E' Vista il Windows più spione?

Qualcuno si è preso la briga di contare i servizi che in Windows Vista raccolgono informazioni sul PC e le inviano a Microsoft ed ha scoperto che sono decine. Al confronto Windows XP sarebbe una pudica verginella

Roma – Sono quasi una settantina le funzionalità e i servizi di Windows Vista che raccolgono informazioni per Microsoft , buona parte dei quali comunica periodicamente con i server di Redmond. A stilare questo bilancio, per altro definito “provvisorio”, è Marius Oiaga, editorialista di softpedia.com .

“Windows Genuine Advantage è l’ultima delle vostre preoccupazioni”, afferma Oiaga in questo articolo . “Infatti, più di 20 funzionalità e servizi di Windows Vista lavorano sodo per raccogliere e trasmettere i vostri dati all’azienda di Redmond”. 20 servizi a cui, secondo il giornalista, se ne aggiungerebbe quasi un’altra cinquantina che, seppure meno assiduamente e non sempre con lo scopo di inviarli a Microsoft, collezionano certi dati sul sistema.

Ma cosa raccoglie Vista esattamente? Cose tipo indirizzo IP, protocollo di rete utilizzato, versione del sistema operativo, browser, nome e versione delle applicazioni installate nel sistema o utilizzate in un dato momento, product key di Windows, lingua di sistema, dispositivi hardware installati, ecc.

Nell’EULA di Windows Vista Microsoft dichiara espressamente di non utilizzare i dati così raccolti per identificare o contattare l’utente , ma gli attivisti della privacy sostengono che questa è una promessa che Microsoft può infrangere in qualsiasi momento, in un ambiente che renderebbe assai difficile all’utente verificare quanto accade.

Oiaga fa notare che nel Privacy Statement di Windows Vista Microsoft si riserva di utilizzare le informazioni personali nel caso in cui le sia comandato da un tribunale, serva a proteggere o difendere i suoi diritti o contratti, o in “circostanze impellenti” nelle quali sia necessario salvaguardare i propri utenti e impiegati o altre persone. Il big di Redmond ha dunque piena libertà di rintracciare l’utente nel caso in cui questi utilizzi una copia piratata di Windows , sia ricercato dalla polizia o rappresenti in qualche modo una minaccia per gli altri (potrebbero cadere in questa categoria anche cracker e virus writer).

Oiaga definisce ironicamente il rapporto tra l’utente e Windows Vista come “un triangolo d’amore”, triangolo di cui uno dei vertici è rappresentato da Microsoft. D’altronde, che Windows XP e Windows Vista trasmettano diverse informazioni ai server di Microsoft non è certo una novità: tanto è vero che girano da tempo dei tool che permettono di disattivare, generalmente in modo legittimo, certi servizi considerati “spioni”.

C’è anche chi ritiene che tali preoccupazioni siano solo paranoiche o comunque largamente esagerate, e che ad esclusione dell’indirizzo IP, rivelato da tutte le applicazioni che si connettono ad Internet, i dati raccolti da Windows siano del tutto innocui. Il dibattito è aperto e, come dimostra il chilometrico elenco di post apparsi su Slashdot.org , tuttora caldissimo.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    sql injection, come funziona?
    A proposito di sql injection, come funziona? cioè, ok il fatto di passare stringhe che si riesce a farle eseguire in sql, ma come si passano ? se si ha per esempio un login ok, si passa da lì e poi si fa il post. Ma in caso di url che accetta parametri?
    • OpenMind64 scrive:
      Re: sql injection, come funziona?
      - Scritto da: Anonimo
      A proposito di sql injection, come funziona?
      cioè, ok il fatto di passare stringhe che si
      riesce a farle eseguire in sql, ma come si
      passano ?Si passano inserendoli nei campi di input delle pagine, oppure nei parametri da linea comando.Qui trovi una spiegazione di base (in italiano)http://it.wikipedia.org/wiki/SQL_injectionQui trovi una spiegazione approfondita, con tanto di esempi (in inglese)http://www.securiteam.com/securityreviews/5DP0N1P76E.htmlEsistono lievi differenze per ciascun dialetto SQL ma, qualunque sia il motore di database utilizzato, se non si controllano/filtrano i dati di input, si lasciano aperte le porte a tutti i malintenzionati del mondo.
      • Mechano scrive:
        Re: sql injection, come funziona?
        Ce l'hai anche qualche sitarello con qualche tutorial e tecniche di protezione?
        • OpenMind64 scrive:
          Re: sql injection, come funziona?
          - Scritto da: Mechano
          Ce l'hai anche qualche sitarello con qualche
          tutorial e tecniche di
          protezione?Dai una occhiata qui:http://php.html.it/articoli/leggi/896/proteggersi-dalla-sql-injection/E' un po' datato, ma almeno è in italiano :)Un consiglio ulteriore: oltre a testare i dati che ti arrivano da form e parametri dell'URL, testa anche i dati letti dai cookies.Di questo ultimo particolare si dimenticano quasi tutti, ma i cookies sono comunque facilmente manipolabili, e un malintenzionato lo sa bene.Evita comunque di andare in giro per siti non tuoi a controllare il livello di protezione del codice: testare i siti con l'SQL Injection è equiparabile ad un tentativo di cracking, ed è illegale se non si ha l'autorizzazione del gestore del sito stesso. Uomo avvisato...
  • Mechano scrive:
    L'abbiamo reso più sicuro
    Come dice la pubblicità in TV?Ah "abbiamo reso più sicuro il nostro software"...Ma sinceramente se non si sanno rendere sicuro manco il loro sito web quello resta solo bieco marketing. Ed è pirla chi ci crede...
    • Lemon scrive:
      Re: L'abbiamo reso più sicuro
      - Scritto da: Mechano
      Come dice la pubblicità in TV?

