La Cina infrange le olimpiche promesse

Umorismo involontario
L'approccio microsoft alla sicurezza ?Tutti lo possono giudicare, sia dalle super infestazioni di worms (i citati Nimda,codered ecc),dalle vulnerabilitá infinite di internet explorer e dalla diffusione delle botnet, reti di milioni di zombie, minaccia primaria alla sicurezza di internet per cui dobbiamo ringraziare microsoft e la sua "sicurezza" !Ed adesso si permettono anche di comprare spazio online per vantarsi del loro "approccio" alla sicurezza, rotfl!Dobbiamo ringraziare i molti server unix ed apache che tirano la carretta e tengono insieme internet, facendo funzionare quello che, abbandonato ai sysdamin punta e clicca sarebbe davvero una porcata instabile ed ingestibile.

Re: Umorismo involontario
Affermazioni di Microsoft."Siamo i più diffusi quindi i più attaccati"Mania di grandezza?"I virus writer odiano Microsoft"Mania di persecuzione?"Windows Vista è un ottimo prodotto"Allucinazioni?"Requisiti minimi Windows Vista * Processore: 800 MHz * Ram: 512 MB"Delirio?Non è che sono affetti da disturbi psichici? Schizofrenia?

Re: Umorismo involontario
No, marketing. (ghost)

Re: Umorismo involontario
- Scritto da: gnubit> Affermazioni di Microsoft.> "Requisiti minimi Windows Vista> * Processore: 800 MHz> * Ram: 512 MB"> Delirio?poi per fare quello che si faceva tranquillamente con windows 3.1 e 486 !> Non è che sono affetti da disturbi psichici?> Schizofrenia?delirio

Re: Umorismo involontario
- Scritto da: Undertaker> > Dobbiamo ringraziare i molti server unix ed> apache che tirano la carretta e tengono insieme> internethttp://secunia.com/product/17543/http://secunia.com/product/9633/

Re: Umorismo involontario
Considerando che IIS 7.0 avrà ancora uno 0,01% di installato..... Forse non sai che è montato su Windows 2008 Server che è uscito da pochi mesi

Re: Umorismo involontario
> Dobbiamo ringraziare i molti server unix ed> apache quindi dobbiamo ringraziare MS, main sponsor di apacheche tirano la carretta e tengono insieme> internet, facendo funzionare quello che,> abbandonato ai sysdamin punta e clicca sarebbe> davvero una porcata instabile ed> ingestibile.

Re: Umorismo involontario
- Scritto da: Gold Partner> quindi dobbiamo ringraziare MS, main sponsor di> apache> ah capirai MS offre 100.000 dollari l'anno e da 3 giorni e adesso si prende pure tutti i meritipensassero a fare un OS degno di tale nome

Re: Umorismo involontario
- Scritto da: pabloski> pensassero a fare un OS degno di tale nomeIn Italiano si dice: "CHE PENSINO a fare"...

Re: Umorismo involontario
già da, uhmm, quanto tempo? meno di una settimana? (rotfl)apache invece da quanto esiste? ops, 13 anni?bella trollata come al solito sei il migliore!

Falsi i numeri di Vista
http://apcmag.com/xp_still_killing_vista_in_sales_volume_hp.htm"So, in other words, Microsoft counts a sale for Vista, even though the computer manufacturer has really sold XP"insomma.... come prenderci tutti allegramente per il ( ).( )(linux)(apple)

Re: Falsi i numeri di Vista
- Scritto da: FinalCut> http://apcmag.com/xp_still_killing_vista_in_sales_> > "So, in other words, Microsoft counts a sale for> Vista, even though the computer manufacturer has> really sold> XP"> > insomma.... come prenderci tutti allegramente per> il ( ).(> )> > (linux)(apple)Però mi pare che chi non vuole vista, non sceglie linux ma ancora un OS microsoft (XP), o perlomeno la stragrande maggioranza. Quindi tutte queste critiche a microsoft sono un mezzo buco nell'acqua non vi pare?

Re: Falsi i numeri di Vista
Se leggi il contenuto del link postato da Final Cut, avresti risposto in maniera diversa, oltre tutto ne abbiamo parlato anche ieri, Microsoft ha contato come licenze Vista, licenze Xp, cosa centra Linux?Invece di pensare a Linux pensa che adesso non basta nemmeno il preintallato a Microsoft, devono pure gonfiare i numeri delle vendite.-----------------------------------------------------------Modificato dall' autore il 31 luglio 2008 09.40-----------------------------------------------------------

Re: Falsi i numeri di Vista
Si mi sa che ho quotato il post sbagliato per dire quello che volevo dire, che comunque resta valido :)

Re: Falsi i numeri di Vista
Mi sembra che anche quotate Aziende Finanziarie di Milano stiano per rispedire al mittente Linux dopo averlo strapubblicizzato.. Linux o MS è solo una visione politica del mondo informatico.. a chi fa comodo?

Re: Falsi i numeri di Vista
Mi sembra?? E un link o due a supporto di tale roboante affermazione?

Re: Falsi i numeri di Vista
Mo me lo segno...

Re: Falsi i numeri di Vista
- Scritto da: Zolla> Mi sembra che anche quotate Aziende Finanziarie> di Milano stiano per rispedire al mittente Linux> dopo averlo strapubblicizzato.. Linux o MS è solo> una visione politica del mondo informatico.. a> chi fa> comodo?questo non penso sia tanto vero, visto che colossi come Peugeot-Citroen hanno comprato 150.000 PC SuSE e di certo non sono tornati indietro, anche perchè tornare indietro dopo aver speso soldi per comprare macchine, sistemi e addestramento per il personale non è proprio intelligenteun'azienda se decide di passare a Linux lo fa dopo aver compiuto estesi studi di fattibilità....insomma loro valutano molto prima se conviene o meno passare a Linux, se non conviene lasciano perdere, ma se ci passano stai sicuro che sanno bene quel che stanno facendo

Re: Falsi i numeri di Vista
- Scritto da: braincrash. it> - Scritto da: FinalCut> >> http://apcmag.com/xp_still_killing_vista_in_sales_> > > > "So, in other words, Microsoft counts a sale for> > Vista, even though the computer manufacturer has> > really sold> > XP"> > > > insomma.... come prenderci tutti allegramente> per> > il ( ).(> > )> > > > (linux)(apple)> > Però mi pare che chi non vuole vista, non sceglie> linux ma ancora un OS microsoft (XP), o perlomeno> la stragrande maggioranza. Quindi tutte queste> critiche a microsoft sono un mezzo buco> nell'acqua non vi> pare?Ma è ovvio che non c'entra nulla. E' sono che noi linuxari abbiamo l'obbligo per motivi religiosi di parlare male di (scusa il termine) Microsoft e (pardon) Windows.(linux)

Re: Falsi i numeri di Vista
- Scritto da: braincrash. it> Però mi pare che chi non vuole vista, non sceglie> linux ma ancora un OS microsoft (XP), o perlomeno> la stragrande maggioranza.Tra un pò che scelte faranno, quando XP sarà definitivamente tolto dagli scaffali?Purtroppo e ripeto *purtroppo* la stragrande maggioranza passerà a Vi$ta per 2 motivi:1- Te lo trovi già installato sui PC/notebook2- Anche volendo fare il downgrade a XP, specie sui portatili (ad esempio i Vaio), mancano i driver... e qui colgo l'occasione per fare notare, a quanti dicono che su Linux mancano i driver, che su Winzozz la situazione non è molto diversa.Discorso a parte per le aziene che finchè potranno resteranno su XP per non dover cambiare il parco macchine e aggiornare i software non compatibili.

Re: Falsi i numeri di Vista
Sei OT

Windows Vista adoption weakens...
Questa è ancora meglio...Survey: Windows Vista adoption weakens as IT pros eye Mac (and Linux)http://macdailynews.com/index.php/weblog/comments/18009/(linux)(apple)

Re: Windows Vista adoption weakens...
Direi un sito non di parte....

Re: Windows Vista adoption weakens...
- Scritto da: roccaforte> Direi un sito non di parte....Che però si limita a riportare solo la notizia, il sondaggio lo hanno fatto altri e le fonti sono ben citate e documentate a fondo pagina....Commentino molto ingenuo.... andiamo sù... un po più di impegno se volete screditare la concorrenza dovete impegnarvi di più-(linux)(apple)

Re: Windows Vista adoption weakens...
- Scritto da: FinalCut> un po> più di impegno se volete screditare la> concorrenza dovete impegnarvi di> piùBeh, dovreste far scuola voi di Apple, che in questo siete dei maestri...

