Microsoft controlla il file Hosts?

Un esperto di sicurezza sostiene che Microsoft si avvale di funzioni non documentate di Windows per bypassare il file Hosts di Windows e rendere accessibili certi suoi siti anche quando vengono filtrati dall'utente


Roma – In un post recentemente apparso su SecurityFocus , Dave Korn sostiene di aver scoperto che “Microsoft sabota deliberatamente” il tradizionale funzionamento del DNS (Domain Naming System).

Korn spiega infatti che molti degli indirizzi che puntano a propri domini, go.microsoft.com o www.windowsmedia.com , non possono essere filtrati mediante il file Hosts di Windows. Questo file, come i più esperti sanno, è una tabella locale che contiene le corrispondenze tra nomi di dominio (come www.p-i.it) e indirizzi IP (come 62.85.163.47): il sistema operativo consulta sempre questo file prima di inoltrare la richiesta ad un server DNS. Ciò consente ad esempio all’utente o all’amministratore di sistema di assegnare ad un nome di dominio un indirizzo IP arbitrario, come l’indirizzo dell’host locale (127.0.0.1): ciò viene spesso fatto per ragioni di sicurezza, ad esempio per bloccare l’accesso verso siti che contengo spyware o altri tipi di malware. Ma questa caratteristica viene sfruttata anche da certi worm e cavalli di Troia per impedire l’accesso ai siti dei produttori di antivirus.

Ebbene, ciò che ha scoperto Korn è che, assegnando a certi indirizzi di Microsoft un indirizzo IP locale o nullo, questi risultano ancora accessibili. In pratica, Microsoft ha fatto in modo che applicazioni come il Windows Media Player possano continuare a collegarsi ad alcuni siti di sua proprietà anche se questi sono stati filtrati nel file Hosts.

Korn descrive questo comportamento come “una gravissima violazione del meccanismo standard della risoluzione dei nomi di dominio”, e fa inoltre notare come esso avvantaggi esclusivamente i prodotti e i servizi del big di Redmond. L’esperto ritiene infine che questa funzione non documentata possa essere utilizzata dai cracker per azioni ostili, come ad esempio il blocco trasparente di certi siti.

Della questione si è occupato anche Paolo Attivissimo, sul cui blog è possibile leggere un approfondimento e alcune analisi.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Mysql...
    Ottimo per applicazioni web non troppo complesse e, se configurato correttamente davvero indistruttibile.
    • Anonimo scrive:
      Re: Mysql...
      Mi spiace ma dissento completamente.MySQL non e' ottimo per nessun tipo di applicazione.Per le piccole applicazioni web esiste sqlite che e' 50 volte piu' semplice da usare, piu' leggero e va come un cannone.Se invece hai bisogno di un database piu' sostanzioso da postgresql in su ci sono numerosi esempi di rdbms seri, solidi, scalabili.Il suo "stare nel mezzo" lo rende inutile a prescindere, questa e' la realta'.
      • Anonimo scrive:
        Re: Mysql...
        Vai a spiegarlo a quelle centinaia di migliaia di sviluppatori che lo usano, magari ti danno opinioni diverse.
        • Anonimo scrive:
          Re: Mysql...
          SQLite non è poi questa manna... Se si inizia ad usarlo seriamente ci si accorge che mancano alcuni tipi di dati e la flessibilità che invece MySQL ha... Ovviamente dipende dall'applicazione, per fare una rubrica SQLite va benissimo, già per fare un forum bisogna un po' lottare, e a quel punto gratis per gratis uso MySQL
          • Anonimo scrive:
            Re: Mysql...

