La Cina infrange le olimpiche promesse

per il Sig. Intini (parte seconda)
continuo la mia sequela se non vi spiace, così concludo e non mi sentite più...^^[quote]Sarebbe quindi auspicabile riconoscere la validità delle considerazioni conclusive che appaiono essere il giusto pungolo a non dare per scontato che ci siano davvero software intrinsecamente sicuri: nessun sistema è invulnerabile, e il mancato utilizzo delle security best practice di cui detto aumenta esponenzialmente nel tempo il rischio di essere facilmente oggetto di attacchi in grado di andare a buon fine ed arrecare un danno serio.[/quote]il sig. Bottoni ha mai detto da quando lo conosco che ci sia un sistema operivo o un applicativo invulnerabile, nè l'ho mai sentito dire ad altro esperto informatico ed io confermo le loro tesi da piccolo programmatore quale sono, ciò però non significa che il Vs. sistema sia il migliore sul mercato, forse è solo il più conosciuto per via della pubblicità che ne fate.Per quanto riguarda il resto, ha ragione che il suo reparto di sicurezza è un buon passo avanti nella sicurezza di tutti che avete fatto e vi ringrazio per tale passo, purtroppo però come ho detto prima il problema principale è in win32. Non parlando del fatto che vi ho segnalato una falla di sicurezza anni fa, dove vi dicevo che avevate una falla sia nella casella di posta msn, sia nei server del messangers dicendovi che era possibile che qualcun altro che non è il proprietario dell'account avrebbe potuto prendere possesso delle varie caselle di posta e di conseguenza dei vari contatti messangers, vero io ve l'ho segnalato una prima volta nel 2001, il suo staff non era ancora stato creato, giusto.Ma ve l'ho risegnalata anche nel 2004 e quella falla persiste comunque ed ha causato parecchi danni, così tanti che nemmeno se lo immagina. [ironica]Ma naturalmente si sa, prima del 2002 nessuno pensava alla sicurezza informatica, è nata solo sei anni fa[/ironica]. come però le ho detto prima i sistemi unix ci pensano da molto più tempo di voi.[quote]D'altra parte le stesse comunità Open Source sono già impegnate in tal senso (OWASP ne è un esempio) e riconoscono l'opportunità e l'urgenza di tale approccio: la recente iniziativa oCERT non è forse conferma di uno dei punti di debolezza indirizzati da Fortify? Perché quindi non abbandonare il confronto/scontro fine a se stesso e non dedicare le proprie energie ad attivare alleanze strategiche su questi temi (SafeCode è un esempio in ambito software commerciale)? L'esempio del fronte comune si è dimostrato possibile proprio in questi giorni: non è degno di nota lo sforzo che ha accomunato progetti Open Source e diversi vendor di software commerciale nello sviluppo della patch per correggere la recente vulnerabilità DNS? [/quote]ripeto non si offenda, ma da come parla sembra che la sicurezza informatica sia roba di sei anni fa e basta, invece non è vero.E' vero però che bisognerebbe smetterla di fare scontri fideistici fini a se stessi ed io vorrei che cominciaste voi stessi.Innanzi tutto creando codici di programmazione, programmi per non parlare dei linguaggi di programmazione web che non sono nemmeno stardard w3c, sono incompatibili con browser non Microsoft tanto da creare problemi non solo nella visualizzazione ma anche nella navigazione, parliamo infine dell'utilizzo spropositato di codice ajax che rende ancora più insicure (poichè per chi non lo sapesse ajax è semplicemente javascript) le applicazioni web tanto da rendere vulnerabili le caselle di posta, come non parlare poi dell'utilizzo di oggettistica non comunemente accettata dai maggiori browser.Parliamo dei nuovi linguaggi di programmazione (XAMAL per fare un esempio, ma è solo un esempio ce ne sono altri di questo tipo) che al posto di rendere un programmatore tale e reale per come è, lo rende inefficiente e incapace di riuscire a trovare un baco nel suo programma, tanto che quando chiamo e dico avete un baco, se il vostro validatore dice che è corretto, nemmeno si sprecano a considerare l'ipotesi che hanno sbagliato. E i bachi ci sono, garantito, non provo un sito solo ed esclusivamente su una piattaforma.E giuro che visto che sono anni (a settembre saranno 9 per l'esattezza) che navigando in internet, o nel reale sono già 15, ho sempre segnalato i vari bachi ai vari programmatori, ma di interoperabilità come lei dice io non ne ho mai vista, men che meno negli ultimi periodi, anzi, si va sempre peggio, più si va avanti e più si cerca di limitare lo spazio altrui in favore della vostra, cercando di mascherare i propri errori iniziali, e non mi dica che pensare alla sicurezza dei propri utenti solo dopo più di vent'anni è una scelta saggia e sicura e non è un errore madornale a cui state cercando di mettere le pezze di arlecchino e non riuscite più a tenere in piedi il vostro sistema operativo proprio per questo vostro lassismo iniziale, perchè proprio io non ci credo.Questo suo sproloquio di quanto stiamo facendo e quanto abbiamo fatto è assolutamente fuori luogo e se lo poteva bellamente risparmiare. E' vero, non ho una laurea non lavoro nel campo ufficialmente, azz...non sono nessuno quindi, può brillantemente cestinare questa mia e continuare a pensare che il vostro sistema operativo sta facendo tanto anche per l'opensource. Continuerò a dire, non mi pare, perchè sono i fatti che contano e non le parole.E i fatti dicono che in realtà avete fatto ben poco, anzi nulla.Le dico la stessa cosa che ripeto a tutti i suoi colleghi informatici: professori, ingegneri, programmatori, tecnici e fattorini dell'IT e come ho sempre detto non mi importa quanto sono famosi o che nome portano o per chi lavorano, se sbagliano sbagliano.Se vi vantaste un po' meno di quanto fate e di cosa fate, di quanti soldi date all'opensource e di quanto state _non_ facendo per la sicurezza del mondo e lavoraste di più, collaborando realmente con il mondo opensource e non solo a parole, quando poi non si riesce nemmeno a navigare correttamente in un sito gestito da voi o semplicemente programmato sulle vostre strutture, forse ci fareste più bella figura e sareste apprezzati di più.Purtroppo i fatti parlano al contrario, quindi finchè non vedo i fatti per me rimane ciò che ho detto prima.buona serata e buon lavoro, sperando che collaboriate davvero con i progetti opensource per la stabilità e la sicurezza degli utenti, comunemente e non solo a parole.