Re: Windows Vista adoption weakens...
Chiedo scusa, da un link fornito suhttp://macdailynews.com/index.php/weblog/comments/18009e più precisamente il link al documento pdf ( http://www.kace.com/pdf/AR-King-Vista-Survey-2.pdf ), in relazione alla figura F leggo:"The alternate operating systems varied little between the two surveys, with Macintosh continuing to be the most likely operatingsystem to be deployed in place of Vista at 29% (compared to 28% in 2007). See Figure F."Ora, se io guardo la figura F effettivamente Macintosh è al 29%, però vedo anche un RedHat al 24%, un Ubuntu al 21%, un Suse al 15% (in calo :s) e un other Linux al 7% (in calo :s)...ma tutti questi, non sono Sistemi Linux? Non dovrebbe essere quindi il "Most likely Operating System to Deploy in Place of Vista", voglio dire, se avessero fatto le statistiche considerando Linux e non le varie distro...Mi sbaglio? Lungi da me fare polemica, ma mi sembra un pò sfalsata come statistica....

Re: Windows Vista adoption weakens...
Si ma io ho appena comprato un pc HP con Freedos.Che significa quando i più antichi produttori di hardware iniziano a snobbare i tuoi prodotti?

Re: Windows Vista adoption weakens...
- Scritto da: gnubit> Si ma io ho appena comprato un pc HP con Freedos.> > Che significa quando i più antichi produttori di> hardware iniziano a snobbare i tuoi> prodotti?che magari non vogliono perdere clienti solo perchè tu vendi prodotti che fanno schifoè come quando McDonalds abbandona un fornitore perchè vende carne avariata, Vista è la carne avariata dell'IT

Re: Windows Vista adoption weakens...
Hehe, se M$ invece di spendere quei 300 milioni di dollari in pubblicità li spendesse in Ricerca e Sviluppo farebbe del bene a se stessa e ai suoi utenti... Va beh, così gira il mondo...

Re: Windows Vista adoption weakens...
Certo e se lo dice quel sito allora e' vero, ve le scrivete e ve le credete pure

Microsoft = Bug
ogni altra parola è superflua !

Save private Ballmer!!!
I soccorsi a MS fervono!Bisogna tamponare i danni a Vista!Tutti ai posti di combattimento!Licenze e permessi revocati!(cylon)

DISGUSTOSO!!! (parte 1)
Non me ne voglia il Sig. Intini ma personalmente trovo la sua nota disgustosa , nella forma e nella sostanza.*** La forma ***Tutto molto (troppo) garbato, ma con una furbizia dialettica alta e costante, che mira a screditare con l'uso di una tecnica subdola fatta di volgari colpi bassi e di ipocrita ironia. Vabbè... sono cose che succedono quando si usano in modo distorto cose come la PNL...Qualche esempio. Si inizia con "fare un incredibile salto indietro nel tempo" per poi subito aggiungere che certo, non stiamo parlando di decenni, ma si sa, nel mondo dell'informatica sei anni sono quasi un'eternità ...proprio un simpaticone... Si parla poi a lungo della storia Microsoft dal 2002 in poi... ed è un mondo meraviglioso e magico... fatto di adozione delle migliori security best practice (ohhh, meraviglia!), dove Microsoft concepisce, progetta, sviluppa e verifica la qualità dei propri prodotti e servizi, un processo ampiamente documentato in modo da essere liberamente adottabile e riutilizzabile da chiunque intenda ottimizzare lo sviluppo di codice dal punto di vista degli aspetti di sicurezza (ooooh, Microsoft che condivide qualcosa di sua spontanea volontà? magia!), e così via...Si fa ampio uso di domande retoriche in forma ipotetica e negativa, per indurre subdolamente (PNL!) l'inconscio del lettore ad assumere come assolutamente valida in sè l'affermazione che è implicita nella domanda retorica...Ad esempio, leggendo: la recente iniziativa oCERT non è forse conferma di uno dei punti di debolezza indirizzati da Fortify? il nostro inconscio è portato ad assumere come assolutamente valida la frase: la recente iniziativa oCERT ha sicuramente confermato uno dei punti di debolezza indirizzati da Fortify. subdolo...Si usano termini, generalizzazioni e altri mezzucci per attirare il lettore verso la parte di chi scrive... Ecco l'esempio: Mi auguro che queste mie considerazioni possano facilitare una nuova modalità di confronto competitivo, più costruttiva e più efficace nel contribuire ai progressi nel campo della sicurezza IT che tutti ci aspettiamo. facilitare, costruttivo, efficace: induce nel lettore la convinzione che chi scrive usando queste belle parole positive sicuramente non sta mentendo... tutti ci aspettiamo... ma tutti chi? boh... non si sa... l'importante che il lettore non si senta solo ma stia dentro questo "tutti" accomunato con tanti altri insieme a chi scrive...(segue)

Re: DISGUSTOSO!!! (parte 1)
Ah si... che scopata mi sono fatto ieri sera!

DISGUSTOSO!!! (parte 2)
(seguito della parte 1)*** La sostanza ***Fatti pochi e nulla... Tante statistiche, studi, auto-citazioni e auto-referenziazioni, l'apprezzamento del mercato (sic!)...Argomenti veri, solidi e concreti, pochini direi... in compenso però qualche "lieve" ribaltamento della realtà e del senso delle parole...Andiamo con ordine, seguendo il testo.Dei fatti e dei "problemini" di sicurezza di Microsoft intorno e successivamente al 2002, riportati nel commento di A. Bottoni, non resta nulla... non se ne parla... ma d'altra parte si sa, nel mondo dell'informatica sei anni sono quasi un'eternità ... e l'argomento è simpaticamente liquidato... altro che argomentazioni solide e circostanziate!Segue il lungo racconto auto-referenziale degli anni Microsoft dal 2002 in poi... il mondo magico di cui si è già detto prima... l'aneddoto sulla formazione di massa agli 8000 sviluppatori sulle best practice di scrittura di codice sicuro ...Tutto questo per arrivare a dire che: La storia di questi anni ha già avuto modo di confermare la validità di quella svolta e dell'impegno investito su questo tema, sia dal punto di vista quantitativo che qualitativo. Belle parole... peccato che non siano accompagnate da dati e fatti concreti...Ecco perché non mi sembra tanto strano se, a ma come a molti, sembra invece che la storia di questi anni confermi esattamente il contrario... Le statistiche che mostrano una evidente riduzione delle vulnerabilità, sia nel confronto interno di versione in versione che nel confronto competitivo, sono davvero significative. Belle parole anche queste... con qualche dato in più (magari qualche analisi comparata) sarebbero forse potute essere più convincenti... L'apprezzamento del mercato per la validità e l'efficacia del processo SDL è diventato unanime ah beh... scusate! se c'è l'apprezzamento unanime del mercato allora dati e fatti non servono!...come se il "mercato" comprasse (apprezzasse) solo sulla base della qualità tecnica piuttosto che per questioni legate ad accordi commerciali (cartelli), regimi monopolistici, strategie di marketing, affossamento di ogni concorrenza con cause legali, abuso della brevettazione, e via dicendo...ma mi/ci si vuole proprio prendere in giro?Ed ecco una vera perla: Sarebbe quindi auspicabile riconoscere la validità delle considerazioni conclusive che appaiono essere il giusto pungolo a non dare per scontato che ci siano davvero software intrinsecamente sicuri: nessun sistema è invulnerabile cosa questa già più volte detta da A. Bottoni nel suo articolo: lo ha letto? di che ci sta parlando Sig. Intini? e il mancato utilizzo delle security best practice di cui detto aumenta esponenzialmente nel tempo il rischio di essere facilmente oggetto di attacchi in grado di andare a buon fine ed arrecare un danno serio. si lo sappiamo, non siamo del tutto deficienti, peraltro mi pare che anche queste cose, prima di lei, ce le ha recentemente ricordate A. Bottoni...ancora una volta, di che ci sta parlando Sig. Intini?mi permetta ma sembra proprio che stia ripetendo a memoria una lezioncina o una storiella... come fosse una poesia che (nonostante la formazione e le best practice aziandali che oramai saranno consolidatissime) proprio non vuole entrare nella testa dei programmatori Microsoft...E subito dopo eccone un'altra: L'avanzamento della sicurezza delle realtà IT e di Internet passa necessariamente [...] dall'incremento di confronto e collaborazione reciproca [...], e dall'interoperabilità delle diverse piattaforme eterogenee. Benissimo! Allora gradirei, come primo segno tangibile di buona volontà, che domani Microsoft rendesse disponibili a tutti, gratuitamente e senza alcuna limitazione, con una licenza che so GNU/FDL o equivalente, le specifiche integrali e di dettaglio dell'implementazione di Active Directory su Windows Server 2003, del protocollo Kerberos e di LDAP.Si? Dubito... ma ne sarei davvero colpito!No? Allora, per favore, eviti di venire qui ad offerndermi/ci parlando di confronto, collaborazione, interoperabilità delle diverse piattaforme!!!Per concludere, abbondantemente disgustato, saluto tutti (facendo mie le sue parole, ma non mi citi per violazione di copyright), augurandomi che queste mie considerazioni possano facilitare una nuova modalità di confronto competitivo, più costruttiva e più efficace nel contribuire ai progressi nel campo della sicurezza IT che tutti ci aspettiamo.

