L'agenzia Customs and Border Protection (CBP) – asset del più vasto bureau del DSH – può anche giustificarsi con motivazioni di sicurezza nazionale, ma la verità è che la ben nota pratica del sequestro preventivo della componentistica hi-tech agli americani in rientro dall'estero è inutile per la suddetta sicurezza e pericolosa per l'idea che trasmette di una privacy da assoggettare sempre e comunque agli occhiuti controllori di stato.
È quanto hanno espresso nella giornata di ieri le organizzazioni pro-diritti civili nell' audizione al Senato USA , tenuta dal “Sottocomitato sulla Costituzione, i Diritti Civili e i Diritti di Proprietà” e avente per oggetto i poteri apparentemente illimitati dei funzionari preposti al controllo dei cittadini di ritorno negli USA, autorizzati a sequestrare, esaminare e ritenere smartphone, portatili, palmari e quant'altro senza la benché minima garanzia sul trattamento e la restituzione del maltolto ai legittimi proprietari.
Un potere illimitato confermato due mesi fa dalla Corte di Appello del Nono Circuito, secondo la cui sentenza gli ufficiali della CBP non hanno bisogno nemmeno di un “legittimo sospetto” per sequestrare il materiale, scaricarne i contenuti su supporti e sistemi diversi e passare al setaccio informazioni sensibili, siano esse di rilevanza personale o aziendale/industriale .
Un potere che la Electronic Frontier Foundation e la Association of Corporate Travel Executives considerano eccessivo, minaccioso, lesivo della privacy e in definitiva dell'intero sistema economico degli Stati Uniti . Le due organizzazioni hanno chiesto alla Corte di Appello di tornare sui propri passi e ribaltare la sentenza sulla legittimità di una condotta che a loro dire non ha fondamento giuridico o fattuale.
“La nostra opinione è che essenzialmente nel mondo di oggi ti porti in giro l'ufficio dentro i dispositivi elettronici come cellulari, laptop o BlackBerry” ha osservato il direttore esecutivo di ACTA Susan Gurley prima di testimoniare presso il Senato. In tempi precedenti al trionfo del digitale per perquisire un ufficio ci voleva un mandato, ha continuato Gurley, e la differenza è che adesso tale autorizzazione scritta del giudice non sembra sia più considerata necessaria .
Gli ha fatto eco Peter Swire, professore di legge presso la Ohio State University che ha servito per due anni come consigliere sulla privacy per la presidenza Clinton, e nel cui giudizio aprire una valigia non è esattamente lo stesso che violare la sacralità di un laptop personale o aziendale e fare una copia bit per bit di tutto il contenuto eventualmente presente.
Al Sottocomitato, Swire ha detto che l'attuale modalità di azione del CBP ricorda le fallimentari politiche sulla privacy degli anni '90 . “La policy del governo viola le pratiche di buona sicurezza” ha dichiarato il professore prima ancora di apparire davanti al parlamento, dal momento che “richiede le password e le chiavi di cifratura, che alle persone si insegna di non rivelare mai. Il governo vìola la privacy, inibisce la libertà di parola e compromette i segreti industriali”.
Ma c'è anche chi, come Nathan Sales, professore di legge presso la George Mason University ascoltato dai parlamentari assieme agli altri testimoni, sostiene la legittimità dei controlli del CBP. Tanto più che, fa notare l'accademico, a lamentarsi della faccenda sono stati anche 11 pedofili schedati e condannati. Ci vorrebbero piuttosto regole precise sulla gestione e la memorizzazione delle informazioni , dice Sales, oltre che adeguate garanzie sulla distruzione e la discrezionalità di accesso per quanto riguarda i dati dei viaggiatori “normali” su cui non esiste alcun sospetto.