wanna

Questa è la Microsoft di oggi, una fabbrica di software
e servizi impegnata a 360 gradi nella tenace ambizione
di realizzare, proprio grazie ad essi, il pieno
potenziale delle persone.Questa frase da wanna marchi poteva risparmiarsela

Sicurezza e collaborazione
Ognuno fa la sua parte va bene. Io faccio la mia, il tecnologicamente curioso.Dato che dal 2002 c'e' tutta questa attenzione perche' abbiamo ancora un IE7 con supporto Activex? Tanto per fare un esempio.Sono certo che MS non si metta d'impegno per scrivere codice da schifo e faccia del suo meglio ma con la potenza di fuoco che ha e con i soldi che chiede in licenze potrebbe fare certamente di piu'. Forse non ci riesce perche' ha la condanna della compatibilita' all'indietro, chiamiamola Karma se vogliamo: in passato ha scritto vagonate di codice con piu' di un problema e oggi si trova ancora a farci i conti. Anzi. Per risolvere quei problemi scrive ancora piu' codice e dato che il codice ha buchi ... piu' codice, piu' buchi e qualcuno di questi inevitabilmente (non tutti) crea falle di sicurezza.Il mondo open offre vasta e larga collaborazione, avete tutto il codice, potete capire esattamente cosa viene fatto e come viene fatto. Al di la' delle parole si gradirebbe altrettanto da parte vostra.Per collaborare occorre conoscere, se voi non permettete di conoscere o lo fate in maniera solo parziale la vostra resta una affermazione di principio che lascia il tempo che trova.Voglio essere ulteriormente collaborivo e propositivo, siete cosi' sicuri del vostro impegno e dei suoi risultati, bene assumetevene la responsabilità, cambiate le vostre EULA e scriveteci: nel caso si riscontrino errori del sistema operativo che permettano ad un attaccante di prendere il controllo totale o parziale della macchina e a prelevarne dati il cliente ha diritto a richiedere un corrispettivo pari a 3 volte il costo della licenza pagata (e non c'e' da lamentarsi troppo, ieri ho impiegato tutta la giornata a risolvere un problema di autenticazione con un vostro sistema e non ne sono venuto a capo, perso nei meandri del registry e delle policy, e poi qualcuno dice che la /etc e la maniera di mettere i file di configurazione dei sistemi open e' complicato, di tutto questo, per il momento, non chiedo rimborso). Sareste molto piu' credibili no? Se mancate di farlo e' chiara testimonianza che al di la' delle belle parole, dichiarazioni, ragionamenti, voi siete i primi a non fidarvi di voi stessi e a sapere che, con il vostro software prima o dopo, a tutti (o alla maggior parte), un patatrack capitera'.Cordialmente.