Re: DISGUSTOSO!!! (parte 2)
Bella analisi, condivido in pieno.

Re: DISGUSTOSO!!! (parte 2)
Io mi ero fermato al titolo (dell' articolo)...

Re: DISGUSTOSO!!! (parte 2)
Ottima analisiComplimenti(ovviamente il commento del lettore)

Re: DISGUSTOSO!!! (parte 2)
Si ma il processo di MS era iniziato nel 2002 ... solo 6 anni per pubblicar specifiche dopo le varie multe raccatate dall'antitrust non mi sembra un atto così volontario da parte di MS.

Re: DISGUSTOSO!!! (parte 2)
- Scritto da: abassign> Si ma il processo di MS era iniziato nel 2002 ...> solo 6 anni per pubblicar specifiche dopo le> varie multe raccatate dall'antitrust non mi> sembra un atto così volontario da parte di> MS.OK, ma è stato fatto. Ed è questo che contaE comunque quello informatico è l'unico campo in cui succede una cosa del genere: la Ferrari non si sognerebbe mai di rilasciare i suoi progetti motoristici o di telaio...

Re: DISGUSTOSO!!! (parte 2)
È stato fatto in quanto obbligati dai sistemi di controllo sovranazionali, ricordati che il problema è lo status di assoluta predominanza di mercato che sta godendo MS in questomomento.Perché fosse fatto sono stati necessari circa dieci anni ... dieci anni per l'informatica sono un po' tanti vero ... ?Perciò il problema mi sembra molto più vasto ... è lo stesso che inizia ad affliggere Skype con le sue backdoor e tanto altro ancora, Intel etc... in informatica si creano facilmente situazioni di predominanza di mercato, causate dalle peculiarità stesse della tecnologia e dalla elevatissima rapidità di espansione, questo è un problema enorme che si sta amplificando.Perfavore non si superficiale ... non siate superficiali ...

Re: DISGUSTOSO!!! (parte 2)
Forse perché nell'informatica l'interoperabilità è più importante che in altri settori.Comunque anche nell'automobilismo ce n'è più di quanta non si possa pensare. un esempio banale: la Ferrari non si sognerebbe mai di fare l'apertura del serbatoio quadrata invece che rotonda, in modo che si possa far benzina solo alle pompe Ferrari... Invece il serbatoio Ferrari è interoperabile con pompe di ogni marca che a loro volta sono interoperabili con auto di tutti i costruttori. La MS invece voleva tenere tutto chiuso e sotto il suo controllo. Da qui le multe e la tardiva pubblicazione delle specifiche, che più volte non sono state ritenute sufficienti, da cui altre multe.

Re: DISGUSTOSO!!! (parte 2)
- Scritto da: AMEN> - Scritto da: abassign> > Si ma il processo di MS era iniziato nel 2002> ...> > solo 6 anni per pubblicar specifiche dopo le> > varie multe raccatate dall'antitrust non mi> > sembra un atto così volontario da parte di> > MS.> > OK, ma è stato fatto. Ed è questo che conta> E comunque quello informatico è l'unico campo in> cui succede una cosa del genere: la Ferrari non> si sognerebbe mai di rilasciare i suoi progetti> motoristici o di> telaio...strano sembrerebbe che il tempo sia "variabile"...nell'articolo sei anni fa sono " un incredibile salto indietro nel tempo "e adesso invece sei anni per pubblicare delle specifiche (con l'antitrust alle calcagna) sono diventati una bazzecola...proprio strano

Re: DISGUSTOSO!!! (parte 2)
Io non sono stato cosi' approfondito nell'analisi,complimenti per l'acume! :-)Pero'...ti sei dimenticato la bellissima frase dawanna marchi:> Questa è la Microsoft di oggi, una fabbrica di software> e servizi impegnata a 360 gradi nella tenace ambizione> di realizzare, proprio grazie ad essi, il pieno> potenziale delle persone.Poi sull'interoperabilita' gli hai risposto benissimo,dicono sempre e solo buzzword poi pero' chi ci lavoradavvero si rende conto benissimo di come stanno davverole cose, anche per quanto riguarda la sicurezza...molto piu' curata nel mondo Unix/Unix-like, forse ancheper un fatto culturale rispetto alla mentalita'(a cui MS ha abbondantemente contribuito)di chi ci lavora oltre che non solo per la qualita'del codice.E comunque vorrei dire che la sicurezza costa, e spessoi veri responsabili del fatto che sia spesso trascuratasono le configurazioni punta e clicca...

Re: DISGUSTOSO!!! (parte 2)
Quoto, è proprio disgustoso come certa gente abbia nella propria vita come unico credo "io odio Microsoft".

Re: DISGUSTOSO!!! (parte 2)
- Scritto da: Linaro> Quoto, è proprio disgustoso come certa gente> abbia nella propria vita come unico credo "io> odio Microsoft".su questo ti quoto subito!qualche nome di appartenenti al gruppo "certa gente"?

Re: DISGUSTOSO!!! (parte 2)
- Scritto da: Linaro> Quoto, è proprio disgustoso come certa gente> abbia nella propria vita come unico credo "io> odio> Microsoft".chissa' perche', magari sono solo fanatici, o magari sono solo contro i fanatici ... (ironia ironica e non fine a se stessa)

Ma quando la patchate questa falla?
http://secunia.com/advisories/30883/ma le falla gravi non andrebbero patchate subito? questa è pubblica dal 7 Luglio.

Re: Ma quando la patchate questa falla?
- Scritto da: W.I.N> http://secunia.com/advisories/30883/> ma le falla gravi non andrebbero patchate subito?> questa è pubblica dal 7> Luglio.office 2007 non è affetto

Re: Ma quando la patchate questa falla?
quindi Microsoft non risolve la falla perchè la gente deve passare ad Office 2007? Quindi a breve non correggeranno nemmeno le falle di Xp perchè dobbiamo passare A Vista? A se è così passo ad OpenOffice e Ubuntu, almeno non devo ne pagare ne passare ad'altro, per vedere le falle risolte.

Re: Ma quando la patchate questa falla?
- Scritto da: W.I.N> Quindi a> breve non correggeranno nemmeno le falle di Xp> perchè dobbiamo passare A Vista? Si chiama Lifecicle. Ovvio che non correggono falle di windows 95....E lo fanno anche quelli di Linux

Re: Ma quando la patchate questa falla?
- Scritto da: W.I.N> quindi Microsoft non risolve la falla perchè la> gente deve passare ad Office 2007? Quindi a> breve non correggeranno nemmeno le falle di Xp> perchè dobbiamo passare A Vista? Sì. Si chiama sofftware lifecycle. http://www.microsoft.com/lifecycle . Non crederai mica che oggi FIAT ti venda ancora ricambi per la 128, vero?A se è così> passo ad OpenOffice e Ubuntu, almeno non devo ne> pagare ne passare ad'altro, per vedere le falle> risolte.Eh, certo. Quelli sì che ti garantiscono il supporto! Per anni.