            e a quel
            punto gratis per gratis uso MySQLNon esageriamo. MySQL non e' proprio cosi' gratis, comeil 90% della gente crede. La licenza commerciale c'e'apposta. E li devi pagare. E in quel caso io uso Postgres.Allora torna il discorso gratis per gratis uso Postgres.
          • Anonimo scrive:
            Re: Mysql...
            Quoto, al momento tra i DB gratutiti ritengo il migliore sia Postgre.MySQL è indubbiamente il più utilizzato, ma, anche nella nuova versione non implementa caratteristiche che ci sono da anni in Postgre.Può essere che con questo nuovo motore si faccia un passo in avanti, staremo a vedere.Il fatto che sia pesante o leggero importa poco, importa le caratteristiche che ha. Se devi fare un sito estremamente semplice mysql va anche bene, ma personalmente, se posso, uso Postgre.Se poi ti rivolgi a DB commerciali vedi che sono più pesanti di quelli gratuiti in quanto incorporano un'infinità di funzioni che la maggior parte degli utenti non sa neanche che esiste.Comunque bisognerebbe che qualcuno segua un corso serio di Database per capire quante e quali siano le carenze di Mysql...
          • Anonimo scrive:
            Re: Mysql...
            - Scritto da: Anonimo
            Comunque bisognerebbe che qualcuno segua un corso
            serio di Database per capire quante e quali siano
            le carenze di Mysql...Io sono un DBA Oracle, ma devo dire che MySQL per molte applicazioni medio-piccole non è male.I tipi di dati sono molto flessibili e la configurazione sicuramente anni luce più semplice.Senza contare che la maggior parte delle distribuzioni Linux con l'installazione te lo mette sù già stabile e ben configurato.Mi mancano molto alcune comodità di Oracle come le join attraverso query nidificate, come la classica:select * from tabella1 where campo1 in select campox from tabella2;ma alla fine la possibilità dell'operatore . (punto) per referenziare una tabella partendo dal database è troppo comodo!Poi quasi tutte le query di MySQL vengono eseguite nell'ordine dei decimi se non addirittura dei centesimi di secondo. Pochissimi DB possono vantare questa velocità.
          • Anonimo scrive:
            Re: Mysql...
            E con l'integrità referenziale come la metti?Trigger e store procedure le hanno messe nell'ultima versione, d'accordo, ma con l'integrità referenziale come fai?Con postgres ti assicuro che funzionano esattamente come in MSSQL o il tuo Oracle (quest'ultimo secondo me il miglior DBMS in circolazione).
          • Anonimo scrive:
            Re: Mysql...
            - Scritto da: Anonimo
            E con l'integrità referenziale come la metti?
            Trigger e store procedure le hanno messe
            nell'ultima versione, d'accordo, ma con
            l'integrità referenziale come fai?InnoDB al posto di MyISAM
          • Anonimo scrive:
            Re: Mysql...
            Guarda, personalmente ho usato per anni MySQL e ha certamente alcuni difetti. Postgres ha una serie di vantaggi assoluti, come Oracle ne ha degli altri di sicuro che non conosco siccome non l'ho potuto usare, avendo la mia esperienza ferma a MySQL, Firebird e Postgres.Pero' prima di sparare certe ca..ate sarebbe opportuno documentarsi. L'integrita' referenziale c'e' sempre stata con lo storage engine InnoDB. MyISAM e' lo storage engine di default, e non supporta l'integrita', ma questo non vuole dire nulla se non che chi fa certe sparate o non ha mai usato MySQL oppure e' uno di quelli che sviluppa software senza leggere i manuali :)
          • Anonimo scrive:
            Re: Mysql...