      Ah "abbiamo reso più sicuro il nostro software"...


      Ma sinceramente se non si sanno rendere sicuro
      manco il loro sito web quello resta solo bieco
      marketing. Ed è pirla chi ci
      crede...Approfitta della notizia per attaccare alla cieca...Quando sono entrati nel sito della Debian di chi era la colpa? che non hanno fatto marketing?
      • fulmine scrive:
        Re: L'abbiamo reso più sicuro
        - Scritto da: Lemon
        Quando sono entrati nel sito della Debian di chi
        era la colpa? Mi pare di una password "debole". Correggimi se sbaglio.
      • A O scrive:
        Re: L'abbiamo reso più sicuro
        - Scritto da: Lemon
        - Scritto da: Mechano

        Come dice la pubblicità in TV?



        Ah "abbiamo reso più sicuro il nostro
        software"...



        Ma sinceramente se non si sanno rendere sicuro

        manco il loro sito web quello resta solo bieco

        marketing. Ed è pirla chi ci

        crede...

        Approfitta della notizia per attaccare alla
        cieca...

        Quando sono entrati nel sito della Debian di chi
        era la colpa? che non hanno fatto
        marketing?ma Debian è Linux... una specie di schifezza no? pure gratis...mica bello potente e sicuro come M$...!!!eh perbacco!che domande fai!
    • A O scrive:
      Re: L'abbiamo reso più sicuro
      ehehehehhhh...più sicuro... ahahahahhh
  • Cicciopizza scrive:
    Sicurezza e sicurezza...
    C'è da chiarire questo aspetto. Non é tanto l'insicurezza del software di base in questo caso, tanto quanto quella di come sono sviluppate le pagine web.Se io in php creo una query parametrizzata con i valori presi dalle variabili dell'url SENZA VALIDARLI ottengo lo stesso risultato.
    • Anonimo scrive:
      Re: Sicurezza e sicurezza...
      - Scritto da: Cicciopizza
      C'è da chiarire questo aspetto. Non é tanto
      l'insicurezza del software di base in questo
      caso, tanto quanto quella di come sono sviluppate
      le pagine
      web.
      Se io in php creo una query parametrizzata con i
      valori presi dalle variabili dell'url SENZA
      VALIDARLI ottengo lo stesso
      risultato.mannaggia... hai subito rovinato la festa dei flame a PI
    • Vihai Varlog scrive:
      Re: Sicurezza e sicurezza...
      - Scritto da: Cicciopizza

      Se io in php creo una query parametrizzata con i
      valori presi dalle variabili dell'url SENZA
      VALIDARLI ottengo lo stesso
      risultato.Quindi sottointendi che la soluzione giusta all'SQL injection è la validazione dei parametri?FALSO!La validazione è cosa buona e giusta per altri motivi ma la soluzione all'SQL injection è l'ESCAPING dei parametri!
      • Mechano scrive:
        Re: Sicurezza e sicurezza...
        Confermo!Se in un sito prendi le variabili di utente e password dal form di login e le infili in una query così senza controlli ed escaping fai entrare tutti con l'utente ' OR 1 OR ' senza password.Se invece in PHP aggiungi la funzione addslashes($user) già il trucco non funziona più.E addslashes() fa un semplice escaping.
        • OpenMind64 scrive:
          Re: Sicurezza e sicurezza...
          - Scritto da: Mechano
          Se invece in PHP aggiungi la funzione
          addslashes($user) già il trucco non funziona
          più.
          E addslashes() fa un semplice escaping.L'utilizzo di addslashes() è deprecato in PHP 4.0 per il seguente motivo:http://www.newsforge.com/article.pl?sid=06/05/23/2141246Inoltre addslashes() non funziona se usi SQLServer. Nella maggior parte dei dialetti SQL conviene fare l'escaping sugli apostrofi, sostituendo al carattere "'" i caratteri "''"
          • Mechano scrive:
            Re: Sicurezza e sicurezza...
            No il problema è stato solo con PostgreeSQL, MySQL non soffre di quella vulnerabilità per esempio.Anche se comunque finalmente PHP6 risolverà questo problema.Comunque grazie per le info...
    • FuSioNmAn scrive:
      Re: Sicurezza e sicurezza...
      Infatti. Il problema non sta nella tecnologia ma nell'errore di programmazione che si può commettere in ogni linguaggio.C'è da dire però che chi programma con tecnologia microsoft è stranamente meno attento nel filtrare i dati in ingresso rispetto a chi programma in altre tecnologie.Ad ogni modo non esiste il sito o software sicuro al 100%.
Chiudi i commenti