Re: Ma quando la patchate questa falla?
Office 2003 è ancora nel suo life cycle....

Re: Ma quando la patchate questa falla?
La cosa non mi tocca... come suite uso openoffice, per i programmini che faccio uno SQLite

Re: Ma quando la patchate questa falla?
Cavolo è anche Extremely critical...almeno un pò di rispetto verso chi ha pagato....

Sicurezza e collaborazione
Ognuno fa la sua parte va bene. Io faccio la mia, il tecnologicamente curioso.Dato che dal 2002 c'e' tutta questa attenzione perche' abbiamo ancora un IE7 con supporto Activex? Tanto per fare un esempio.Sono certo che MS non si metta d'impegno per scrivere codice da schifo e faccia del suo meglio ma con la potenza di fuoco che ha e con i soldi che chiede in licenze potrebbe fare certamente di piu'. Forse non ci riesce perche' ha la condanna della compatibilita' all'indietro, chiamiamola Karma se vogliamo: in passato ha scritto vagonate di codice con piu' di un problema e oggi si trova ancora a farci i conti. Anzi. Per risolvere quei problemi scrive ancora piu' codice e dato che il codice ha buchi ... piu' codice, piu' buchi e qualcuno di questi inevitabilmente (non tutti) crea falle di sicurezza.Il mondo open offre vasta e larga collaborazione, avete tutto il codice, potete capire esattamente cosa viene fatto e come viene fatto. Al di la' delle parole si gradirebbe altrettanto da parte vostra.Per collaborare occorre conoscere, se voi non permettete di conoscere o lo fate in maniera solo parziale la vostra resta una affermazione di principio che lascia il tempo che trova.Voglio essere ulteriormente collaborivo e propositivo, siete cosi' sicuri del vostro impegno e dei suoi risultati, bene assumetevene la responsabilità, cambiate le vostre EULA e scriveteci: nel caso si riscontrino errori del sistema operativo che permettano ad un attaccante di prendere il controllo totale o parziale della macchina e a prelevarne dati il cliente ha diritto a richiedere un corrispettivo pari a 3 volte il costo della licenza pagata (e non c'e' da lamentarsi troppo, ieri ho impiegato tutta la giornata a risolvere un problema di autenticazione con un vostro sistema e non ne sono venuto a capo, perso nei meandri del registry e delle policy, e poi qualcuno dice che la /etc e la maniera di mettere i file di configurazione dei sistemi open e' complicato, di tutto questo, per il momento, non chiedo rimborso). Sareste molto piu' credibili no? Se mancate di farlo e' chiara testimonianza che al di la' delle belle parole, dichiarazioni, ragionamenti, voi siete i primi a non fidarvi di voi stessi e a sapere che, con il vostro software prima o dopo, a tutti (o alla maggior parte), un patatrack capitera'.Cordialmente.

Re: Sicurezza e collaborazione
- Scritto da: ManyChoices> piu'. Forse non ci riesce perche' ha la condanna> della compatibilita' all'indietro, chiamiamola> Karma se vogliamo: in passato ha scritto vagonate> di codice con piu' di un problema e oggi si trova> ancora a farci i conti. Anzi. Per risolvere quei> problemi scrive ancora piu' codice e dato che il> codice ha buchi ... piu' codice, piu' buchi e> qualcuno di questi inevitabilmente (non tutti)> crea falle di> sicurezza.Nope.IMHO, a conti fatti, hanno visto che il costo di rincorrere le vulnerabilita' passate era superiore a quello necessario per riscrivere tutto da zero ed hanno dato un taglio con il passato, mettendo in cantiere vista. Cio' ha comportato ovvi scompensi, tipo quello dei driver.Ad un seminario ho assistito alla dimostrazione di un exploit che consentiva di prendere possesso globaletotale di una macchina con msvista, ma non a causa di una vulnerabilita' del so, bensi' di quella di un sw di terze parti installatovi.La conclusione del relatore e' stata tipo "se il sw fosse stato compilato con questo e quel flag, questo exploit non avrebbe funzionato. Se tutti i sw fossero compilati secondo le specifiche di sicurezza ms, le cose si farebbero parecchio difficili. Difficili, ma non impossibili."In un certo senso ha ragione apple con la sua piattaforma per ipod, che accetta solo sw tramite i suoi canali e solo dopo certificazione.CYA

Re: Sicurezza e collaborazione
- Scritto da: z f k> - Scritto da: ManyChoices> > > piu'. Forse non ci riesce perche' ha la condanna> > della compatibilita' all'indietro, > Nope.> IMHO, a conti fatti, hanno visto che il costo di> rincorrere le vulnerabilita' passate era> superiore a quello necessario per riscrivere> tutto da zero ed hanno dato un taglio con il> passato, mettendo in cantiere vista.> Il fatto che il vecchio software funzioni anche con Vista a mio parere dimostra che Vista condivida parecchie parti di codice con i suoi predecessori, mi sembrerebbe strano fosse stata una riscrittura da zero. Se avessero riscritto completamente il tutto le rogne di compatibilita' (comunque tante), sarebbero state infinite. Vista per essere solo un SO (che non fa praticamene una cicca o quasi dato che gli applicativi di default sono molto limitati) ha un codice enorme, che cavolo c'e' dentro? Secondo me recupera parecchio del passato. Posso sbagliarmi, ma ho questa netta impressione. > Cio' ha comportato ovvi scompensi, tipo quello> dei> driver.> Come dicevo sopra solo parzialmente, ergo ribadisco che secondo me hanno recuperato parecchio.> Ad un seminario ho assistito alla dimostrazione> di un exploit che consentiva di prendere possesso> globaletotale di una macchina con msvista, ma non> a causa di una vulnerabilita' del so, bensi' di> quella di un sw di terze parti> installatovi.Certo è noto che nel famoso contest (non solo al tuo seminario) hanno bucato Vista attraverso software di terze parti. Comunque ribadisco il concetto del mio post, se chiedono collaborazione da parte del mondo open ce l'hanno tutta, non ne offrono pero' altrettanta impossibilitati dalla loro filosofia di sviluppo assolutamente closed (anche se piano piano e ancora piano si stanno convertendo e qualche minima apertura c'e', segno che il movimento open un po' di ragioni -e vantaggi come concetto di sviluppo- ce li ha), inoltre se sono tanto sicuri di come lavorano perhe' invece che a parole non lo dicono in euro e al primo buco di sicurezza non patchato che riguardi software prodotto da loro non mettono mani al portafoglio?

Re: Sicurezza e collaborazione
- Scritto da: z f k> - Scritto da: ManyChoices> > Ad un seminario ho assistito alla dimostrazione> di un exploit che consentiva di prendere possesso> globaletotale di una macchina con msvista, ma non> a causa di una vulnerabilita' del so, bensi' di> quella di un sw di terze parti> installatovi.> La conclusione del relatore e' stata tipo "se il> sw fosse stato compilato con questo e quel flag,> questo exploit non avrebbe funzionato. Se tutti i> sw fossero compilati secondo le specifiche di> sicurezza ms, le cose si farebbero parecchio> difficili. Difficili, ma non> impossibili."Credo che il relatore andrebbe cacciato solo per aver pensato una cosa del genere. In pratica si compiace che la sua azienda abbia affidato la sicurezza dell'OS alla capacità degli sviluppatori indipendenti. Tra l'altro se di professione scrivo trojan mi guarderò bene dal compilare secondo le specifiche MS, farò invece proprio il contrario così quando il mio sw gira sul tuo Vista ti infilo dentro un bel rootkit.In altre parole: vendono un OS che per design va in giro con le braghe calate per posti dove tutti cercano di... ci siamo capiti?