Alfonso Maruccia
-
Java Vs. ASP
Non conosco ASP, ma so che con Java scrivere del codice che permetta SQL-injection e' quantomai "complesso", dato che il linguaggio offre strumenti per evitarlo (E per facilitare la scrittura di SQL).Altri linguaggi, molto piu' usati come per esempio PHP ?Re: Java Vs. ASP
> > Altri linguaggi, molto piu' usati come per> esempio PHP> ?mai avuto problemi.Certamente se uno programma in PHP o in ASP.NET e non è un bravo programmatore, allora di buchi ne lascia aperti all'infinito (e oltre...)Re: Java Vs. ASP
In mano a un incompetente nessun linguaggio è sicuro.L'sql injection è trattato nei testi di programmazione da anni...se non se li leggono che vogliono?Re: Java Vs. ASP
Visto la tua dichiarazione non comprerei mai e poi mai un programma da te realizzato, sql injection lo rischi con java con asp, asp.net,php e chi più ne ha più ne metta dipende da come scrivi il codice, posso dire che da come è strutturato asp.net, rispetto a java e asp, è più improbabile che il programmatore faccia queste'errore, per come sono strutturati i DataReader e i dataset, ma anche li nessuno vieta di creare un pericolossisima sql si fattaMySql = "Select * From Utente where nomeutenteo = '" + MiaVaribile + "'";...Re: Java Vs. ASP
Ah perchè non si fa così?!?!? ^_^X asp.net la soluzione è semplice...query PA-RA-ME-TRI-CHE... come dice KestyRe: Java Vs. ASP
Appunto in .net si fa la query con i parametri... che garantisice più sicurezza....Re: Java Vs. ASP
Anche in ASP classic si possono usare le Stored Procedures parametriche invece di sparare direttamente il comando SQL. Prepari le variabili, le tipizzi, passi la stringa e diventa impossibile subire una SQL Injection (a meno che nella Stroed Procedure non ci infili una EXEC di una stringa...).Diciamo la verità: JAVA è nettamente più lento di ASP (sia classic che NET), in coppia con Oracle molto meno scalabile della coppia ASP+MS SQL Server (oltre i 900 utenti le prestazioni decadono drammaticamente) e non ha molto senso usare JAVA per siti economici e/o di modesta importanza.PHP+MySql è il miglior compromesso per siti medio-piccoli, anche perché impedisce le queries multiple (niente iniezioni di ';DELETE FROM Utenti;--) ed aggiunge direttamente il backslash di escape prima degli apici per tutti gli input POST e GET. Con PHP+MySql bisogna davvero programmare male per farsi manipolare il DB.Però PHP ha un grave problema con il comando mail: essendo completamente manuale, si può manipolare praticamente tutto il messaggio direttamente dal solo indirizzo (esempio: dichiarandomi essere aaa@aa.com;to:bbb@bbb.com;subject:VjagraVsCjaljs...). Il mondo è pieno di spam incontrollabile per colpa di quel comando. Lo sanno gli utenti di Aruba... eh eh ehVabbè, vale sempre il principio che la tecnologia non potrà mai sconfiggere la stupidità umana.Re: Java Vs. ASP
- Scritto da: Uno> Visto la tua dichiarazione non comprerei mai e> poi mai un programma da te realizzato, Non sono interessato a vendere a te, ho il mio lavoro che mi fa guadagnre abbastanza ;)> posso dire che da come> è strutturato asp.net, rispetto a java e asp, è> più improbabile che il programmatore faccia> queste'errore, per come sono strutturati i> DataReader e i dataset,Pure Java ha i suoi bei PreparedStatements, e scrivere una query passibile di SQL-injection risulta difficile.Re: Java Vs. ASP
sbagliato.In java è semplicissimo fare un qualcosa di vulnerabile alla sql injection, esempio:String empCode = request.getParameter("empCode");Connection conn =String query = "SELECT * FROM EMPLOYEE WHERE empCode = " + empCode;Statement stat = conn.createStatement();ResultSet res = stat.executeQuery(query);.... ecco fatto, in poche semplicissime righe sei già pronto alla tua bella SQL Injection.Il problema qui sono i programmatori, non il linguaggio Re: Java Vs. ASP
Come quasi sempre direi...Re: Java Vs. ASP
In Java basterebbe usare dei preparedstatement invece degli statement semplici...Re: Java Vs. ASP
esattamente come in asp, php... etcPuoi scrivere porcherie in qualsiasi linguaggio, la differenza la fa il programmatoreRe: Java Vs. ASP
Vedo che il marketing "java" ha fatto una vittima...- Scritto da: Giambo> Non conosco ASP, ma so che con Java scrivere del> codice che permetta SQL-injection e' quantomai> "complesso", dato che il linguaggio offre> strumenti per evitarlo (E per facilitare la> scrittura di> SQL).> > Altri linguaggi, molto piu' usati come per> esempio PHP> ?Re: Java Vs. ASP
