Flussi di click monitorati, navigazione sotto controllo, analisi personalizzata dei comportamenti online. Ai cittadini della rete appassionati di golosità alimentari viene inspiegabilmente recapitata pubblicità dei più appetitosi banchetti: è così che coloro che vivono di gingilli tecnologici verranno tentati con gadget e corbellerie hi-tech. Il raccordo sono gli ISP: sempre più spesso ritengono che i netizen gradiscano fruire di “un’esperienza online aumentata”, sempre più spesso non esitano a vendere al marketing informazioni sui propri utenti.
È questo il caso di Charter, ISP statunitense interessato a ingabbiare i propri utenti in miglioramenti e esperienze di navigazione personalizzata . Li ha avvertiti con una email : presto implementerà i servigi di un’azienda che pratica la deep packet inspection per fare in modo che navigare sul web diventi come “sfogliare la propria rivista preferita”.
Al pari del discusso Phorm , quell’azienda, che si ritiene possa essere NebuAD , occhieggia costantemente sulla vita online dei netizen: vigila con la deep packet inspection, assembla e confronta i dati raccolti e li trasforma in informazioni a favore degli uomini del marketing, mirino per puntare sul target dei propri annunci pubblicitari online. Il perno del meccanismo sono gli ISP: implementano i sistemi e tentano di farli digerire ai propri utenti. Li ingolosiscono con la promessa di un’esperienza di navigazione succulenta e appetitosa e li trasformano in bocconi da dare in pasto agli inserzionisti .
Protagonista di queste pratiche di dissimulazione è anche Charter: l’operatore non ammette in alcun modo di voler implementare un sistema che trasforma i propri utenti in profittevoli bersagli, li rassicura riguardo al fatto che nessuno verrà in possesso delle informazioni estratte dai comportamenti di navigazione di ciascuno e del fatto che i profili non saranno nominativi ma saranno semplicemente profili di anonimi consumatori . Non tenta di convincerli barattando l’adesione con banda aggiuntiva, né tenta di incuriosirli presentando il sistema come una sperimentazione. Propone semplicemente al pubblico un miglioramento al quale sono sottoposti di default : saranno tracciati, verrà recapitata loro pubblicità personalizzata attraverso i siti parte del network con cui Charter ha stretto accordi. Fino al momento in cui non decideranno di svincolarsi dall’esperienza di navigazione aumentata.
E qualora scegliessero l’ opt-out gli si pareranno di fronte una serie di complicazioni : verrà loro consegnato un preziosissimo cookie che impedirà il tracciamento. Un cookie per ogni browser utilizzato, un cookie per ogni computer utilizzato, un cookie che non dovrà in alcun modo essere rimosso. In quel caso, la procedura di opt-out sarà inesorabilmente da ripetere. Ma a Charter sono convinti che la pubblicità personalizzata piacerà: a dimostrarlo ci sono studi condotti dall’azienda e indagini ad ampio raggio .
Non sono però d’accordo pilastri del Web come Tim Berners Lee , non sono d’accordo le associazioni che tutelano i diritti dei cittadini . L’attivista Lauren Weinstein chiama in causa le istituzioni: “È il momento che chiariscano che gli ISP devono semplicemente garantire la capacità di comunicare, non devono spiare, tracciare e intervenire sulle comunicazioni dei consumatori per trarre dei vantaggi”.
Gaia Bottà
-
Domanda per i linari
Ma se Linux è opensource, per capire come decifrare qualsiasi cosa non basta analizzare il codice degli algoritmi crittografici? (newbie)Gold PartnerRe: Domanda per i linari
- Scritto da: Gold Partner> Ma se Linux è opensource, per capire come> decifrare qualsiasi cosa non basta analizzare il> codice degli algoritmi crittografici?> (newbie)Ecco un altro allocco che viene dalla Val Brembana.GnurantRe: Domanda per i linari
No.Gli algoritmi di cifratura è da mo' che sono pubblici, sia che vengano usati da windows, linux, ecc. Ciò che cambia è il codice dei generatori di numeri random... e come i programmi usano questi generatori (è il caso di questa vulnerabilità).Comunque conoscere l'algoritmo di cifratura non ti porta ad averlo rotto.supernaicolRe: Domanda per i linari
Se tu non avessi fatto 10 di post di trollaggio ti avrei anche risposto.eaman1Re: Domanda per i linari
Spesso in matematica da una ipotesi puoi costruire una tesi ma dalla stessa tesi non puoi tornare all'ipotesi che l'ha generata.Puoi stare certo che i moderni sistemi di criptatura si guardano bene dal permetterti di ricostruire il percorso inverso solo guadando un algoritmo.0vertureRe: Domanda per i linari
@overturese non c'è reciprocità di ricostruzione tesi <---> ipotesi non si tratta di processi biunivoci, ma allora non è il nostro caso (la crittografia deve essere necessariamente biunivoca, cioè da stringa A devo ricavare stringa B codificata secondo chiave K, e solo quella, e da stringa B devo ricavare stringa A originaria decodificata secondo stessa chiave K, e solo quella). Un'algoritmo di crittografia è necessariamente composto di due parti, ambedue rese pubbliche: la codifica e la decodifica, non ci piove: se esamini solo uno dei due sottoalgoritmi componenti hai tutte le tue difficoltà a ricavare quello inverso, ma non è il nostro caso, perchè li ha disponibili e noti ambedue. Allora devo ritenere che ti riferivi ad una cosa molto più fine: processo "diretto": data una chiave K, ed un processo operatore di codifica C e di decodifica D noti, è determinabile la conversione della stringa nota A nella stringa B mediante operatore C su chiave K, così come è determinabile la conversione di stringa B in stringa A mediante operatore D su chiave K; processo "inverso": dato un processo operatore di codifica C e di decodifica D noti e il risultato della trasposizione di A in B noti con operatore C secondo chiave K ignota, ovvero di B in A con operatore D secondo chiave K ignota, ben difficilmente e non necessariamente è determinabile questo K, essendo non necessariamente biunivoca la reversibilità del processo (ossia più di una chiave potrebbe dare luogo allo stesso tipo di conversione, ed in tal caso la sua ricerca sarebbe indeterminabile se non euristicamente). Ovviamente questo tipo di reversibilità non biunivoca dimuisce l'efficienza dell'algoritmo stesso.Bye.rockrollRe: Domanda per i linari