Re: Sicurezza e collaborazione
peccato però che poi le peggiori vaccate le facciano proprio loro http://securityvulns.com/news/Microsoft/Vista/ProtectedProce.html

Re: Sicurezza e collaborazione
quoto

IT Security
Augh,microsfot non ha la più pallida idea del significato della parola "security" in ambito IT.Lo dimostrano, incontrovertibilmente, le loro RELEASES: hanno SEMPRE dei bugs....hanno SEMPRE bisogno di PATCHES.Non è vero che la SECURITY, in ambito IT, non esiste: esiste e non lo si vuole divulgare.Del resto, mica vogliamo mettere "alla portata di tutti" i dati conservati dalle Forze Armate, Servizi Segreti, Industrie Strategiche, ecc., ecc.???microsfot, pensando alla "security" ha vomitato VISTA.... ecco che cosa sono capaci di fare con la "security"!Ho parlatoNilok

Re: IT Security
microsoft e' "sicurty" di mettersi i soldi in tasca ti tutte le licenze oem che ti costringe a comprare...."Amo windows $vista"

Re: IT Security
- Scritto da: Nilok> Augh,> > microsfot non ha la più pallida idea del> significato della parola "security" in ambito> IT.Ce l'ha, ce l'ha. Un po' distorto ma ce l'ha.Da loro "security" e' sinonimo di DRM.

Re: IT Security
- Scritto da: Nilok> Augh,> > microsfot non ha la più pallida idea del> significato della parola "security" in ambito> IT.Veramente ce l'ha. Microsoft rilascia molti ottimi prodotti e altri no, come tutte le aziende. Onestamente mi pare che solo perchè si chiami MS .. vedete tutto quello che fa in modo negativo.> Lo dimostrano, incontrovertibilmente, le loro> RELEASES: hanno SEMPRE dei bugs....hanno SEMPRE> bisogno di> PATCHES.Tutti i software hanno bisogno di aggiornamenti e correzioni. E' il normale ciclo di vita di un software.> Non è vero che la SECURITY, in ambito IT, non> esiste: esiste e non lo si vuole> divulgare.Questa frase non ha senso. Che vuol dire divulgare la Security? > Del resto, mica vogliamo mettere "alla portata di> tutti" i dati conservati dalle Forze Armate,> Servizi Segreti, Industrie Strategiche, ecc.,> ecc.???> > microsfot, pensando alla "security" ha vomitato> VISTA.... ecco che cosa sono capaci di fare con> la> "security"!vista migliora rispetto a xp da questo punto di vista (scusate il gioco di parole). Puo' non piacere per molti altri aspetti ma ha fatto buoni passi avanti.> Ho parlato> Nilokquesta tua conclusione (che peraltro usi sempre), scusa se te lo dico ma è piuttosto ridicola.

Re: IT Security
In realtà dici solo un mare di fesserie !!!!!Il concetto di security, inteso come tecniche di programmazione adatte ad evitare bug (stack overflow,heap, integer overflow, format string, xss, sql injection, timing attack, ecc... ecc...) è conosciutissimo invece dalla maggior parte dei programmatori !Bisogna comunque considerare 2 cose :- L'essere umano : char str2[10]; strcpy (str2,"012345678910");OPS :D- Necessità aziendali di produrre velocemente e a basso costo !Esistono tecniche per evitare i più comuni errori di programmazione come Coverity Inc. ha dimostrato nelle sue analisi, come l'analisi statica e a runtime dei software, ma spesso in azienda non si ha la possibilità di perdere mesi per questi test !Esistono anche tecniche per evitare che programmi vulnerabili facciano in realtà danni e possano essere sfruttati dai cracker con tecniche del tipo W^X o del "Canarino", ma non lo si fa perchè si avrebbe una diminuzione delle performance del 5 % !!!!!Comprenderete quanto sia assurdo parlare di sicurezza quando parliamo di linguaggi come il C o il C++ ad esempio che rende si una grossa malleabilità ... (ma ad un grosso potere corrisponde una grande responsabilità).Sapete cosa si usano negli aerei, nelle torri di controllo o nelle centrali nucleari ? ADA !!!!!Imparate a programmare in ADA e non rompete le pelotas :D

wanna
> Questa è la Microsoft di oggi, una fabbrica di software> e servizi impegnata a 360 gradi nella tenace ambizione> di realizzare, proprio grazie ad essi, il pieno> potenziale delle persone.Questa frase da wanna marchi poteva risparmiarsela

Re: wanna
Non entro nello specifico ma apprezzo il fatto che Microsoft parli così apertamente visto che quasi nessuno lofa...PS per testoni: NON sto difendendo quello che ha detto ma il fatto che lo abbia fatto.

Re: wanna
- Scritto da: Uhura> Non entro nello specifico ma apprezzo il fatto> che Microsoft parli così apertamente visto che> quasi nessuno> lofa...> > PS per testoni: NON sto difendendo quello che ha> detto ma il fatto che lo abbia> fatto.Il "cosi' apertamente" questa lettera come se lo sarebbemeritato secondo te?Quali sono "gli altri" che non lo fanno?Siamo ai punti di dover essere contenti perche'MS si degna di dialogare???Scusa, allora c'e' qualcosa che non va' perche' secondome dovrebbe essere la regola e dovrebbe convenire anchea MS stessa.

Re: wanna
> Quali sono "gli altri" che non lo fanno?Il primo che mi viene in mente è Google> Siamo ai punti di dover essere contenti perche'> MS si degna di dialogare???E' già qualcosa, io ogni tanto vado pure sui loro blog perchè è utile sapere cosa pensa il nemico :D>dovrebbe essere la regola Non lo è proprio, anzi è proprio una eccezione.

Re: wanna
- Scritto da: wanna> > Questa è la Microsoft di oggi, una fabbrica di> software> > e servizi impegnata a 360 gradi nella tenace> ambizione> > di realizzare, proprio grazie ad essi, il pieno> > potenziale delle persone.> > Questa frase da wanna marchi poteva risparmiarselae dai poverino...ci ha tanto studiato sopra... e poi lo pagano apposta per questo... mica lo vogliamo mettere in mezzo a una strada!?

la vera verità sulla sicurezza
la sicurezza non esiste, è soltanto un sentimento, un feeling di ognuno di noi.i software di microsoft SONO SICURI, punto e basta. Ovviamente tutto il "buzz" che i sitarelli open gli fanno contro spingono le persone a piangere in cinese contro microsoft, ma la vera verità è una soltanto: i software microsoft SONO SICURI by design, PUNTO E BASTA!!!se sostenete il contrario, fornite delle PROVE CONCRETE: l'onere della prova spetta SEMPRE all'accusa, no???

Re: la vera verità sulla sicurezza
- Scritto da: Ballmer> ...fornite delle PROVE CONCRETE...Occhio, che ho sentito gente parlare ancora di nimda qualche post più su...:)

Re: la vera verità sulla sicurezza
Una prova conreta?Allora mi devo dilungare per fare in modo che anche chi non mastica certi termini riesca a capire.Per molto tempo Microsoft ha distribuito (e lo fa ancora) i suoi sistemi con un client di posta (Outlook Express ora Windows Mail) con preimpostata l'anteprima delle email.Stesso dicasi per Microsoft Office Outlook.Per anni alcuni hanno sostenuto che tale pratica poteva aprire le porte ad un malinenzionato se ci fosse stato un modo per sfruttare qualche componente utilizzato nelle anteprime.Poi, d'un colpo, si scoprì una falla.Più o meno così andarono le cose: -----------------------------------------------------****Dicembre 2005****Viene fatta circolare la notizia, da settimane, di una falla nei file WMF (Windows Meta File, quelli delle clipart, per capirci) o, meglio, nella libreria shimgvw.dll che li gestisce***28 Dicembre 2005***Microsoft ammette la sua esistenza e ne divulga la notizia.****5 Gennaio 2005****Rilasciata la patch che corregge il problema di vulnerabilità. ----------------------------------------------------In pratica: la libreria che "disegna" le immagini in formato WMF ovvero shimgvw.dll è stata programmata senza un controllo adeguato. In questo modo posso, volendo, mandare un'email contenente una semplice immagine e non c'è neanche la necessità che il destinatario la apra: se ha l'anteprima delle email abilitata (pratica alquanto diffusa) si infetta. Eccoti le prove.

Re: la vera verità sulla sicurezza
A security flaw in a third party default database engine module, HSQLDB, shipped with OpenOffice 2.3 and prior versions, could allow malicious attackers to launch arbitrary code.Fonte: http://news.cnet.com/8301-10784_3-9829329-7.htmlEcco le prove che il software open ha gli stessi problemi (e anche più recenti).Ho riportato open office visto che di office si parlava.1 a 1 palla al centro :)

Re: la vera verità sulla sicurezza
Per carità!Lungi da me star qui a sindacare su quale sia il software più sicuro!Il problema va visto da tutt'altro lato.Se vogliamo comparare queste due vulnerabilità converrai con me che nel caso da te descritto l'utente deve APRIRE un file, magari inviato per posta, nel caso da me descritto basta cliccare sul messaggio senza aprirlo visto che ad aprire il componente "nocivo" ci pensa l'anteprima stessa.Ricordo inoltre che fino ad Internet Explorer 5.5 le impostazioni del Browser permettevano, di default, il cosiddetto "silent install" per alcuni componenti ActiveX.