            Comunque bisognerebbe che qualcuno segua un corso serio di Database per capire quante e quali siano le carenze di Mysql...
  • Anonimo scrive:
    MySQL? Un giocattolo...
    Molto simile a Linux...2 giocattoli. Database che con unosputacchio cade. Ha crash pesantissimi. Non regge perniente carichi elevati. Ora voglio ridere con il nuovo motore transazionale riscritto in casa propria. Vedete che bussi!
    • Anonimo scrive:
      Re: MySQL? Un giocattolo...
      quale profondo giudizo critico...
    • MeDevil scrive:
      Re: MySQL? Un giocattolo...
      - Scritto da: Anonimo
      Molto simile a Linux...2 giocattoli. Database che
      con uno
      sputacchio cade. Ha crash pesantissimi. Non regge
      per
      niente carichi elevati. Ora voglio ridere con il
      nuovo motore transazionale riscritto in casa
      propria. Vedete che bussi!Lol... ebbè se linux è un giocattolo, non oso immaginare winzoz cosa possa essere... :D Saluti, MeDevil
    • pikappa scrive:
      Re: MySQL? Un giocattolo...
      - Scritto da: Anonimo
      Molto simile a Linux...2 giocattoli. Database che
      con uno
      sputacchio cade. Ha crash pesantissimi. Non regge
      per
      niente carichi elevati. Ora voglio ridere con il
      nuovo motore transazionale riscritto in casa
      propria. Vedete che bussi!Se linux è un giocattolo, beh windows cos'è una sorpresa dell'uovo di pasqua? (di quelli economici)MySql è sicuramente un dbrms piuttosto semplice, e parecchio soppravvalutato, ma di fatto è molto veloce, e per applicazioni web, o piccole applicazioni (io lo uso per db di utenti posta/IM etc) è parecchio solido e affidabile (io i crash che dici tu non li ho mai visti), per applicazioni più grandi c'è Postrgresql
    • Anonimo scrive:
      Re: MySQL? Un giocattolo...
      Ipse dixit.
    • Anlan scrive:
      Re: MySQL? Un giocattolo...
      - Scritto da: Anonimo
      Database che con uno
      sputacchio cade. Definisci "sputacchio"
      Ha crash pesantissimi. Puoi darmi qualche tua procedura che lo manda in crash ?
      Non regge per
      niente carichi elevati. Questa è meravigliosa !
      nuovo motore transazionale riscritto in casa
      propria. Vedete che bussi!vedremo vedremo.
    • Anonimo scrive:
      Re: MySQL? Un giocattolo...
      ma LOL!ti avevo detto di non mangiare l'uovo di pasqua avanzato dall'anno scorso, che ti avrebbe fatto male....e invece....beh, poco male, anche così rintronato le tue belle icone ed i tuoi pupazzetti colorati dovresti riuscire a cliccarli lo stesso...
    • Anonimo scrive:
      Re: MySQL? Un giocattolo...
      - Scritto da: Anonimo
      Molto simile a Linux...2 giocattoli. Database che
      con uno
      sputacchio cade. Ha crash pesantissimi. Non regge
      per
      niente carichi elevati. Ora voglio ridere con il
      nuovo motore transazionale riscritto in casa
      propria. Vedete che bussi!AhahhahaahUno sputacchio su cui si regge il 50% dei siti Internet!!!Sì proprio spassoso...È uno dei database più veloci del mondo, perfino su winzozz è velocissimo, e se non serve il supporto alle transazioni è il miglior database esistente.Poi ognuno è giusto che usi gli strumenti più appropriati al compito da svolgere e MySQL non è un prodotto universale.Ma da li a sputarci sopra senza dimostrazioni e fonti ce ne vuole...
    • Anonimo scrive:
      Re: MySQL? Un giocattolo...
      - Scritto da: Anonimo
      Molto simile a Linux...2 giocattoli. Database che
      con uno
      sputacchio cade. Ha crash pesantissimi. Non regge
      per
      niente carichi elevati. Ora voglio ridere con il
      nuovo motore transazionale riscritto in casa
      propria. Vedete che bussi!Invece l'accoppiata Windows+MSSQL assomiglia molto alla coppia che ho appena lasciato nella tazza del cesso....
    • Anonimo scrive:
      Re: MySQL? Un giocattolo...
      - Scritto da: Anonimo
      Molto simile a Linux...2 giocattoli. si certo giocatolli che tengono su Cluster di application server in HA
      Database che con uno
      sputacchio cade. Ha crash pesantissimi. Non regge
      per niente carichi elevati. portaci un'esempio in cui ha utilizzato MySQL riportando dati e dettagli poi vediamo
      Ora voglio ridere con il
      nuovo motore transazionale riscritto in casa
      propria. Vedete che bussi!e comincia pure a ridere, io sicuramente ho cominciato prima di te a ridere, . . . leggendo il tuo post
  • Anonimo scrive:
    Una 500 col motore di una ferrari!
    Perchè non fanno un modulo anche per il vecchio dbase dato che ci sono.
    • Anonimo scrive:
      Re: Una 500 col motore di una ferrari!
      - Scritto da: Anonimo
      Perchè non fanno un modulo anche per il vecchio
      dbase dato che ci sono.Hmm.... grazie per l'idea, provvederemo al più presto.
      • Anonimo scrive:
        Re: Una 500 col motore di una ferrari!
        magari,cmq perche non ha il csv il 5 come descritto sul sito e come si abilita ?comunque il fatto di essere pluginabile lo rende tostopermetterebbe forse di _plughinare_ un relfs e avere una doppia gestione del filesystem (una da db e l'altra da os)
    • Anonimo scrive:
      Re: Una 500 col motore di una ferrari!
      La cinquecento e' un auto gloriosa.Direi una Duna con... il motore di una Duna :D
      • Anonimo scrive:
        Re: Una 500 col motore di una ferrari!
        ehehe nunc est rosicandum....se mysql è una duna, sqlserver cos'è?un'ape car?un risciò?un pedalò?un salvagente a forma di ochetta?signùr che gente triste....
        • Anonimo scrive:
          Re: Una 500 col motore di una ferrari!