- Scritto da: Giambo> Altri linguaggi, molto piu' usati come per> esempio PHP> ?In php è facilissimo. mysql_query("Select * from tabella where id='$get_var'");se $get_var la prendi direttamente dai dati postati dall'utente, l'injection è presto fatta: "un valore' OR '1' = '1"l'unica protezione è data da un limite strutturale che impedisce di eseguire più statement sql con la stessa istruzione.I tool per proteggersi ci sono, ma sta tutto al programmatore.Re: Java Vs. ASP
anche con java i rischi di SQL injection sono gli stessi... ci sono i soliti programmatori che hanno l'occhio solamente alla funzionalità e non per la sicurezza che concatenano i parametri delle GET direttamente nelle query SQL...forme per la limitazione di questi pericoli esistono sulla parte sistemistica come il magic quotes di phpInutile dire che M$ può dire e fare quello che vuole, ma il successo di una programmazione sicura è una buona cultura informatica dei programmatori... è pieno di programmatori improvvisati che non sanno neppure di quanta RAM ha bisogno i programmi che scrivono ..Re: Java Vs. ASP
La cosa più semplice e più efficace per proteggersi dalle sql injection che voi trattate è scrivere, invece di:"SELECT * FROM Utenti WHERE NomeUtente = '" & Parametro & "'"Una cosa molto carina, che somiglia a:"SELECT * FROM Utenti WHERE NomeUtente = '" & Replace(Parametro,"'","''") & "'"Peccato che i veri attacchi sql non funzionino così.Un attacco carino, è quando in Parametro, l'utente mette:Parametro = "un valore'; DELETE DATABASE;"Raddoppiando l'apice anche questo tipo di attacco è scongiurato! Perchè il parametro, in qualsiasi caso, viene considerato stringa per l'sql. Una stringa con un apice all'interno ma questa, ripeto, non è la soluzione ideale.Usate gli strumenti forniti dal sistema che state usando.Oppure comprate oggetti che vi piacciono.Re: Java Vs. ASP
Mai sentito parlare dei PreparedStatement?Re: Java Vs. ASP
veramente asp 3.0, alla pari di asp.net, permette benissimo di usare i command per le query. Tutti i linguaggi lo permettono. Tutto sta nel conoscere le problematiche e come affrontarle. Al limite potrei essere d'accordo sul fatto che asp 3.0 è più semplice rispetto a .net e quindi ci sono più incompetenti in giro che si improvvisano programmatori.Re: Java Vs. ASP
Si, puoi fare i command e usare parametri e stored procedure anche in ASP classic.Però non è un sistema piuttosto complesso da fare, e non è il massimo della vita da usare. In ASP classic filtrare i parametri è molto più comodo e veloce.ASP.NET rende l'utilizzo dei parametri per le variabili delle query SQL molto più semplice e veloce da usare.Tanto sappiamo tutti che quando si va dal capo progetto:velocià = risparmio >>>>>>>>> sicurezzaRe: Java Vs. ASP
Perfettamente d'accordo.Quando parlavo di SQL Server intendevo riguardo la "famigerata" SQl injection che tanto è andata di moda nell'ultimo periodo.Essendo quella stata scritta per SQL Server ê normale che la maggior parte dei siti colpiti fosse scritti in ASP o ASP.Net.Era giusto un'esempio per dire che non è ASP o Microsoft il problema, quanto i programmatori che non sanno/non vogliono preoccuparsi di mettere in sicurezza le applicazioni.Re: Java Vs. ASP
Scusami se ho frainteso, però questi luoghi pullulano di gente che usa commenti più per vangelizzare che per amore dell'IT.Ciao!Programmatori fai da te
Sai quanti si improvvisano programmatori e lasciano aperti buchi grandi come crateri cosmici?Ma d'altra parte le aziende vogliono pagare le persone poco, così se hai 10 anni di esperienza vali come uno che ha sei mesi...comunque... ben venga l'informazione...Re: Programmatori fai da te
Poi basta conoscere le tecnologie fiche e funziona tutto.... questo è il mercato che vuoi fare.Re: Programmatori fai da te
quoto, i risultati sono questi.Il problema però è che invece che spendere un po' di più all' inizio per prendere gente competente molte aziende preferiscono spendere dei gran soldi per intervenire a posteriori quando il danno è già fatto.Davvero un bel risparmio!Re: Programmatori fai da te
Purtroppo questo è un problema molto presente in Italia...Oltre alle query create al volo senza nessuna prevenzione alla SQL injection ho anche visto siti dove per entrare nell'area riservata bastava scrivere nell'url http://.../admin.aspx e chiunque entrava serenamente... nella pagina non vi era nessun controllo sui privilegi dell'utente, ma semplicemente, nell'homepage del sito, venivano nascosti i link alla sezione amministrativa (se non eri admin)!!Re: Programmatori fai da te
vero! anche io ho lavorato ad un sito fatto così! però era scritto in java, quindi la pagina di admin era:...../admin.jsp :-)Re: Programmatori fai da te