Re: la vera verità sulla sicurezza
- Scritto da: H5N1> Una prova conreta?>> Per molto tempo Microsoft ha distribuito (e lo fa> ancora) i suoi sistemi con un client di posta> (Outlook Express ora Windows Mail) con> preimpostata l'anteprima delle> email.Certo, ma questa è una feature, oltretutto utilissima, non un bug o una falla di sicurezza. Anche Thunderbird ha l'anteprima dei messaggi, così come credo tutti i programmi di posta elettronica. Anzi, io i messaggi non li apro mai in una finestra separata, uso sempre e solo l'anteprima.Il bug in WMF è il problema, non la feature.

Re: la vera verità sulla sicurezza
Hai ragione solo in parte.L'anteprima di MS Outlook e Outlook Express si basa sul motore MSHTML di Internet Explorer che, all'epoca, aveva non poche vulnerabilità.Disabilitare l'anteprima o de-registrare la libreria shimgvw.dll erano dei workaround.Sotto il punto di vista dell'usabilità di un programma secondo il quale "dovrebbe essere l'utente ad avere il controllo" e non l'applicazione sarebbe più corretto che tale feature fosse disattivata di default e fosse attivabile solo dall'utente.Anche in Thunderbird.Ma in questo caso stiamo parlando di problemi concettuali, non di sicurezza.

Re: la vera verità sulla sicurezza
- Scritto da: Ballmer> se sostenete il contrario, fornite delle PROVE> CONCRETE: Linux e Mac sono sicuri anche senza antivirus... Winzoz lo è altrettanto?

Re: la vera verità sulla sicurezza
- Scritto da: molestatore> - Scritto da: Ballmer> > se sostenete il contrario, fornite delle PROVE> > CONCRETE: > > Linux e Mac sono sicuri anche senza antivirus...> Winzoz lo è> altrettanto?Cos'è Winzoz?

Re: la vera verità sulla sicurezza
Così è più chiaro: Micro$ozz Winzozz?...E cmq non hai risposto alla mia domanda...

Re: la vera verità sulla sicurezza
Io inoltre porto della documentazione presa da fonti attendibili... :Dhttp://nonciclopedia.wikia.com/wiki/Windows_Vista

Re: la vera verità sulla sicurezza
- Scritto da: Ballmer> la sicurezza non esiste, è soltanto un> sentimento, un feeling di ognuno di> noi.simpatico... sei un trollone vero?> i software di microsoft SONO SICURI, punto e> basta. ottimo argomento! davvero convincente!> Ovviamente tutto il "buzz" che i sitarelli> open gli fanno contro spingono le persone a> piangere in cinese contro microsoft, ma la vera> verità è una soltanto: i software microsoft SONO> SICURI by design , PUNTO E> BASTA!!!ahahahh... sei un grande!la vera verità... ahahahhh... e poi c'è anche la falsa verità... ahahahahhsicuri by design... ahahahh... grandioso!> se sostenete il contrario, fornite delle PROVE> CONCRETE: l'onere della prova spetta SEMPRE> all'accusa,> no???a dire il vero nell'articolo di A. Bottoni (vai a rileggere) si sostiene che NON esistono sistemi sicuri... ma tu invece dici che i software di microsoft SONO SICURImi sa tanto allora che sei TU a dover dimostrare qualcosa!attendo con ansia...

Meraviglioso cambio di rotta
Che non sarebbe mai avvenuto senza la concorrenza , quella del Free Software nella fattispecie.

Statistica primordiale :)
Se si cerca in google:- Windows exploit -> ~ 519.000 risultati- Linux exploit -> ~ 3.900.000 risultatiCosi su due piedi, mi viene da pensare che esistono più exploit per linux che non per windows...C'è qualcosa che non mi torna... :)

Re: Statistica primordiale :)
- Scritto da: braincrash. it> Se si cerca in google:> > - Windows exploit -> ~ 519.000 risultati> - Linux exploit -> ~ 3.900.000 risultati> > Cosi su due piedi, mi viene da pensare che> esistono più exploit per linux che non per> windows...> > C'è qualcosa che non mi torna... :)quello indica semplicemente che si parla piu' di quelli per linux che di quelli per mswindows.Il che ha perfettamente senso: in un caso si discute della cosa, nell'altra la si segnala e si prega che alla casa madre decidano di riparare, nel frattempo si consiglia di chiudere tutto :)CYA

Re: Statistica primordiale :)
- Scritto da: braincrash. it> Se si cerca in google:> > - Windows exploit -> ~ 519.000 risultati> - Linux exploit -> ~ 3.900.000 risultati> > Cosi su due piedi, mi viene da pensare che> esistono più exploit per linux che non per> windows...> > C'è qualcosa che non mi torna... :)Hai provato a navigare i risultati?Qualcuno parla di exploit per Linux, un'altro ha Linux su un link di fianco ma non parla di exploit x Linux, un'altro ancora di come usare strumenti linux (cygwin) per compilare su un win (con strumenti linux) exploit x win.Sono termini che non dicono nulla, facciamo un'altra cosa andiamo su Security Focus e cerchiamo termini generici x Vendor, Microsoft fa 66 pagine di risultati e Linux 15. Altro posto?http://osvdb.org/vendor/1/Linux 2 paginettehttp://osvdb.org/vendor/1/Microsoft%20Corporation 21Comunque ammetto che sono tutti conteggi che lasciano il tempo che trovano. Una parola definitiva, credete a quello che conoscete: per esempio quanti utenti linux conoscete che sono stati sfondati e quanti windows? Non conoscete utenti linux proprio per niente? E allora non parlate di quello che non conoscete. E' una questione di numeri come si dice spesso, beh secondo me c'e' del vero, ma uno gnu/linux in fondo e' uno unix, la sua storia affonda quindi anni e anni prima dei sistemi MS, nasce ed e' pensato per la rete, nel suo design qualche vantaggio ce l'ha e MS lo sa, cosa e' l'UAC Vista e il Runas se non brutte copie di Su e Sudo? E la Powershell? E potremmo andare avanti, in fondo in fondo piace anche ai ragazzi di Redmond. Comunque no guerre di religione, avere qualche Lin in piu', come dico sempre, ha fatto benone anche ai win e continuera' a fargliene.

Re: Statistica primordiale :)
A questo punto aggiungerei anche il motore di rendering desktop... Dal sistema antiquato e inefficiente che renderizzava in BitMap sono passati ad una brutta copia di X Server in vettoriale che per altro e' anche interpretata malaccio in relazione a tutte le altre librerie in dotazione al Vista, con un consumo di RAM esagerato. Per tutti i noob hanno marketizzato il mitico desktop 3D, che a dire la verita' mi ha incuriosito alla grande, ma premendo il tasto "magic" + TAB ho avuto una tale delusione che ho disinstallato Vista nel giro di 20 Minuti.Per ora potrei solo dire che se e' di sicurezza che si parla e' vero si che non esiste software sicuro ne Open ne Closed, ma se gli utenti scelgono soluzioni commerciali, a fronte di una spesa (molto alta) almeno proponete un prodotto decente e che non sia la solita slotmachine dove con la speranza di vincere di piu' devi spendere di piu'.

