come dicevo poco più sopra, sql server permette di semplificare l'exploiting di questi bug perchè consente il concatenamento di comandi sql in un'unica rigamysql non lo permette e quindi ti ritrovi a poterXXXXXre un comando che legge una certa entry in una tabella ma poi non lo puoi concatenare con un update e quindi l'exploit falliscetengo a precisare che si sono altri dbms che fanno la stessa cosa di sql server e probabilmente consentono di eseguire lo stesso exploit ma nel caso in oggetto, i ricercatori hanno trovato siti web basati su sql server infettati e non siti web basati su oracle infettati-
Re: Sveglia Maruccia!!!!
Si beh... il fatto che "conceda di fare più cose" non mi sembra un punto negativo. Ovvio, aumentanto le potenzialità aumenti anche le attenzioni da avere nello scrivere applicazioni.Altrimenti torniamo tutti al dos, al web con pagine statiche senza immagini, ad email testuali senza allegati o quant'altro ecc ecc.Detto questo, che venga attaccato www.MySql.com, che si indichi MsSqlServer, che la notizia sia il 1° aprile, che si dia la colpa a una vulnerabilità di mssqlserver per sqlinjection... puzza di pesce avariato! -
Re: Sveglia Maruccia!!!!
- Scritto da: collione
mysql non lo permette e quindi ti ritrovi a poter
XXXXXre un comando che legge una certa entry in
una tabella ma poi non lo puoi concatenare con un
update e quindi l'exploit
fallisceQuindi mysql.com è stato bucato con una sql injection perché usa sql server? http://www.eweek.com/c/a/Security/Oracles-Suncom-Hit-Along-with-MySQLCom-in-SQL-Injection-Attack-727118/LOL -
Re: Sveglia Maruccia!!!!
mysql non lo permette e quindi ti ritrovi a poter
XXXXXre un comando che legge una certa entry in
una tabella ma poi non lo puoi concatenare con un
update e quindi l'exploit
fallisceHo guardato parecchie tonnellate di log dell'attacco: con il razzo che attacca solo MSSQL. A mio parere riuscirebbe in svariati casi a lavorare anche su mysql e famiglia, anche se alcuni tentativi più "audaci" sono fatti apposta per mssql. -
Re: Sveglia Maruccia!!!!
- Scritto da: collione
mysql non lo permette e quindi ti ritrovi a poter
XXXXXre un comando che legge una certa entry in
una tabella ma poi non lo puoi concatenare con un
update e quindi l'exploit
fallisce
è chiaro che XXXXXXX dell'incoroneta DB non consenta di fare qualcosa essendo un XXXXX che di DBMS ha ben poco.
-
-
-
questi attacchi riguardano tutti
ho amici che hanno siti web con forum ...Os LinuS Debiananche loro sono caduti in questo attacco che poi deviava il browser web dei naviganti a sito tarocco che mediante il raggiro del pollo di turno incitava a far scaricare ed installare il finto antivirus cercando di convincere il solito boccalone-
Re: questi attacchi riguardano tutti
Con "questo attacco" intendi l'attacco a SQL Server? mi sembra un po' improbabile che girasse sotto Debian;)Se invece intendi un generico attacco di SQL injection, allora semplicemente il forum conteneva codice scritto male (come molto probabilmente nel caso dell'attacco oggetto dell'articolo).Il sistema operativo usato è totalmente ininfluente dal punto di vista di vulnerabilità a sql injection, al massimo può influenzare la misura nella quale il server può essere compromesso al di là della modifica dei contenuti del database e del web server.Quindi il tuo messaggio, per come è scritto, odora un po' di trollata.-
Re: questi attacchi riguardano tutti
- Scritto da: Klut
Con "questo attacco" intendi l'attacco a SQL
Server? mi sembra un po' improbabile che girasse
sotto
Debian;)
Se invece intendi un generico attacco di SQL
injection, allora semplicemente il forum
conteneva codice scritto male (come molto
probabilmente nel caso dell'attacco oggetto
dell'articolo).
Il sistema operativo usato è totalmente
ininfluente dal punto di vista di vulnerabilità a
sql injection, al massimo può influenzare la
misura nella quale il server può essere
compromesso al di là della modifica dei contenuti
del database e del web
server.