Ahahahah!!!!IO HO BECCATO UN SITO LA CUI UTENZA DI AMMINISTRAZIONE È ADMIN ADMIN!!!!!Hihihi... Sono 3 anni che controllo se sistemano il buco, ma nulla!E gliel'ho pure sergnalato!!!!Hahaha....Un giorno o l'altro, gli inserisco una news nel sito... E gli scrivo... Siamo buscheri, perchè abbiamo pagato il sito un cifrone ed è pieno di buchi!HIHIHI!!!Scommetto che se scrivo utente = vero' OR '1'='1 e come passwd, giusto per essere sicuro, vero' OR '1'='1 Entro lo stesso, pure se cambiano la password di amministratore!!! HAHAHA!!!Re: Programmatori fai da te
azz nemmeno agli albori quando facevo web pippetta per il negozio del cioccolataio di sotto commettevo errori del genere. Poi basta così poco una semplice routine che ti porti avanti in tutte le paginemah e poi questi riescono ancora a vendere :Re: Programmatori fai da te
la sfiga è che se "buchi" un sito del genere e ti beccano, i guai li passi tu e non il *** che ha scritto il sito...Che mondo marcio! :-(Re: Programmatori fai da te
:)Beh... su questo, penso che la colpa e' di chi dovrebbe gestire l'area admin e cambiare la password... no?Non penso che se un amministratore di un sito scelga come password "admin - admin" oppure "admin - pippo", la colpa sia del programmatore....Almeno penso....Net
Per quanto riguarda la piattarforma .Net microsoft oltre a far uscire decine e decine di issue e best pratices per il buon sviluppo, ha sollecitato l'utilizzo dei Parameters o come best pratices l'utilizzo di Store Procedure per le interrogazioni al db.In più a fatto uscire un controllo (net 1.1) per il LOGIN, che controlla in maniera nativa la possibilità di fare sql iniection, cosi gli sviluppatori piu modesti hanno già un controllo di login che li smarca da questo tipo di problemi.Per il resto come fatto risaltare nei vari post..la tecnologia che si utilizza, non ha nulla a che fare con la vulnerabilità a questo tipo di attacco, ma è la competenza di chi sviluppa che fà la differenza...In ogni caso ha ragione anche chi ha scritto che sono da circa 10 anni che si parla di sql iniectionRe: .Net
quoto in pienoRe: .Net
> In più a fatto uscire un controllo (net 1.1) per> il LOGIN, che controlla in maniera nativa la> possibilità di fare sql iniection, cosi gli> sviluppatori piu modesti hanno già un controllo> di login che li smarca da questo tipo di> problemi.WOW! L'ho sempre detto io che M$ è troppo avanti!Re: .Net
Già, del resto Microsoft ha rilasciato nei giorni scorsi anche un security bullettin che informa l'utente circa i rischi di usare Appl Safari per Windows, e figurati che Appl se ne era fregata per mesi.Hai ragione, è proprio avanti, tanto da preoccuparsi anche delle magagne di altri.Sono 5 anni che leggo il giornale gratis
Grazie al programmatore ciucco, che lascia questo genere di buchi, sono 5 anni che leggo i PDF il mio giornale di provincia gratis.Tecnologia usata PHP. Password ottenuta con uno dei metodi più banali e noti di SQL injection.Ah, il sito è stato rifatto 3-4 volte. Il buco è sempre lì.Re: Sono 5 anni che leggo il giornale gratis
> Grazie al programmatore ciucco, che lascia questo> genere di buchi, sono 5 anni che leggo i PDF il> mio giornale di provincia> gratis.> > Tecnologia usata PHP. Password ottenuta con uno> dei metodi più banali e noti di SQL> injection.> > Ah, il sito è stato rifatto 3-4 volte. Il buco è> sempre> lì.Ma, sarà stato rifatto per aggiungere tanti colori in più :DRe: Sono 5 anni che leggo il giornale gratis
lascia stare, che una volta ero capitato sulla console di amministrazione di un sito di non mi ricordo quale provincia; non avevo nemmeno dovuto usare la sql injection, la password era quella di default.Ci riconduciamo sempre al discorso del "programmatore fai da te" di qualche thread sopra, con un sentito ringraziamento al fenomeno delle body rental cantinareBhè era ora...
e si spera che funzioni. Poichè questo tipo di attacchi sta diventanto sempre più frequente e riguarda anche siti ritenuti relativamente "affidabili". Cioè non sono siti "esotici" o farlocchi. Siti che inoltre hanno un bacino di utenza anche molto elevato (poichè addirittura alcuni sono "istituzionali").E non è semplice per l'utente poco esperto accorgersi di che cosa gli è entrato nel PC, visto che nel momento in cui ti connetti al sito incriminato tutto avviene "al buio". Ma anche per gli utenti più "scafati" non è facile: da certi siti non ci si aspettano "brutte sorprese" e quindi il livello di attenzione è basso....fino a che non si fa un bello scan e si scopre che qualcuno sta utilizzando il tuo indirizzo IP per fare dio solo da cosa.Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commenti25 06 2008
Link copiato negli appuntiTi potrebbe interessare
![Alfonso Maruccia]()
25 06 2008Link copiato negli appunti