          signùr che gente triste....Voi SQL server non l'avete mai visto all'opera. Soprattutto non l'avete mai visto all'opera, configurato da gente chesa il fatto suo (e ce n'e' poca). Il 90% dei sqlserver che sipiantano o danno problemi, sono configurati da personeche non hanno la benche' minima idea di quello che fanno, e se hanno qualche instabilita' sul sistema, finiscono per dare la colpa a Sql Server, anziche' allapropria incompetenza ( e di DBA incompetenti, Mysqlne ha creati proprio tanti).
          • Anonimo scrive:
            Re: Una 500 col motore di una ferrari!
            - Scritto da: Anonimo

            signùr che gente triste....

            Voi SQL server non l'avete mai visto all'opera.
            Soprattutto non l'avete mai visto all'opera,
            configurato da gente che
            sa il fatto suo (e ce n'e' poca). Il 90% dei
            sqlserver che si
            piantano o danno problemi, sono configurati da
            persone
            che non hanno la benche' minima idea di quello
            che
            fanno, e se hanno qualche instabilita' sul
            sistema, finiscono per dare la colpa a Sql
            Server, anziche' alla
            propria incompetenza ( e di DBA incompetenti,
            Mysql
            ne ha creati proprio tanti).La differenza tra un MySQL e un MSSQL è proprio nel fatto che in MySQL non si deve configurare quasi nulla e anche mal configurato va benone e non crea instabilità di sorta.Poi non ho capito che c'entra la presunta incapacità degli amministratori MSSQL con MySQL.Che colpa avrebbe un piccolo db snello e veloce per applicazioni generiche nell'incapacità di chi non sa amministrare un MSSQL? Che comunque è un cesso pure lui di suo.
          • Anonimo scrive:
            Re: Una 500 col motore di una ferrari!
            - Scritto da: Anonimo

            - Scritto da: Anonimo


            signùr che gente triste....



            Voi SQL server non l'avete mai visto all'opera.

            Soprattutto non l'avete mai visto all'opera,

            configurato da gente che

            sa il fatto suo (e ce n'e' poca). Il 90% dei

            sqlserver che si

            piantano o danno problemi, sono configurati da

            persone

            che non hanno la benche' minima idea di quello

            che

            fanno, e se hanno qualche instabilita' sul

            sistema, finiscono per dare la colpa a Sql

            Server, anziche' alla

            propria incompetenza ( e di DBA incompetenti,

            Mysql

            ne ha creati proprio tanti).


            La differenza tra un MySQL e un MSSQL è proprio
            nel fatto che in MySQL non si deve configurare
            quasi nulla e anche mal configurato va benone e
            non crea instabilità di sorta.

            Poi non ho capito che c'entra la presunta
            incapacità degli amministratori MSSQL con
            MySQL.Che colpa avrebbe un piccolo db snello e
            veloce per applicazioni generiche nell'incapacità
            di chi non sa amministrare un MSSQL? Che comunque
            è un cesso pure lui di suo.MySQL non si deve configurare nulla ? Ma che dici ? Ma tu hai mai programmato qualcosa in SQL e PHP o ti sei limitato ad usare script già belli e pronti e con guida passo passo ? Non sai proprio di cosa parli.
          • Anonimo scrive:
            Re: Una 500 col motore di una ferrari!
            - Scritto da: Anonimo

            signùr che gente triste....

            Voi SQL server non l'avete mai visto all'opera.
            Soprattutto non l'avete mai visto all'opera,
            configurato da gente che
            sa il fatto suo (e ce n'e' poca). Il 90% dei
            sqlserver che si
            piantano o danno problemi, sono configurati da
            persone
            che non hanno la benche' minima idea di quello
            che
            fanno, e se hanno qualche instabilita' sul
            sistema, finiscono per dare la colpa a Sql
            Server, anziche' alla
            propria incompetenza ( e di DBA incompetenti,
            Mysql
            ne ha creati proprio tanti).Ha parlato Steve Ballmer....torna a saltellare, và!!!!
          • Anonimo scrive:
            Re: Una 500 col motore di una ferrari!
            http://www.ntk.net/ballmer/mirrors.html
Chiudi i commenti