Quindi il tuo messaggio, per come è scritto,
odora un po' di
trollata.http://punto-informatico.it/3123945/PI/News/lizamoon-tempesta-sql-peggiora.aspx
-
-
Re: questi attacchi riguardano tutti
meno demagogia no eh? "una vulnerabilità presente in vecchie versioni di SQL Server"adesso vienimi a dire che sql server gira su debian (rotfl)capisco che ti pagano per leccare le scarpe al padrone di Redmond, ma almeno se dovete fare i servi fatelo in modo intelligente-
Re: questi attacchi riguardano tutti
- Scritto da: collione
meno demagogia no eh? "una vulnerabilità presente
in vecchie versioni di SQL Server"
adesso vienimi a dire che sql server gira su
debian
(rotfl)
capisco che ti pagano per leccare le scarpe al
padrone di Redmond, ma almeno se dovete fare i
servi fatelo in modo intelligenteSe avessero abbastanza intelligenza non farebbero i servi :)
-
-
-
l'ennesimo attacco contro software ms
tempo fa un certo nome e cognome si arrabbiò quando gli feci notare che il web ( dominato da linux ) vede in pole position i software ms tra i bucatisarà un caso? forse i malfattori conoscono solo windows ? o magari fu quel punto e virgola che mise il primo chiodo sulla bara di sql server?ah quel punto e virgola, se non fosse per lui, il 90% delle sql injection a danno di sql server sarebbero impossibili, ma si sa a Redmond lavorano per il benessere dei cracker :D-
Re: l'ennesimo attacco contro software ms
Leggendo qui: http://www.orebla.it/news/31_03_2011/sql-injection-lizamoon-attacco-di-massa-colpisce-200mila-siti/sembra che il problema non riguardi MS, piuttosto MySql.-
Re: l'ennesimo attacco contro software ms
- Scritto da: Miki
Leggendo qui:
http://www.orebla.it/news/31_03_2011/sql-injection
sembra che il problema non riguardi MS, piuttosto
MySql.no, si tratta di 2 attacchi diversi.quello di mysql e' questo http://alturl.com/d9nv2questi invece usano ms sql:http://alturl.com/mp883 -
Re: l'ennesimo attacco contro software ms
O meglio mysql.com (e sun.com), non MySQL. Il loro sito può essere vulnerabile per mille motivi, pochi dei quali potrebbero essere attribuibili al DBMS.- Scritto da: Miki
Leggendo qui:
http://www.orebla.it/news/31_03_2011/sql-injection
sembra che il problema non riguardi MS, piuttosto
MySql.
-
-
Re: l'ennesimo attacco contro software ms
Scommetto il mio uccello che dipende da quella mondezza di Wordpress o Joomla o PhpFuck, non aggiornato, con il padre di "Vergine Maria_Santissima_DB" (MySql) bacato.SQL server è ok, non sparare sempre a zero su microsoft, e che palle.-
Re: l'ennesimo attacco contro software ms
don't feed the troll -
Re: l'ennesimo attacco contro software ms
- Scritto da: ZioB
Scommetto il mio uccello che dipende da quella
mondezza di Wordpress o Joomla o PhpFuck, non
aggiornato, con il padre di "Vergine
Maria_Santissima_DB" (MySql)
bacato.Comincia a tagliare...http://alturl.com/mp883-
Re: l'ennesimo attacco contro software ms
- Scritto da: mangiafuoco
- Scritto da: ZioB
Scommetto il mio uccello che dipende da quella
mondezza di Wordpress o Joomla o PhpFuck, non
aggiornato, con il padre di "Vergine
Maria_Santissima_DB" (MySql)
bacato.
Comincia a tagliare...
http://alturl.com/mp883La cosa che ha tagliato anni orsono è l'alimentazione al cervello ormai putrefatto -
Re: l'ennesimo attacco contro software ms
Il problema non è solo di SQL server ma anche Mysql Postgre ecc.. la injection è una tecnica stupida da prevenire, solo che il 90% dei developers lo è per sport o hanno poca esperienza in gestione database e sicurezza.Metti che i CMS sono tutti uguali se uno ha una falla e non è aggiornato il danno è enorme. Mi hanno chiamato ieri per un problema a Wordpress 2.0 che ha avuto l'attacco con Mysql.
-
-
Re: l'ennesimo attacco contro software ms
Nessuno dei prodotti citati è tipicamente associato a SQL Server, se non in una percentuale irrisoria dei casi.Poi è ovvio che è una trollata.- Scritto da: ZioB
Scommetto il mio uccello che dipende da quella
mondezza di Wordpress o Joomla o PhpFuck, non
aggiornato, con il padre di "Vergine
Maria_Santissima_DB" (MySql)
bacato.