Il DES non è biunivoco e viene ormai utilizzato in tantissimi campi... Ad esempio le schede satellitari, dove a meno di bachi che permettano di fare un dump della rom, nel software della smart card, non si fa una mazza.La chiave di codifica di un flusso di dati è diversa da quella di decodifica, da una non si ricava l'altra in quanto entrambe sono risultato di un algoritmo che non può essere invertito. Poi questo algoritmo sovente non viene implementato puro, ma con giochi di chiavi che lo rendono praticamente impossibile da violare anche con brute force.Il problema non sono gli algoritmi di codifica, ma le persone che li implementano male. (Come era successo ai tempi di Canal+, penso volontariamente, per sfruttare la pirateria come pubblicità, visto quanto erano palesi alcuni bachi)xbomberRe: Domanda per i linari
per niente. Non si tratta dello stesso algoritmo letto da due posizioni opposte ma di due algoritmi specifici: uno per criptare e l'altro per decriptare.Non per niente il grosso dei sistemi informatici criptati viene fatto saltare mescolando forza bruta, social engineering e attacchi "concettuali" (come intercettare la trasmissione in chiaro della chiave tra i due comunicanti o freezando la ram).Un algoritmo di criptatura biunivoco è il cifrario di cesare ma sfido io a trovare qualcuno più sveglio di un bambino delle elementari che lo usa per proteggere i propri dati0vertureRe: Domanda per i linari
- Scritto da: rockroll> @overture> > se non c'è reciprocità di ricostruzione> tesi <---> ipotesi non si tratta di processi> biunivoci, ma allora non è il nostro caso (la> crittografia deve essere necessariamente> biunivoca, cioè da stringa A devo ricavare> stringa B codificata secondo chiave K, e solo> quella, e da stringa B devo ricavare stringa A> originaria decodificata secondo stessa chiave K,> e solo quella).>Mai sentito parlare di crittografia a chiave pubblica?x4bRe: Domanda per i linari
Dagli altri post è emerso che sei un troll.Ora, con questo post si prospettano due possibilità:- sei ignorante come un tavolino- oppure sei un troll altamente raffinatonel primo caso, condoglianze, nel secondo, bravo.GusbertoneRe: Domanda per i linari
"one way" ti dice nulla?--http://www.freshnet.orgAndyRe: Domanda per i linari
Hanno usato un generatore di idioti per concepirti?Ricco in cannaRe: Domanda per i linari
- Scritto da: Gold Partner> Ma se Linux è opensource, per capire come> decifrare qualsiasi cosa non basta analizzare il> codice degli algoritmi crittografici?> (newbie)NO. La forza della crittografia sta nella qualità dell'algoritmo stesso, non nella conoscenza di quale sia l'algoritmo implementato. Nascondere l'algoritmo non ha senso. Ha senso solo se quest'ultimo fa schifo, ma in questo caso è comunque facile "bucarlo".NifftRe: Domanda per i linari
eh beata ignoranza!http://it.wikipedia.org/wiki/RSAginoRe: Domanda per i linari
Guarda te la metto facile, tu hai la piantina di fort knox, vedi che hanno le mura spesse 20 metri, un portone di acciaio da 2 mt, 20.000 guardie, mo' sai piu' o meno tutto vai li' e fregati un po' di lingotti.Viceversa tu non hai la piantina della banca sotto casa, pero' guardando da fuori vedi che c'e' una telecamera, a occhio il muro sara' 80 cm ... Piu' vicina stazione di polizia/carabinieri a 20 Km, credo tu abbia qualche possibilita' ...Insomma un algoritmo di crittografia pubblicato e' una piantina che tutti possono vedere ma e' bello massiccio e lo e' proprio perche' tutti lo possono vedere, non tutti sono lazzeroni, qualcuno vede la piantina e nota un buco lo segnala e "i buoni" sistemano la piantina (o mettono i lingotti in un edificio con caratteristiche costruttive del tutto diverse).ArmiPariCasualità? Forse si, forse no...
Si è speso molto tempo (a ragione) a criticare la generazione casuale di windows, il problema NSA, ecc. Questa è la esatta trasposizione del problema su Ubuntu, che stà prendendo sempre più piede sul mercato consumer. Ora, con tutta la comprensione possibile, non credo che uno sbiluppatore vada a "commentare" per caso proprio la parte della generazione casuale delle key... Sembra tanto una agressione, o comunque una backdoor voluta.Che sia stata governativa :)?TheSandmanRe: Casualità? Forse si, forse no...
- Scritto da: TheSandman> Che sia stata governativa :)?Sì, certo ce l' hanno infilata apposta....come la supposta che ti infili te sempre la sera al parco.ZaccheteRe: Casualità? Forse si, forse no...
Mi fà piacere sentire che a te la spiegazione "uno sviluppatore incauto ha casualmente commentato delle righe di codice" sia sufficiente. Io dovrò anche stare attento alla supposta, ma tu non ti curi della trave... e non quella davanti al tuo occhio.TheSandmanRe: Casualità? Forse si, forse no...
Volendo puoi passare su slashdot, nei commenti del post linkato vi è la ricostruzione dei fatti. Il packager ha commentato delle righe di codice che un programma di sicurezza ha individuato come pericolose e, probabilmente per somiglianza ma comunque erroneamente, altre che aumentavano sensibilmente la randomizzazione delle chiaviNome e cognomeRe: Casualità? Forse si, forse no...
- Scritto da: TheSandman> Si è speso molto tempo (a ragione) a criticare la> generazione casuale di windows, il problema NSA,> ecc.> > Questa è la esatta trasposizione del problema su> Ubuntu, che stà prendendo sempre più piede sul> mercato consumer. > > Ora, con tutta la comprensione possibile, non> credo che uno sbiluppatore vada a "commentare"> per caso proprio la parte della generazione> casuale delle key... Sembra tanto una> agressione, o comunque una backdoor> voluta.> Che sia stata governativa :)?una backdoor? infilata apposta in un codice sorgente libero, aperto, pubblico, a cui tutti hanno accesso???è vero che qualcuno ci ha anche provato (BK2CVS problem) ma sai com'è... GNU/Linux ha codice sorgente libero... e la cosa salta fuori...altri s.o. invece (uno a caso, anzi due: WindowS e Ma) hanno codice non-libero... chi le va a cercare, trovare ed eliminare le backdoor? stanne certo: ne sono pieni zeppi (NSA Problem, appunto, ecc. ecc.)ciaoA reloadedRe: Casualità? Forse si, forse no...
contenuto non disponibileunaDuraLezioneRe: Casualità? Forse si, forse no...
- Scritto da: unaDuraLezione> - Scritto da: A reloaded> > una backdoor? infilata apposta in un codice> > sorgente libero, aperto, pubblico, a cui tutti> > hanno> > accesso???> > perchè no?> perchè dura poco?> Se ne mettessero un po' qua e là e continuassero> ad aggiungerne per 'sbadatezza', si avrebbe> comunque sempre una backdoor virtuale (fatta> dall'alternarsi di quelle> reali)> L'ho scirtto in passato e lo ripeto.> Credere di essere al sicuro, solo perchè è> "scritto tutto lì" è la cosa più folle che si> possa pensare e il vero buco di sicurezza del> software OS è l'utente talebano che crede> ciecamente alle cose.Nessuno dice che e' il sistema perfetto !Semplicemente e' piu' sicuro avere la possibilita' di controllare (o di farseli controllare da qualcuno) che non averla.kraneRe: Casualità? Forse si, forse no...