per il Sig. Intini (parte prima)
qualcuno della redazione può gentilmente riportare questa mia direttamente al sig. Intini per cortesia? dategli anche il mio indirizzo e-mail (ne dovreste avere due a dire il vero...;) ), se volete dargli nome e cognome dovrebbe trovarmi in fretta comunque, potrà insultarmi tranquillamente in via privata.senza offesa Sig.Intini, anche io pur nel mio piccolo vorrei dire la mia sul suo articolo.Non sono una persona che per fede abbraccia un sistema piuttosto che un altro e che da contro ad un sistema per fede meccanica, come sicuramente si sarà accorto con qualche commento un po' inopportuno e di fideistica irrazionalità qua sopra, preferisco parlare di sicurezza in modo ampio e completo, premesso questo passo al suo articolo o commento come si voglia dire utilizzerò i tag [quote] e di fine [/quote] per definire le parti del suo articolo.[quote]Certo, non stiamo parlando di decenni, ma si sa, nel mondo dell'informatica sei anni sono quasi un'eternità...Si riconosce la necessità e l'urgenza di far diventare la Sicurezza e la Privacy elementi imprescindibili all'interno di tutto il ciclo di sviluppo del software, in un periodo storico in cui questi temi erano di fatto seriamente considerati solo da pochi e circoscritti ambiti (militare, governativo, bancario): da questa rielaborazione di esperienze interne e di adozione delle migliori security best practice nasce il Microsoft Security Development Lifecycle (SDL), un profondo rinnovamento della modalità con cui Microsoft concepisce, progetta, sviluppa e verifica la qualità dei propri prodotti e servizi, un processo ampiamente documentato in modo da essere liberamente adottabile e riutilizzabile da chiunque intenda ottimizzare lo sviluppo di codice dal punto di vista degli aspetti di sicurezza[/quote]Io non avrei usato quelle parole a dire il vero, senza offesa, ripeto a me interessa la questione sicurezza indipendentemente dal sistema operativo come le ripeto quindi la critico in base a ciò che dice e a ciò che realmente è la sicurezza al giorno d'oggi.Dicendo così, lei sta dicendo che prima del 2002 ve ne siete altamente sbattuti della sicurezza dei vostri sistemi operativi per i comuni utenti e che vi siete solamente preoccupati di rendere sicuri i sistemi che andavano alle forze armate o alle banche o al governo, quindi non alle aziende, non ai comuni utenti, non ad altri se non loro. I sistemi Unix (quindi come vede non sto parlando solo di Linux che comunque è nato dopo Unix BSD) invece prende in considerazione la sicurezza dell'utente, da...diciamo pure da quando è nato, penso se lei dice che 6 anni in informatica sono un'eternità, forse i sistemisti Unix hanno almeno 5 eternità di esperienza in più di voi, senza offesa.Non mi sembra una grande cosa da dire ad un pubblico che acquista i vostri sistemi operativi; cioè uno che mi viene a dire che sta pensando alla mia sicurezza solo a partire da...e non ci ha mai pensato prima di allora, la prima cosa che faccio è girarmi da un'altra parte e comprare un altro sistema operativo. Ora non è che se non lo dice più le cose cambiano purtroppo...:(In secondo luogo non ho capito una cosa sull'ultima parte, sta dicendo che se io utente comune che comunque so programmare vi chiedo il codice sorgente del vostro sistema operativo me lo date? ok...allora a me non interessa il codice di Windows server 2003 come a qualcun altro.A me interessa il codice di Windows server 2008 e di Vista, vi riparo i bachi per una modica cifra di 500.000 l'anno più ritenuta d'acconto...XD (sto scherzando naturalmente, non mi assumereste mai, non ho una laurea...XD)[quote]Tenendo in debito conto l'attuale scenario di rischio che vede una chiara prevalenza di attacchi diretti al livello applicativo (Gartner riporta che è tale il 75% degli attacchi) è sinceramente ineludibile la necessità di rivedere e aggiornare le proprie modalità di sviluppo del software[/quote]Mi scusi, va bene che procediate in questo modo ed eliminiate completamente (perchè un prodotto sicuro si ha solo ed esclusivamente con l'azzeramento dei bachi e se ne rimane anche uno solo non si ha un prodotto sicuro) tutti i bachi dei vostri software.Però a dire il vero, il vostro sistema operativo è insicuro perchè, tutti i trojan, virus, rootkit, malware, trojan 2.0 e compagnia bella con estensione exe o bin (purtroppo anche quelli progettati su OpenOffice sono in realtà gestiti dal sistema operativo, utilizzano un baco presente in win32 per infettare poi gli applicativi. Quindi fino a che non riuscirete a riparare quel baco sarà di difficile applicazione ciò che lei dice qualunque sistema operativo nato su win32 è insicuro Vista compreso, anzi attualmente è il sistema più confusionario ed insicuro del mercato.[quote]Essa di fatto ribadisce l'importanza di affrontare il tema della sicurezza nel suo approccio olistico (persone, processi e tecnologie) e in particolare di non trascurare l'accesso alla Security Expertise, l'adozione di un Secure Development Process, e l'uso di strumenti per l'identificazione di vulnerabilità:... [/quote]senza offesa, ma forse è meglio che torniate a controllare il codice manualmente e a controllare sugli algoritmi dei vari listati, perchè le macchine non rilevano i bachi nel 20% dei casi, esperienza personale naturalmente anche se sono assolutamente sicura che abbiate un ottima tecnologia alle spalle.[quote]sono aspetti da cui qualcuno può sentirsi esentato?[/quote]è la continuazione della frase precedente, per correttezza a chi non ricorda totalmente l'articolo.Senta, ripeto non si offenda ma visto ciò che ha detto prima e lo ha detto lei e non io, mi sembra ben chiaro che voi vi siate autoesentati dal problema fino al 2002, quindi mi suona una frase un po' strana e posticcia.

Sicurezza VS Programmazione !
Fino a quando si parlerà di sicurezza dei sistemi operativi, avrà senso parlare di sicurezza a livello di programmazione !Perchè si usa ancora strcpy ad esempio quando esiste strncpy() ?Adottando stili di programmazione più lineari e Security Oriented i bug non esisterebbero o comunque sarebbero MOOOOOOOOOOOOOOOOOOLTO meno presenti !Perchè non utilizzare patch stile W^X o grsec anche su Windows per randomizzare l'entry point del programma in memoria per evitare comunque che il primo lamer di turno lanci un'exploit senza nemmeno conoscere cosa sia un RET address ?La sicurezza esiste ed è fattibile D.J.Bernstein lo dimostra chiaramente con i suoi software !Il problema è che in un contesto business ci vuole rapidità, velocità nella stesura di codice, e rilasciare prodotti nel minor breve tempo possibile .... poi quando si trovano i bug ... escono anche le patch :D (almeno in teoria).

Re: Sicurezza VS Programmazione !
- Scritto da: Marco Marcoaldi> > Il problema è che in un contesto business ci> vuole rapidità, velocità nella stesura di codice,> e rilasciare prodotti nel minor breve tempo> possibile .... poi quando si trovano i bug ...> escono anche le patch :D (almeno in> teoria).ecco in teoria...^^ma ti quoto in pieno

Re: Sicurezza VS Programmazione !
chi è qsto DJ?

Re: Sicurezza VS Programmazione !
- Scritto da: Marco Marcoaldi> Fino a quando si parlerà di sicurezza dei sistemi> operativi, avrà senso parlare di sicurezza a> livello di programmazione !> Perchè si usa ancora strcpy ad esempio quando> esiste strncpy() ?Quoto... Anche se poi sono il primo a non farlo :'( Maledette abitudini... Ora che me lo fai venire in mente inviato questo post faccio un grep sui miei ultimi sorgenti.> Adottando stili di programmazione più lineari e> Security Oriented i bug non esisterebbero o> comunque sarebbero MOOOOOOOOOOOOOOOOOOLTO meno> presenti !> Perchè non utilizzare patch stile W^X o grsec> anche su Windows per randomizzare l'entry point> del programma in memoria per evitare comunque che> il primo lamer di turno lanci un'exploit senza> nemmeno conoscere cosa sia un RET address ?Lo so, lo so : e' quello con cui un hacket te lo butta nel RETto quando fa un buffer overflow :)