SQL server è ok, non sparare sempre a zero su
microsoft, e che
palle. -
Re: l'ennesimo attacco contro software ms
si parla di sql injection e ovviamente l'injection è a danno del cms o della webapp di turno ma rimane il fatto che le sql injection sono facilissime da realizzare con sql server perchè è possibile concatenare più statements sql tramite il punto virgola che citavoho visto migliaia di injection che sarebbero state impossibili se solo sql server, come mysql, avesse rinunciato alla possibilità del concatenamento
-
-
Re: l'ennesimo attacco contro software ms
- Scritto da: collione
tempo fa un certo nome e cognome si arrabbiò
quando gli feci notare che il web ( dominato da
linux ) vede in pole position i software ms tra i
bucati
sarà un caso? forse i malfattori conoscono solo
windows ? o magari fu quel punto e virgola che
mise il primo chiodo sulla bara di sql
server?
ah quel punto e virgola, se non fosse per lui, il
90% delle sql injection a danno di sql server
sarebbero impossibili, ma si sa a Redmond
lavorano per il benessere dei cracker
:DProbabilmente non sai minimamente di cosa parli. Tutto sta nel come vengono gestiti gli input da parte della pagina lato server che sia oracle, mysql, sql server non ha importanza. Personalmente ho avuto più problemi con php + mysql , soprattutto con e-commerce basati su oscommerce.-
Re: l'ennesimo attacco contro software ms
probabilmente sei tu che non sai di cosa parlistudiati cos'è la sql injection e perchè il concatenamento dei comandi sql tramite il punto e virgola semplifica di 1000 volte la vita dei cracker-
Re: l'ennesimo attacco contro software ms
- Scritto da: collione
probabilmente sei tu che non sai di cosa parli
studiati cos'è la sql injection e perchè il
concatenamento dei comandi sql tramite il punto e
virgola semplifica di 1000 volte la vita dei
crackerRiesci a trasformare una cosa positiva (supporto di query concatenate) in negativa. Verificando opportunamente gli input puoi concatenare quel che ti pare. Poi anche con una singola query puoi fare disastri a cascata. Se poi addirittura valutiamo l'accoppiata asp.net - sql server anche un niubbo come te riuscirebbe a fare un applicazione sicura.
-
-
-
Re: l'ennesimo attacco contro software ms
Stai solo farneticando.....Pochi giorni fa hanno "bucato" i DB che stavano dietro ai siti web di MySQL.com e SUN.COM e non credo che usino SQL Server.In più, in 3 anni SQL Server 2008 ha accumulato ZERO security bug, SQL 2005 ne ha "solamente" 3 in 6 anni, mentre ORACLE solo nel 2009 ne ha avuti 144 (dico 144 !) e MySQL 77 (fonte SECUNIA).Per ultimo, gli attacchi di SQL injection non sono basati su debolezze del prodotto DB ma sulle XXXXXXX che gli sviluppatori scrivono nel codice, leggi "dynamic SQL" e "Adhoc" queries, unitamente alla totale mancanza di validazione degli input.Oh, ma quando leggete Microsoft spegnete proprio il cervello, eh ?-
Re: l'ennesimo attacco contro software ms
e quindi? non ho detto che mysql è invulnerabile, ho solo detto che sql server lo è di piùe a riprova di ciò basta che vai a guardare il numero di server violati negli ultimi 5 anni a causa di sql serverricordo ancora il titolone di PI "bucati 10000 siti basati su sql server"-
Re: l'ennesimo attacco contro software ms
il problema è sempre lo sviluppatore che sviluppa, spesso male.
-
-
-
-
non è che ..
... trattasi di un pesce d'aprile? L'articolo è piuttosto ambiguo, inoltre non esiste la versione 2003 di SQL Server...-
Re: non è che ..
- Scritto da: Miki
... trattasi di un pesce d'aprile?
L'articolo è piuttosto ambiguo, inoltre non
esiste la versione 2003 di SQL
Server...http://alturl.com/nns8k-
Re: non è che ..
- Scritto da: mangiafuoco
- Scritto da: Miki
... trattasi di un pesce d'aprile?
L'articolo è piuttosto ambiguo, inoltre non
esiste la versione 2003 di SQL
Server...
http://alturl.com/nns8kSQL Server 2003 continua a non esistere comunque :-)
-
-