La sicurezza non e' un prodotto ma un processo, non si e' mai sicuri, del tutto.La sicurezza e' il prodotto dell'ingegno umano, chi ha un interesse contrario al tuo usa lo stesso ingegno di cui disponi tu per fregarti e quello che magari e' buono oggi, dato che il lazzarone ha avuto tempo di pensarci, non e' buono domani.Poter leggere il codice, a mio parere, aiuta nel processo sicurezza, in quella partita a scacchi buoni contro cattivi se vuoi, se poi i cattivi vincono vuol dire che se lo meritavano perche' hanno piu' cervello della tua squadra.Ma hai certamente ragione, al sicuro non si e' mai e pensare di esserlo e' un pessimo approccio, il primo requisito di un buon addetto alla sicurezza informatica e' la paranoia.ArmiPariRe: Casualità? Forse si, forse no...
- Scritto da: unaDuraLezione> - Scritto da: A reloaded> > > una backdoor? infilata apposta in un codice> > sorgente libero, aperto, pubblico, a cui tutti> > hanno> > accesso???> > perchè no?> perchè dura poco?> Se ne mettessero un po' qua e là e continuassero> ad aggiungerne per 'sbadatezza', si avrebbe> comunque sempre una backdoor virtuale (fatta> dall'alternarsi di quelle> reali)non ho mica detto il contrario> L'ho scirtto in passato e lo ripeto.> Credere di essere al sicuro, solo perchè è> "scritto tutto lì" è la cosa più folle che si> possa pensare e il vero buco di sicurezza del> software OS è l'utente talebano che crede> ciecamente alle> cose.concordo...se rileggi il post vedrai che non ho detto questo... si tratta di una tua interpretazione estensima... ma non di quello che ho scritto o penso io...:-)A reloadedRe: Casualità? Forse si, forse no...
- Scritto da: TheSandman... Sembra tanto una> agressione, o comunque una backdoor> voluta.> Che sia stata governativa :)? del governo delle banane
visto che hanno infilato un backdoor tramite un commento visibile a TUTTI....ma per favore, leggi meno riviste di ufoIncredibileRe: Casualità? Forse si, forse no...
contenuto non disponibileunaDuraLezioneRe: Casualità? Forse si, forse no...
- Scritto da: unaDuraLezione> > scusa eh, la vulnerabilita è lì da due anni,> quindi se fosse stata fatta di proposito sarebbe> stato un successo> epico.sì ma nel ramo unstable.al massimo bucavano me o te, sai che robachi vuol stare al sicuro non mette certo unstablemerlinolo hanno già risolto?
non so se è questo, ma a me lo ha aggiornato automaticamente. sul forum ubuntu ancora c'è l'annuncio della vurlnerabilità.Commit Log for Wed May 14 23:24:07 2008I seguenti pacchetti sono stati aggiornati:openssl-blacklist (0.1-0ubuntu0.8.04.1) to 0.1-0ubuntu0.8.04.2suonala ancora samRe: lo hanno già risolto?
si è stata risolta poche ore dopo.http://forum.ubuntu-it.org/index.php/topic,187240.0.htmlgnulinux86Re: lo hanno già risolto?
Io avevo fatto un aggiornamento in mattinata, ma vedo che ora ci sono anche:openssh-client openssh-server openssh-blacklistSu debian stable.Maggiori info su: http://lwn.net/Articles/282287/Ricordatevi di rigenerare le chiavi se sono riconosciute da ssh-vulnkey, l'upgrade non basta, le chiavi deboli le avevate gia' generate con i vecchi pacchetti.-----------------------------------------------------------Modificato dall' autore il 15 maggio 2008 01.01-----------------------------------------------------------eaman1Re: lo hanno già risolto?
i pacchetti sono già stati aggiornati.l'unico pacco è che se hai generato delle chiavi utilizzando i pacchetti vecchi, potresti trovarti con delle chiavi deboli (relativamente facili da compromettere, indipendentemente dalla lunghezza).quindi il consiglio per chi ha generato chiavi con pacchetti vulnerabili è di sbatterle via e generarne di nuove.MircoMRe: lo hanno già risolto?
dopo 2 anni si sono decisi di risolverlo:The result of this is that for the last two years (from Debians Etch release until now), anyone doing pretty much any crypto on Debian (and hence Ubuntu) has been using easily guessable keys. This includes SSH keys, SSL keys and OpenVPN keys. (fonte)http://www.links.org/?p=327gennaroRe: lo hanno già risolto?
si, sono passati solo due anni....blasettiMa chiunque puo' modificare il codice?
Come funziona il discorso?Se uno si sveglia e decide di commentare qualche riga,può farlo?MAHRe: Ma chiunque puo' modificare il codice?
fin che ti avvali dei repo pubblici per scaricare e/o aggiornare il software del tuo bel pc ... direi di si ... ma non ci trovo nulla di male, è grazie a loro che linux E' quello che E' in questi ultimi anni: Un rivoluzionario sitema operativo 100k volte meglio di winzozzo.deepredRe: Ma chiunque puo' modificare il codice?
No,una volta che il team di sviluppo rilascia un software un packager NON deve modificarne il codice, altrimenti di fatto ne fai un fork perché le patch del team di sviluppo non sono più applicabili- Scritto da: deepred> fin che ti avvali dei repo pubblici per scaricare> e/o aggiornare il software del tuo bel pc ...> direi di si ... ma non ci trovo nulla di male, è> grazie a loro che linux E' quello che E' in> questi ultimi anni: Un rivoluzionario sitema> operativo 100k volte meglio di> winzozzo.davide73Re: Ma chiunque puo' modificare il codice?
mi spiace deluderti ma la falla è stata patchata poche ore dopo.http://forum.ubuntu-it.org/index.php/topic,187240.0.htmlgnulinux86Re: Ma chiunque puo' modificare il codice?
- Scritto da: MAH> Come funziona il discorso?> > Se uno si sveglia e decide di commentare qualche> riga,> può farlo?Ma ti pare?Troppa fatica andare sui siti ufficiali delle cose su cui si discute?Per poter modificare il codice che viene distribuito devi essere uno sviluppatore ufficiale, e per diventarlo non basta iscriversi al sito del progetto come per i forum...http://www.debian.org/devel/join/newmaintscardola delmoRe: Ma chiunque puo' modificare il codice?
- Scritto da: scardola delmo> - Scritto da: MAH> > Come funziona il discorso?> > > > Se uno si sveglia e decide di commentare qualche> > riga,> > può farlo?> > Ma ti pare?> > Troppa fatica andare sui siti ufficiali delle> cose su cui si> discute?> > Per poter modificare il codice che viene> distribuito devi essere uno sviluppatore> ufficiale, e per diventarlo non basta iscriversi> al sito del progetto come per i> forum...> > http://www.debian.org/devel/join/newmaintnon capisco perchè rispondere con questi toni ad una domanda posta educamtamente e legittimamente.... se non ti va non rispondi. punto.PetengyRe: Ma chiunque puo' modificare il codice?
- Scritto da: Petengy> - Scritto da: scardola delmo> > - Scritto da: MAH> > > Come funziona il discorso?> > > > > > Se uno si sveglia e decide di commentare> qualche> > > riga,> > > può farlo?> > > > Ma ti pare?> > > > Troppa fatica andare sui siti ufficiali delle> > cose su cui si> > discute?> > > > Per poter modificare il codice che viene> > distribuito devi essere uno sviluppatore> > ufficiale, e per diventarlo non basta iscriversi> > al sito del progetto come per i> > forum...> > > > http://www.debian.org/devel/join/newmaint> > non capisco perchè rispondere con questi toni ad> una domanda posta educamtamente e> legittimamente.... se non ti va non rispondi.> punto.Ti ha solo detto RTFMkraneRe: Ma chiunque puo' modificare il codice?
contenuto non disponibileunaDuraLezioneRe: Ma chiunque puo' modificare il codice?