per il Sig. Intini (parte seconda)
continuo la mia sequela se non vi spiace, così concludo e non mi sentite più...^^[quote]Sarebbe quindi auspicabile riconoscere la validità delle considerazioni conclusive che appaiono essere il giusto pungolo a non dare per scontato che ci siano davvero software intrinsecamente sicuri: nessun sistema è invulnerabile, e il mancato utilizzo delle security best practice di cui detto aumenta esponenzialmente nel tempo il rischio di essere facilmente oggetto di attacchi in grado di andare a buon fine ed arrecare un danno serio.[/quote]il sig. Bottoni ha mai detto da quando lo conosco che ci sia un sistema operivo o un applicativo invulnerabile, nè l'ho mai sentito dire ad altro esperto informatico ed io confermo le loro tesi da piccolo programmatore quale sono, ciò però non significa che il Vs. sistema sia il migliore sul mercato, forse è solo il più conosciuto per via della pubblicità che ne fate.Per quanto riguarda il resto, ha ragione che il suo reparto di sicurezza è un buon passo avanti nella sicurezza di tutti che avete fatto e vi ringrazio per tale passo, purtroppo però come ho detto prima il problema principale è in win32. Non parlando del fatto che vi ho segnalato una falla di sicurezza anni fa, dove vi dicevo che avevate una falla sia nella casella di posta msn, sia nei server del messangers dicendovi che era possibile che qualcun altro che non è il proprietario dell'account avrebbe potuto prendere possesso delle varie caselle di posta e di conseguenza dei vari contatti messangers, vero io ve l'ho segnalato una prima volta nel 2001, il suo staff non era ancora stato creato, giusto.Ma ve l'ho risegnalata anche nel 2004 e quella falla persiste comunque ed ha causato parecchi danni, così tanti che nemmeno se lo immagina. [ironica]Ma naturalmente si sa, prima del 2002 nessuno pensava alla sicurezza informatica, è nata solo sei anni fa[/ironica]. come però le ho detto prima i sistemi unix ci pensano da molto più tempo di voi.[quote]D'altra parte le stesse comunità Open Source sono già impegnate in tal senso (OWASP ne è un esempio) e riconoscono l'opportunità e l'urgenza di tale approccio: la recente iniziativa oCERT non è forse conferma di uno dei punti di debolezza indirizzati da Fortify? Perché quindi non abbandonare il confronto/scontro fine a se stesso e non dedicare le proprie energie ad attivare alleanze strategiche su questi temi (SafeCode è un esempio in ambito software commerciale)? L'esempio del fronte comune si è dimostrato possibile proprio in questi giorni: non è degno di nota lo sforzo che ha accomunato progetti Open Source e diversi vendor di software commerciale nello sviluppo della patch per correggere la recente vulnerabilità DNS? [/quote]ripeto non si offenda, ma da come parla sembra che la sicurezza informatica sia roba di sei anni fa e basta, invece non è vero.E' vero però che bisognerebbe smetterla di fare scontri fideistici fini a se stessi ed io vorrei che cominciaste voi stessi.Innanzi tutto creando codici di programmazione, programmi per non parlare dei linguaggi di programmazione web che non sono nemmeno stardard w3c, sono incompatibili con browser non Microsoft tanto da creare problemi non solo nella visualizzazione ma anche nella navigazione, parliamo infine dell'utilizzo spropositato di codice ajax che rende ancora più insicure (poichè per chi non lo sapesse ajax è semplicemente javascript) le applicazioni web tanto da rendere vulnerabili le caselle di posta, come non parlare poi dell'utilizzo di oggettistica non comunemente accettata dai maggiori browser.Parliamo dei nuovi linguaggi di programmazione (XAMAL per fare un esempio, ma è solo un esempio ce ne sono altri di questo tipo) che al posto di rendere un programmatore tale e reale per come è, lo rende inefficiente e incapace di riuscire a trovare un baco nel suo programma, tanto che quando chiamo e dico avete un baco, se il vostro validatore dice che è corretto, nemmeno si sprecano a considerare l'ipotesi che hanno sbagliato. E i bachi ci sono, garantito, non provo un sito solo ed esclusivamente su una piattaforma.E giuro che visto che sono anni (a settembre saranno 9 per l'esattezza) che navigando in internet, o nel reale sono già 15, ho sempre segnalato i vari bachi ai vari programmatori, ma di interoperabilità come lei dice io non ne ho mai vista, men che meno negli ultimi periodi, anzi, si va sempre peggio, più si va avanti e più si cerca di limitare lo spazio altrui in favore della vostra, cercando di mascherare i propri errori iniziali, e non mi dica che pensare alla sicurezza dei propri utenti solo dopo più di vent'anni è una scelta saggia e sicura e non è un errore madornale a cui state cercando di mettere le pezze di arlecchino e non riuscite più a tenere in piedi il vostro sistema operativo proprio per questo vostro lassismo iniziale, perchè proprio io non ci credo.Questo suo sproloquio di quanto stiamo facendo e quanto abbiamo fatto è assolutamente fuori luogo e se lo poteva bellamente risparmiare. E' vero, non ho una laurea non lavoro nel campo ufficialmente, azz...non sono nessuno quindi, può brillantemente cestinare questa mia e continuare a pensare che il vostro sistema operativo sta facendo tanto anche per l'opensource. Continuerò a dire, non mi pare, perchè sono i fatti che contano e non le parole.E i fatti dicono che in realtà avete fatto ben poco, anzi nulla.Le dico la stessa cosa che ripeto a tutti i suoi colleghi informatici: professori, ingegneri, programmatori, tecnici e fattorini dell'IT e come ho sempre detto non mi importa quanto sono famosi o che nome portano o per chi lavorano, se sbagliano sbagliano.Se vi vantaste un po' meno di quanto fate e di cosa fate, di quanti soldi date all'opensource e di quanto state _non_ facendo per la sicurezza del mondo e lavoraste di più, collaborando realmente con il mondo opensource e non solo a parole, quando poi non si riesce nemmeno a navigare correttamente in un sito gestito da voi o semplicemente programmato sulle vostre strutture, forse ci fareste più bella figura e sareste apprezzati di più.Purtroppo i fatti parlano al contrario, quindi finchè non vedo i fatti per me rimane ciò che ho detto prima.buona serata e buon lavoro, sperando che collaboriate davvero con i progetti opensource per la stabilità e la sicurezza degli utenti, comunemente e non solo a parole.

Re: per il Sig. Intini (parte seconda)
spiegami un po', stai tentando di mandarlo in buffer overflow? :D

Vi aspetto volentieri sul mio blog...
Come ho appena avuto modo di scrivere sul mio blog(http://blogs.technet.com/feliciano_intini/archive/2008/08/01/microsoft-open-source-e-sicurezza-parliamone-in-modo-costruttivo.aspx), è una mia sincera intenzione continuare il confronto su un piano più tecnico e più puntuale. Il mio unico rammarico nel leggere ieri qualche commento a campione (mi impegnerò a leggerli tutti e ad affrontare sul mio blog tutte le questioni che sono state poste in questi commenti) è il notare come tanti si siano presi la briga di fare considerazioni su di me, sulla Microsoft che non dialoga, che non parla, che non discute, senza neanche aver fatto il semplice sforzo di un click: bastava seguire uno dei link presenti nell'articolo verso il mio blog ed accorgersi che questo dialogo e questa discussione tecnica è già disponibile da tempo. E' la dimostrazione di come spesso si parta con un atteggiamento preconcetto, non ci si metta in discussione e non si cerchi davvero il dialogo, ma solo lo scontro. Spero che questo possa cambiare. Buone vacanze a tutti, vi aspetto sul mio blog!

Re: Vi aspetto volentieri sul mio blog...
- Scritto da: Feliciano Intini> Come ho appena avuto modo di scrivere sul mio> blog(http://blogs.technet.com/feliciano_intini/arcDove e' il codice sig. Intini, dove e' il codice?In informatica si parla, soprattutto, a codice, senza codice quale dialogo possiamo fare? Giocoforza all'open tocca il monologo.

schneier sulla sicurezza di microsoft
http://www.schneier.com/blog/archives/2007/01/nsa_helps_micro_1.htmlquesto signore, piuttosto autorevole per molti, e sicuramente di buon senso per me, dice sostanzialmente che non si ritiene molto protetto dall'approccio microsoft alla sicurezzanon sono loggato perché è impossibile usando noscript, cookiesafe, safecache e safehistoryjvj

Windows LiveOnCare
A proposito di questa sicurezza,,*volevo far sapere che ho' pagato questo servizio 49 euro e 95 centesimi x niente,certo ho solleccitato il rimborso ma nessuna risposta,,,''Una mia ingenuità volevo una protezione mi sono fidato del sistema Windows LiveOnCare ma non mi ha' soddisfatto nel senso che impediva e non scaricava Service Pack1 nel mio computer, qualche consiglio?ciao tore