DISGUSTOSO!!! (parte 2)
(seguito della parte 1)*** La sostanza ***Fatti pochi e nulla... Tante statistiche, studi, auto-citazioni e auto-referenziazioni, l'apprezzamento del mercato (sic!)...Argomenti veri, solidi e concreti, pochini direi... in compenso però qualche "lieve" ribaltamento della realtà e del senso delle parole...Andiamo con ordine, seguendo il testo.Dei fatti e dei "problemini" di sicurezza di Microsoft intorno e successivamente al 2002, riportati nel commento di A. Bottoni, non resta nulla... non se ne parla... ma d'altra parte si sa, nel mondo dell'informatica sei anni sono quasi un'eternità ... e l'argomento è simpaticamente liquidato... altro che argomentazioni solide e circostanziate!Segue il lungo racconto auto-referenziale degli anni Microsoft dal 2002 in poi... il mondo magico di cui si è già detto prima... l'aneddoto sulla formazione di massa agli 8000 sviluppatori sulle best practice di scrittura di codice sicuro ...Tutto questo per arrivare a dire che: La storia di questi anni ha già avuto modo di confermare la validità di quella svolta e dell'impegno investito su questo tema, sia dal punto di vista quantitativo che qualitativo. Belle parole... peccato che non siano accompagnate da dati e fatti concreti...Ecco perché non mi sembra tanto strano se, a ma come a molti, sembra invece che la storia di questi anni confermi esattamente il contrario... Le statistiche che mostrano una evidente riduzione delle vulnerabilità, sia nel confronto interno di versione in versione che nel confronto competitivo, sono davvero significative. Belle parole anche queste... con qualche dato in più (magari qualche analisi comparata) sarebbero forse potute essere più convincenti... L'apprezzamento del mercato per la validità e l'efficacia del processo SDL è diventato unanime ah beh... scusate! se c'è l'apprezzamento unanime del mercato allora dati e fatti non servono!...come se il "mercato" comprasse (apprezzasse) solo sulla base della qualità tecnica piuttosto che per questioni legate ad accordi commerciali (cartelli), regimi monopolistici, strategie di marketing, affossamento di ogni concorrenza con cause legali, abuso della brevettazione, e via dicendo...ma mi/ci si vuole proprio prendere in giro?Ed ecco una vera perla: Sarebbe quindi auspicabile riconoscere la validità delle considerazioni conclusive che appaiono essere il giusto pungolo a non dare per scontato che ci siano davvero software intrinsecamente sicuri: nessun sistema è invulnerabile cosa questa già più volte detta da A. Bottoni nel suo articolo: lo ha letto? di che ci sta parlando Sig. Intini? e il mancato utilizzo delle security best practice di cui detto aumenta esponenzialmente nel tempo il rischio di essere facilmente oggetto di attacchi in grado di andare a buon fine ed arrecare un danno serio. si lo sappiamo, non siamo del tutto deficienti, peraltro mi pare che anche queste cose, prima di lei, ce le ha recentemente ricordate A. Bottoni...ancora una volta, di che ci sta parlando Sig. Intini?mi permetta ma sembra proprio che stia ripetendo a memoria una lezioncina o una storiella... come fosse una poesia che (nonostante la formazione e le best practice aziandali che oramai saranno consolidatissime) proprio non vuole entrare nella testa dei programmatori Microsoft...E subito dopo eccone un'altra: L'avanzamento della sicurezza delle realtà IT e di Internet passa necessariamente [...] dall'incremento di confronto e collaborazione reciproca [...], e dall'interoperabilità delle diverse piattaforme eterogenee. Benissimo! Allora gradirei, come primo segno tangibile di buona volontà, che domani Microsoft rendesse disponibili a tutti, gratuitamente e senza alcuna limitazione, con una licenza che so GNU/FDL o equivalente, le specifiche integrali e di dettaglio dell'implementazione di Active Directory su Windows Server 2003, del protocollo Kerberos e di LDAP.Si? Dubito... ma ne sarei davvero colpito!No? Allora, per favore, eviti di venire qui ad offerndermi/ci parlando di confronto, collaborazione, interoperabilità delle diverse piattaforme!!!Per concludere, abbondantemente disgustato, saluto tutti (facendo mie le sue parole, ma non mi citi per violazione di copyright), augurandomi che queste mie considerazioni possano facilitare una nuova modalità di confronto competitivo, più costruttiva e più efficace nel contribuire ai progressi nel campo della sicurezza IT che tutti ci aspettiamo.

Windows Vista adoption weakens...
Questa è ancora meglio...Survey: Windows Vista adoption weakens as IT pros eye Mac (and Linux)http://macdailynews.com/index.php/weblog/comments/18009/(linux)(apple)

Umorismo involontario
L'approccio microsoft alla sicurezza ?Tutti lo possono giudicare, sia dalle super infestazioni di worms (i citati Nimda,codered ecc),dalle vulnerabilitá infinite di internet explorer e dalla diffusione delle botnet, reti di milioni di zombie, minaccia primaria alla sicurezza di internet per cui dobbiamo ringraziare microsoft e la sua "sicurezza" !Ed adesso si permettono anche di comprare spazio online per vantarsi del loro "approccio" alla sicurezza, rotfl!Dobbiamo ringraziare i molti server unix ed apache che tirano la carretta e tengono insieme internet, facendo funzionare quello che, abbandonato ai sysdamin punta e clicca sarebbe davvero una porcata instabile ed ingestibile.