- Scritto da: unaDuraLezione> - Scritto da: scardola delmo> > > Per poter modificare il codice che viene> > distribuito devi essere uno sviluppatore> > ufficiale, e per diventarlo non basta iscriversi> > al sito del progetto come per i> > forum...> > E' una cosa che un esperto informatico della NSA> o dei servizi segreti cinesi o russi o di> uqlasiasi organizzazione statale o criminale non> è in grado di> fare?> > Nello spionaggio reale, infiltrarsi è cosa assai> comune, non vedo perchè così non debba essere in> quello informatico.E' talmente normale che lo sanno anche loro, per quello ci sono tanti controlli incrociati anche tra distribuzioni diverse.kraneRe: Ma chiunque puo' modificare il codice?
- Scritto da: MAH> Come funziona il discorso?> > Se uno si sveglia e decide di commentare qualche> riga,> può farlo?Magari fosse successo questo.Purtroppo invece c'è stato una discussione tra sviluppatori che ha portato alla puttanata cosmica di commentare la rigahttp://bugs.debian.org/cgi-bin/bugreport.cgi?bug=363516E ognuno tragga le proprie conclusioni.innominatoRe: Ma chiunque puo' modificare il codice?
Ti svegli e modifichi (a rampazzo?) il codice di Linux, si, ma resta solo per te e per quelli che vogliono copiaarlo privatamente da te; però per diventare modifica ufficiale e parte integrante del Kernel occorre ben altro, diciamo che deve essere necessariamente vagliata e accettata in qualche modo (non so bene quale) dalla comunità, e di conseguenza resa pubblica.rockrollRe: Ma chiunque puo' modificare il codice?
Premesso che linux (o meglio una distribuzione linux non è solo il kernel) Il problema è che questa volta in tanti hanno dormito! Può capitare, l'importante è che si sia corretto il tutto in pochi minuti.Mi interessa poi sapere come si sono mossi quelli di ubuntu. Hanno reso la patch disponibile x tutti i sistemi debian-based? prima dell'annuncio ufficiale hanno comunicato al team debian la situazione?barra78Re: Ma chiunque puo' modificare il codice?
- Scritto da: MAH> Come funziona il discorso?> > Se uno si sveglia e decide di commentare qualche> riga,> può farlo?Chiedilo a tua sorella come fa a far quadrare il magro bilancio della paghetta settimanale. Altri...commenti sono superflui.La voce della verirasRe: Ma chiunque puo' modificare il codice?
Non vedo cosa ci sia di male nel chiedere chiarimenti sul come funziona la gestione dei sorgenti.Anche io ho molti dubbi sui passaggi che ci sono prima dell'approvazione di modifiche in progetti come il kernelbarra78Re: Ma chiunque puo' modificare il codice?
Vi vedo troppo nervosi,capisco che un bug gravissimo in debianpossa fare questo effetto.MAHRe: Ma chiunque puo' modificare il codice?
- Scritto da: MAH> Come funziona il discorso?> > Se uno si sveglia e decide di commentare qualche> riga,> può farlo?no,mettiamo le cose in chiaro:openssl e' gestito da un X persone e solo queste X persone hanno accesso in scrittura al codice.Lo stesso codice viene poi preso dal debian mantainer responsabile di openssl che poi lo trasforma in un pacchetto per debian e ubuntu.Solo lui ha il diritto di modificare il pacchetto (salvo casi rari in cui intervengono altre persone ma sempre all'interno di debian).In questo caso la responsabilita' e' del debian mantainer che - credo - al momento sia stato appeso a testa in giu' e frustrato con cavi ethernet coassiali (piu' grossi quindi fanno + male).samuRe: Ma chiunque puo' modificare il codice?
OK, grazie della spiegazione.MAHVulnerabilita risolta poche ore dopo.
la vulnerabilità è stata risolta poche ore dopo averla scoperta, i programmatori opensource sono rapidissimi:http://forum.ubuntu-it.org/index.php/topic,187240.0.htmlnon siamo mica su windows che per patchare una falla a volte passano mesi o anni.gnulinux86Re: Vulnerabilita risolta poche ore dopo.
Guarda il lato positivo: per creare una simile falla su windows non bastava un ragazzino che gioca con i remuffRe: Vulnerabilita risolta poche ore dopo.
Hai ragione, basta molto meno :PPaggioRe: Vulnerabilita risolta poche ore dopo.
- Scritto da: uff> Guarda il lato positivo: per creare una simile> falla su windows non bastava un ragazzino che> gioca con i> remHai ragione, su windows occorrono ingegneri plurilaureati. E infatti le falle sono di una spanna avanti.OverMeRe: Vulnerabilita risolta poche ore dopo.
c'e' poco da far gli spiritosi. Ogni tanto c'e' da rabbrividire a quanti danni si possono fare intenzionalmente.Almeno M$ li fa per sbaglio/nsa...sabbiolinaRe: Vulnerabilita risolta poche ore dopo.
FALSO. La vulnerabilità è stata risolta solo dopo 2 ANNI:The result of this is that for the last two years (from Debians Etch release until now), anyone doing pretty much any crypto on Debian (and hence Ubuntu) has been using easily guessable keys. This includes SSH keys, SSL keys and OpenVPN keys. (fonte)gennaroRe: Vulnerabilita risolta poche ore dopo.
- Scritto da: gnulinux86> la vulnerabilità è stata risolta poche ore dopo> averla scoperta, i programmatori opensource sono> rapidissimi:> > http://forum.ubuntu-it.org/index.php/topic,187240.> > non siamo mica su windows che per patchare una> falla a volte passano mesi o> anni.Non dire cosi!Ora che anche i nostri politici stanno lavorando assieme senza scannarsi,guai a divulgare la verità!sei pazzo?rischi di far saltare il clima sereno di dialogo tra le parti!Vuoi esserne responsabile?Fai come la nostra classe giornalistica!autocensurati!non creare flames,lascia che i comandanti possano decidere in totale rilassatezza senza che qulcuno debba giudicarne l'operato!La vita politica insegna,e vale anche per l'ambito informatico!FrancoRe: Vulnerabilita risolta poche ore dopo.
- Scritto da: gnulinux86> la vulnerabilità è stata risolta poche ore dopo> averla scoperta, i programmatori opensource sono> rapidissimi:In effetti è miracoloso come i programmatori opensource siano riusciti a togliere i commenti da una riga in solo poche ore!!Considerando che per decidersi a commentarla ci avevano messo ben 25 giorni la cosa stupisce davvero.Meno male che l'opensource c'è!innominatoRe: Vulnerabilita risolta poche ore dopo.
A volte decommentare pezzi di codice, vuol dire modificarne poi altri, per farlo funzionare. In un sorgente da 100.000 righe di codice(Ed è nella norma che ce ne siano almeno tante, visto che nei mie stupidi applicativi in C++ che ne sono da 3.000 a 25.000, e sono applicativi veramente stupidi), può darsi che un umano come qualunque programmatore si dimentichi di avere messo un commento provvisorio per fare funzionare un applicativo, per poi dedicarsi dopo alla correzione di un'errore e magari poi dimenticarsene. Questo come detto più volte capita in tutti i tipi di software. Anche il closed è fatto da umani e scritto come sorgente.xbomberRe: Vulnerabilita risolta poche ore dopo.
- Scritto da: gnulinux86> la vulnerabilità è stata risolta poche ore dopo> averla scoperta, i programmatori opensource sono> rapidissimi:> > http://forum.ubuntu-it.org/index.php/topic,187240.> > non siamo mica su windows che per patchare una> falla a volte passano mesi o> anni.guarda però che M$ a ficcar dentro Window$ delle backdoor fa velocissima... (e non solo lei: anche Apple sui suoi sistemi, ecc...)e chissà quante di nuove ad ogni service pack o bug-fix o aggiornamento... "di sicurezza"...basta che l'NSA chieda... o l'FBI... o la CIA... o qualche altro servizio segreto di qualche paese amico...A reloadedRe: Vulnerabilita risolta poche ore dopo.
Grazie,ero preoccupato che non fosse ancora apparso un commento tipo questo... giuro che se nessun cantinaro l'avesse scritto l'avrei fatto io al posto loro!- Scritto da: gnulinux86> la vulnerabilità è stata risolta poche ore dopo> averla scoperta, i programmatori opensource sono> rapidissimi:> > http://forum.ubuntu-it.org/index.php/topic,187240.> > non siamo mica su windows che per patchare una> falla a volte passano mesi o> anni.davide73Re: Vulnerabilita risolta poche ore dopo.
- Scritto da: gnulinux86> la vulnerabilità è stata risolta poche ore dopo> averla scopertasogna... sogna...ci hanno messo 2 anni per fixarla!The result of this is that for the last two years (from Debians Etch release until now), anyone doing pretty much any crypto on Debian (and hence Ubuntu) has been using easily guessable keys. This includes SSH keys, SSL keys and OpenVPN keys. (fonte)http://www.links.org/?p=327gennaroRe: Vulnerabilita risolta poche ore dopo.
- Scritto da: gennaro> - Scritto da: gnulinux86> > la vulnerabilità è stata risolta poche ore dopo> > averla scoperta> > sogna... sogna...> ci hanno messo 2 anni per fixarla!> The result of this is that for the last two years> (from Debians Etch release until now), anyone> doing pretty much any crypto on Debian (and hence> Ubuntu) has been using easily guessable keys.> This includes SSH keys, SSL keys and OpenVPN> keys.> (fonte)> http://www.links.org/?p=327Caro Gennaro, innanzitutto complimenti. Penso che tu sia il maggior copia-incollatore del sito, visto che questo tuo commento e' ovunque. Comunque per nome farti concorrenza ti rispondo solo qua ( ho usato il mio random perfettamente funzionante per decidere, visto che sono ben lontano dall'essere un debianista con il random-tarocco me lo posso permettere).La differenza tra quello che dici tu e la verita' e' immensa. Il fatto che ci siano delle falle in TUTTI i sistemi ( open e closed ) e' normalissimo. Il punto e'... dopo che scopro una falla quanto ci metto a sistemarla. Alla Microsoft una falla resta li' 2 anni, poi la scoprono e dopo due anni la fixano. Qui la falla e' rimasta li' 2 anni, l'hanno scoperta e dopo 2 ore era a posto.Il tempo di FIX non e' il tempo che intercorre da quando viene pubblicato il software buggato a quando lo fixano, ma da quando viene scoperto il bug a quando lo fixano. Quindi tieniti pure i tuoi troll-commenti tutti uguali, se non sai neanche di che stai parlando.HoXRe: Vulnerabilita risolta poche ore dopo.
- Scritto da: gnulinux86> la vulnerabilità è stata risolta poche ore dopo> averla scoperta, i programmatori opensource sono> rapidissimi:> > http://forum.ubuntu-it.org/index.php/topic,187240.> > non siamo mica su windows che per patchare una> falla a volte passano mesi o> anni.Ma LOL poche ore, come al solito voi linari vi fate abbindolare. La falla è stata introdotta nel 2006, scoperta chissà quando e loggata come minimo a Gennaio del 2008, poi secretata da debian come dimostra il log su Mitre."Candidate assigned on 20080109 and proposed on N/A"nome e cognomeRe: Vulnerabilita risolta poche ore dopo.
LEGGI BENE!Sono passati due anni, è dal settenbre 2006 che è buggato!blasettiRe: Come volevasi dimostrare...
è stata risolta poche ore dopo.http://forum.ubuntu-it.org/index.php/topic,187240.0.htmlnon siamo su windows che per patchare una falla passano mesi o anni.-----------------------------------------------------------Modificato dall' autore il 15 maggio 2008 00.38-----------------------------------------------------------gnulinux86Re: Come volevasi dimostrare...
- Scritto da: gnulinux86> è stata risolta poche ore dopo.FALSO! E' stata risolta dopo 2 anni!!!!The result of this is that for the last two years (from Debians Etch release until now), anyone doing pretty much any crypto on Debian (and hence Ubuntu) has been using easily guessable keys. This includes SSH keys, SSL keys and OpenVPN keys. (fonte)http://www.links.org/?p=327gennaroRe: Come volevasi dimostrare...
Genio, è stata risolta poche ore dopo che è stata SCOPERTA.Se tu ragionassi nello stesso modo per Windows, le patch che escono oggi allora sarebbero relative a bug immessi nel primissimo kernel, cioè quello di NT, altrochè 2 anni, lì siamo sui 10 anni ^___^Quando si calcola la velocità nel patchare, si calcola dalla scoperta, non dalla presunta comparsa del bug, genio che non sei altro.SenbeeRe: Come volevasi dimostrare...
COSA C'ENTRA!!!E da due anni che gira il pacchetto buggato, chissa quante persone se ne sono acorte e hanno sfruttao la falla!Altro che OpenSource sicuro eprche tutti controllano il codice, la era da anni che nessuno lo controllava.Vergogna....blasettiRe: Come volevasi dimostrare...
caspita ... che inglese!deepredRe: Come volevasi dimostrare...
Pollo, la security trhu obscurity e' il contrario ovvero "sono sicuro che nessuno mi cracca perche' non sanno che algoritmo uso", e se tu avessi studiato crittografia sapresti che l'unica cosa che deve essere segreta e' la password, non l'algoritmo. La STO e' applicata dagli incapaci.Oh, e per tua informazione, la falla e' stata trovata su debian UNSTABLE, ti suggerisce niente?Pollo.AndreaRe: Come volevasi dimostrare...
- Scritto da: Andrea> Oh, e per tua informazione, la falla e' stata> trovata su debian UNSTABLE, ti suggerisce> niente?A me suggerisce che non ha idea di ciò di cui si sta parlando.Il bug affligge etch, che è stata rilasciata l'8 aprile 2007.Ovvero il bug si è fatto 13 mesi di release stabile.E a parte questo davvero non capisco la mania di rispondere seriamente a quello che è un troll, tra l'altro abbastanza preparato da dire tutto il contrario di ciò che un informatico con un po' di cervello direbbe.Farsi 4 risate no?innominatoRe: Come volevasi dimostrare...
Non è vero, era presente da due anni e il pacchetto era finito pure su debia etch. Da DUE anni!blasettiWin backdoor
ok... su debian e derivate c'era una vulnerabilità...dopo poche ore è stata risolta e i sistemi possono essere aggiornati e sicurizzati...ce ne sono altre? molto molto molto difficile... e nel dubbio chiunque può prendersi il codice e cercare, trovare, verificare, correggere...bravi winari, vi siete sfogati, avete criticato e trollato in abbondanza...qualcuno di voi mi sa dire (dati certi alla mano, fatti e non parole) se, quali e quante vulnerabilità e backdoor ci sono nel s.o. window$ che state usando (molti di voi probabilmente in modo illegale senza aver pagato la licenza)???rispondo io per voi: NO! e se anche voleste NON potete: il codice non è libero e zio Bill a voi non lo fa di certo vedere...di sicuro invece quel codice lo vedono e ci mettono mano tanti altri e per tanti scopi... magari anche diciamo "discutibili"...ciaops: w echelon!A reloadedRe: Win backdoor
- Scritto da: A reloaded> qualcuno di voi mi sa dire (dati certi alla mano,> fatti e non parole) se, quali e quante> vulnerabilità e backdoor ci sono nel s.o. window$> che state usando (molti di voi probabilmente in> modo illegale senza aver pagato la> licenza)???> > rispondo io per voi: NO! Ma veramente tu avevi già risposto per "noi" altrove>stanne certo: ne sono pieni zeppi (NSA Problem, appunto, ecc. ecc.)>guarda però che M$ a ficcar dentro Window$ delle backdoor fa velocissima... (e non solo lei: anche Apple sui suoi sistemi, ecc...)...basta che l'NSA chieda... o l'FBI... o la CIA... o qualche altro servizio segreto di qualche paese amico...Dato che è evidente la tua sicurezza vuol dire che il codice lo hai visto e lo hai controllato, fai prima a rendere pubbliche le backdoor così Microsoft ed Apple sono costrette a toglierle.Non ti pare?Ovviamente se così non è sei solo un trollazzo che farebbe meglio ad andare a nascondersi.innominatoRe: Win backdoor
- Scritto da: innominato> - Scritto da: A reloaded> > qualcuno di voi mi sa dire (dati certi alla> mano,> > fatti e non parole) se, quali e quante> > vulnerabilità e backdoor ci sono nel s.o.> window$> > che state usando (molti di voi probabilmente in> > modo illegale senza aver pagato la> > licenza)???> > > > rispondo io per voi: NO! > > Ma veramente tu avevi già risposto per "noi"> altrove> > >stanne certo: ne sono pieni zeppi (NSA Problem,> appunto, ecc.> ecc.)> > >guarda però che M$ a ficcar dentro Window$ delle> backdoor fa velocissima... (e non solo lei: anche> Apple sui suoi sistemi,> ecc...)> ...> basta che l'NSA chieda... o l'FBI... o la CIA...> o qualche altro servizio segreto di qualche paese> amico...> > Dato che è evidente la tua sicurezza vuol dire> che il codice lo hai visto e lo hai controllato,> fai prima a rendere pubbliche le backdoor così> Microsoft ed Apple sono costrette a> toglierle.> Non ti pare?> > Ovviamente se così non è sei solo un trollazzo> che farebbe meglio ad andare a> nascondersi.http://www.schneier.com/blog/archives/2007/01/nsa_helps_micro_1.htmlciao trollazzoA reloadedRe: Win backdoor
- Scritto da: A reloaded> http://www.schneier.com/blog/archives/2007/01/nsa_> ciao trollazzoProbabilmente ti è ignoto il significato di dimostrazione.Le chiacchiere in un discorso serio hanno valore 0.innominatoRe: Win backdoor
Ce ne saranno sicuramente altre. L'importante è che appena verranno scoperte vengano tappate in poche ore come questa.xbomberRe: Win backdoor
contenuto non disponibileunaDuraLezioneRe: Win backdoor
- Scritto da: unaDuraLezione> > è importante che vengano tappate odpo poche ore,> ma, se sono lì da due anniper due anni nel ramo unstable,ovvero "installa a tuo rischio e pericolo"merlinoRe: Win backdoor
- Scritto da: A reloaded> ok... su debian e derivate c'era una> vulnerabilità...> dopo poche ore è stata risolta e i sistemi> possono essere aggiornati e> sicurizzati...veramente è stata risolta dopo 7 mesi, leggi la news, non fermarti al titolofallVulnerabilità risolta solo dopo 2 anni..
The result of this is that for the last two years (from Debians Etch release until now), anyone doing pretty much any crypto on Debian (and hence Ubuntu) has been using easily guessable keys. This includes SSH keys, SSL keys and OpenVPN keys. (fonte)http://www.links.org/?p=327gennaroRe: Vulnerabilità risolta solo dopo 2 anni..
Letta così è decisamente falsa l'informazione. Il codice è stato modificato 2 anni fa ma non penso proprio che non sia mai stato usato x fare dei casini.Non puoi paragone questo a quanto succede nel mondo microsoft dove ricordo che x tappare la falla che permetteva la propagazione in rete di virus come sasser e worm.blast microsoft ci ha messo mesi e nel frattempo bisognava provvedere installando firewall esterni (non esisteva ancora sp2). Non sono nenanche certo che quella falla sia mai stata corretta, avevo letto che con sp2 non avevano fatto altro che mettere un firewall che bloccava le porte usate da questi virus ma che il codice bacato non era stato riscritto.barra78Re: Vulnerabilità risolta solo dopo 2 anni..
- Scritto da: barra78> Letta così è decisamente falsa l'informazione. non è falsa informazione, ma è la triste e pura verità. Siete stati "open" per ben 2 anni!!!>Il> codice è stato modificato 2 anni fa ma non penso> proprio che non sia mai stato usato x fare dei> casini.Chiunque potesse leggere i sorgenti poteva accorgersi della falla, quindi usarla per attaccare i sistemi linux a vostra insaputa!tenenteRe: Vulnerabilità risolta solo dopo 2 anni..
nessuno lo ha fatto altrimenti ci si sarebbe accorti prima del problema. Se un hacker avesse scoperto la falla ci sarebbero stati massicci attacchi a sistemi debian-based con la stessa tecnica e ci si sarebbe accorti prima della maialata.Le differenza tra linux e il mondo microsoft è proprio quella. Hai mai letto i rapporti sulla sicurezza microsoft? Vista ha bug che erano presenti anche in windows 2000 e sono stati corretti solo recentemente con patch.barra78Re: Come volevasi dimostrare...
Bah... A me due giorni prima della comparsa di questo articolo ha scaricato in automatico gli aggiornamenti di ssh e openssl... Nessun software è esente da bachi (Anche gravi), closed ed open non sono differenti in questo, l'importante è che bachi e falle vengano risolti in modo celere. A me hanno dimostrato di risolverli in modo molto celere.L'unico vantaggio che può avere l'open è che essendo i sorgenti sotto gli occhi di chi vuole controllarli, si accorge in fretta di cose come:... Citazione ...Secondo quanto spiegato in questo post di geekinfosecurity.blogspot.com, l'errore sarebbe stato introdotto da "un solerte packager del gruppo Debian, che ha commentato delle righe di codice necessarie per la generazione casuale dei numeri di OpenSSL".... Fine citazione ...xbomberRe: Come volevasi dimostrare...
- Scritto da: xbomber> L'unico vantaggio che può avere l'open è che> essendo i sorgenti sotto gli occhi di chi vuole> controllarli, si accorge in fretta di coseROTFL.Erano così tanto sotto gli occhi di tutti... che se ne sono accorti dopo ben 2 anni!!!!The result of this is that for the last two years (from Debians Etch release until now), anyone doing pretty much any crypto on Debian (and hence Ubuntu) has been using easily guessable keys. This includes SSH keys, SSL keys and OpenVPN keys. (fonte)http://www.links.org/?p=327tenenteRe: Come volevasi dimostrare...
Se ne sono accorti quando si è presentato il problema... In due ore è stato poi risolto.xbomberRe: Come volevasi dimostrare...
Pensa che su Windows si accorgono adesso di falle di 15 anni fa.SenbeeRe: Come volevasi dimostrare...
>"security thorouhgt obscauritys"non voglio conoscere la tua insegnante di inglese...falle i miei auguri più viviclaudioRe: Come volevasi dimostrare...
- Scritto da: xbomber....> L'unico vantaggio che può avere l'open è che> essendo i sorgenti sotto gli occhi di chi vuole> controllarli, si accorge in fretta di cose....Ma questo non è detto, per esempio prendi questo post ... è sotto gli occhi di tutti che l'autore è un TROLL eppure ha già 18 risposte e relative discussioni.il gelato che uccidela fama crea gossip
Non sapete quanto piacere mi faccia una notizia come questa, perchè lo scalpore che suscita una falla nella sicurezza, anche se subito risolta, in un sistema open osurce fino a "ieri" relativamente poco considerato, ne dimostra la sua crescente fama e la diffusione sempre più capillare.La "fama" porta anche a questo, e perchè no? ci sta dentro.....PetengyRe: la fama crea gossip
- Scritto da: Petengy> Non sapete quanto piacere mi faccia una notizia> come questa, perchè lo scalpore che suscita una> falla nella sicurezza, anche se subito risolta,> in un sistema open osurce fino a "ieri"> relativamente poco considerato, ne dimostra la> sua crescente fama e la diffusione sempre più> capillare.> > La "fama" porta anche a questo, e perchè no? ci> sta> dentro..... Mah guarda, il "gossip" c'è sempre stato intorno al mondo open source, che si basa abbunto sulla condivisione delle conoscenze. Appena qualcuno trova un problema, lo sanno rapidamente tutti quanti.NifftRe: la fama crea gossip
quello non è gossip, ma collaborazione, grazie al signore è una cosa ben diversa :) ...PetengyRe: la fama crea gossip
- Scritto da: Petengy> Non sapete quanto piacere mi faccia una notizia> come questa, perchè lo scalpore che suscita una> falla nella sicurezza, anche se subito risolta,> in un sistema open osurce fino a "ieri"> relativamente poco considerato, ne dimostra la> sua crescente fama e la diffusione sempre più> capillare.> > La "fama" porta anche a questo, e perchè no? ci> sta> dentro.....non conosco nessuno che usi linux, per cui immagino che la sua diffusione sia appena dello 0.01%non mi pare quindi il caso di fare ipotesi come la tuaa limite potevi dire quello che con molta arroganza la vostra elite freesoftware non vuole ammettere (forse per ignoranza): non esiste software senza bugyumyRe: la fama crea gossip
- Scritto da: yumy> non conosco nessuno che usi linux, per cui> immagino che la sua diffusione sia appena dello> 0.01%Non conosco nessuno che fuma le canne quindi immagino che la diffusione della cannabis sia inferiore allo 0.00001%.> non mi pare quindi il caso di fare ipotesi come> la> tuanon è un ipotesi.. l'articolo su punto informatico lo dimostra come certezza.> a limite potevi dire quello che con molta> arroganza la vostra elite freesoftware non vuole> ammettere (forse per ignoranza): non esiste> software senza> bugno non volevo dire quello, volevo dire che il fatto che se ne parli anche qui (PI) implica che è un OS noto e consciuto (tranne che da te ovviamente).ammetto tranquillamente l'esistenza di bug ovunque possa essere ammissibile la probabilità che ce ne siano ...IncredibileRe: la fama crea gossip
- Scritto da: yumy> > non conosco nessuno che usi linux, per cui> immagino che la sua diffusione sia appena dello> 0.01%> Anche io non conosco nessun musulmano, quindi la diffusione dell'islam sarà dello 0.01%? (newbie)AtariLoverRe: la fama crea gossip
Io non conosco nessuno che abbia mai visto l'ossigeno nell'aria quindi immagino sia diffuso meno dello 0.00001%AriaRe: la fama crea gossip
- Scritto da: yumy> non conosco nessuno che usi linux, per cui> immagino che la sua diffusione sia appena dello> 0.01%Io non conosco nessun cinese quindi immagino che i cinesi non esistano... (rotfl)(rotfl)(rotfl) > non mi pare quindi il caso di fare ipotesi come> la> tua> > a limite potevi dire quello che con molta> arroganza la vostra elite freesoftware non vuole> ammettere (forse per ignoranza): non esiste> software senza> bugChe dici mai? i software senza bug li fa solo la M$! E lo sai perché? perché è spesso difficile distinguere se certe caratteristica sono dei bug o sono proprio volute......"defective by design"NifftMicrosoft sistema 6 FALLE
Giusto per calmierare i toni ricordate che, sempre di oggi, c'è la news delle 6 falle tappate da M$.ParCondicioParCondicioRe: Microsoft sistema 6 FALLE
iscrivity a una security bulletin su Linux e vedi che la i bug escono a nastro, 6 al giorno non sono nientee in confronto.te lo dicoio che con linux sono costretto a lavorarci, e le falle sono dappertutto. se sembra sicuro è solo eprche nessuno lo attacca da quanto poco diffuso è. se si diffonde un alro po pero vedi che macello viene fuori.blasettiUbuntu stamattina si è aggiornato
Automaticamente.Bug-fixing efficiente come in winzoz, o no?Ricco in cannaRe: Ubuntu stamattina si è aggiornato
Veramente a me è successo ieri sera! :)SeverissimusRe: Ubuntu stamattina si è aggiornato
- Scritto da: Severissimus> Veramente a me è successo ieri sera! :)a me è da due giorni che mi si aggiornano gli ubuntu e visto che ho dei server debian etch ho fatto l'upgrade pure di quello.Risultato ?Poiché avevo un sacco di connessioni openssh senza login ( per i sync del codice ) ho dovuto andare a sostituire le varie authorized_keys ... due OO.Vabbè, comunque anche per Linux vale : "Il tempo che perdete, non è tempo perso" ... soprattutto quando in una mattinata risolvi i problemi senza telefonare o reinstallare e ti pagano.Anzi devo dire che è una vera manna ... pensa ti arriva la telefonata ... quel sistema non funziona ... tu vai li password di root, sftp scarichi la chiave e dopo 5 minuti ... PRONTO ! E il cliente pensa ... caspita questo si che è bravo ... e sgancia ! :D.il gelato che uccideRe: Ubuntu stamattina si è aggiornato
- Scritto da: il gelato che uccide> > Vabbè, comunque anche per Linux vale : "Il tempo> che perdete, non è tempo perso" ... soprattutto> quando in una mattinata risolvi i problemi senza> telefonare o reinstallare e ti> pagano.> > Anzi devo dire che è una vera manna ... pensa ti> arriva la telefonata ... quel sistema non> funziona ... tu vai li password di root, sftp> scarichi la chiave e dopo 5 minuti ... PRONTO ! E> il cliente pensa ... caspita questo si che è> bravo ... e sgancia !> :D.E poi dicono che l'open source non paga!!!!!roberto diRe: Ubuntu stamattina si è aggiornato
gia, dopo solo due anni che il pacchetto buggato è in giro...chissa quanti l'hanno sfruttao per entrare su deiu sistemi senza autorizzazione. Anche se lo fanno non si nota mica, risulta come un normale accesso.non usero mai piu debian e ubuntu.blasettiRe: Ubuntu stamattina si è aggiornato
A parte il "chissenefrega" quanto meno doveroso, mi pare che l'efficenza nel sistemare le cose sia sempre e comunque ben superiore della concorrenza, visto che la patch è uscita il giorno prima che le riviste specializzate scrivessero articoli sul bug, mentre con altri SO di solito si deve aspettare mesi anche per falle 0-Day.SeverissimusRe: Ubuntu stamattina si è aggiornato
Sì ma il problema, cioè le chiavi già generate, rimane.Toshiro MifuneRe: Ubuntu stamattina si è aggiornato
- Scritto da: Toshiro Mifune> Sì ma il problema, cioè le chiavi già generate,> rimane.Scusate, quali chiavi sono da considerare compromesse, a parte quelle dei servizi elencate nell'articolo?Quelle gpg e per l'accesso al sistema non dovrebbero essere toccate dalla falla, giusto?Grazie.devnullRe: Ubuntu stamattina si è aggiornato
sia in debian e ubuntu installando l'aggiornamento di openssh-server viene installato anche "ssh-vulnkey" che è utile per scoprire se le chiavi analizzate sono pericolosele chiavi gpg non sono fallatemonossidoRe: Ubuntu stamattina si è aggiornato
- Scritto da: Ricco in canna> Automaticamente.> > Bug-fixing efficiente come in winzoz, o no?Io l'ho fatto ieri mattina... ma è lo stesso aggiornamento?NifftRe: Ubuntu stamattina si è aggiornato
- Scritto da: Ricco in canna> Automaticamente.si però la falla era nota al pubblico da novembre 2007> > Bug-fixing efficiente come in winzoz, o no?decisamente nozonaxRe: Ubuntu stamattina si è aggiornato
gia, dopo solo due anni che il pacchetto buggato è in giro...blasettiÈ solo un errore di comunicazione ...
Gli hanno chiesto di fare qualcosa comparabile ai prodotti commerciali e loro lo hanno applicato troppo alla lettera.Comunque bisogna avere una bella fantasia nell'andare a pasticciare col codice delle OpenSSL ... non so se credere fino in fondo che un "packager" con estrema leggerezza abbia modificato un generatore di numeri casuali all'interno del codice crittografico, mi sembra un po` azzardato.Un'altra cosa che non mi spiego è che esiste in Linux un tale /dev/random che utilizza un generatore hardware interno al kernel (che si basa sui tempi di accesso ai vari hardware) e che pensavo fosse utilizzato almeno nell'implementazione nativa, come seed.Invece ora scopro che tutto si basa su /dev/urandom e un buffer che non è riempito ?Mah ...il gelato che uccideLa sicurezza sui sistemi OpenSource.
Questo articolo su Punto-Informatico è la dimostrazione, che nessun Sistema Operativo è esente da falle, ma dimostra sopratutto che il mondo OpenSource più è sicuro, analizziamo i fatti, questa vulnerabilità di cu si parla nell'articolo, è stata patchata 2 ore dopo la sua scoperta, una rapidità incredibile, pensate che stiamo parlando di sistemi poco diffusi come Debian & Ubuntu. Mi domomando facendo riferimento ad un altra notizia riporta da Punto-Informatico quella del patcht-day di maggio2008 di Windows, come sapete Microsoft il primo martedi di ogni mese prende un numero ristretto delle migliaia vulnerabilità che affligono Windows e ne rilascia le patch, lo so che non sono in grado di patchare tutte le falle scoperte altrimenti non si chiamerebbe più Windows, ma è davvero spaventoso, sapere che la falla di gestione dei database Microsoft Jet, era presente dal 2000 ed stata patchata a maggio del 2008, una falla con il grado di pericolosità critico, meno male che Windows è il Sistema più diffuso al mondo, lasciare una falla aperta 8 anni che mette a rischio miliardi di pc è vergognoso(putroppo c'è ne stann altre ma Windows è closedsource, quindi possono prendersi tutto il tempo che si vuole)comincio a pensare che su Windows la sicurezza sia un optional.gnulinux86Re: La sicurezza sui sistemi OpenSource.
credo anche io che Su Windows la sicurezza sia un optional come scrivi tu, la cosa che mi fa più incazzare è questo come si spiega che su ubuntu, una falla grave si rsolva dopo 2 ore, nonostonte sia poco diffuso, e su Windows usato da miliardi di persone passano 8 anni mah....Massimo PonticiniRe: La sicurezza sui sistemi OpenSource.
Non ha scritto tutto, hai dimeticato di parlare della poca trasparenza di Microsoft, la falla di cui parli, è stata scoperta 8 anni fa, però Microsoft la resa pubblica ai suoi utenti solo a marzo 2008, che senso ha tenere nascoste le falle hai propi utenti.federicozRe: La sicurezza sui sistemi OpenSource.
tenerle nascoste anche a chi conduce gli attacchi nella speranza che non scoprano le falle...invece che eliminarle mi sembra molto intelligente come cosa -.-ginoRe: La sicurezza sui sistemi OpenSource.
io ero uno di quelle tante persone che ha sempre comprato tutto, windows office, perchè credevo di essere tutelato, ma adesso ho capito come ragionano quelli delle microsoft, pensanso solo a a fare i soldi sulle nostre spalle, io non ci sto più ad essere preso per il culo, sono passato da poco ad ubuntu e sepotessi frei causa a microsoft, per come ci trattano la farei, microsoft mi sembra una mafia.