Microsoft: giù le zampe dal nome Windows!

mah!
Non è che forse quando hai in mano i sorgenti è piu facile trovare vulnerabilità? Non è che forse il numero di advisory del cert non è strettamente in relazione al REALE numero di problemi di sicurezza che un software closed in realtà possiede? Ovvio che essendo closed si trovano (e si notificano) molto piu difficilmente...solo considerazioni.. ditemi la vostra...saluti

Re: mah!
> Non è che forse quando hai in mano i> sorgenti è piu facile trovare vulnerabilità?Sì, ma cambiando l'ordine dei fattori il prodotto non cambia. Il risultato è una maggiore vulnerabilità.Il vantaggio della GPL è che la correggi più in fertta, ma visto che software bug-free non è mai esistito e visti i continui aggiornamenti più o meno caotici intrinseci nella GPL, non riuscirari mai a tappare tutte le falle.Il fatto che l'open sia più sicuro è un falso mito. Anzi, è esattamente il contrario, se programmato bene! (E' che alla Microsoft non hanno mai brillato nel campo...e non si sono mai posti il problema, fino a poco tempo fa! ^_^)Ed è questo uno dei vari motivi per cui è una follia adottare prodotti GPL come software di stato!Mi spiego meglio!Forse non lo sapete, ma conoscendo gente che lo fa per mestiere, vi dico che le banche fanno progettare il loro software di gestione conti e tutto il resto a 3-4 aziende alla volta, che fanno parti diversi, senza che nessuna sappia cosa fa l'altra. Ovviamente tutto iper-closed, quella è la sicurezza massima raggiungibile. Nessuno, tranne la banca, sa com'è fatto il sistema.L'Open invece mette tutti i suoi bachi belli pronti di fronte a tutti. Ora, per un sito Web o un'azienda, poco importa. Normalmente fai prima a metterci la patch che a subire l'attacco.Per uno stato invece cambia tutto! Se Saddam Houssein o chi per lui, prende qualche migligaio di persone e le mette notte e giorno a studiarsi il codice GPL del Pentagono e della Casa Bianca, prima o poi un baco lo trovano. Anzi non facendo altro da mane a sera ne trovano a iosa. E ne basta uno serio per bucare tutto come groviera!Di certo non rilasciano l'advisory! E una volta fatto il buco è finita! La patch arriverà sempre troppo tardi a frittata fatta.Quando l'uso è statale la GPL è follia sotto il profilo della sicurezza!Nell'uso normale aziendale, almeno non per informazioni ultra-riservate e fondamentali per il futuro stesso dell'azienda, GPL riprende terreno, perchè le possibilità di attacco sono molto più limitate. Si fa prima a corregere, se non si è sfigati.Poi se non ci si può permettere di rischiare, si ricorre al più sicuro e rigido closed, come le banche!Qeusto è solo l'ennesimo bug contenuto nelal GPL e nella sua filosofia.Quello della sicurezza sarà un grosso problema per Linux in futuro, data l'ingovernabilità anarchica.E' intrinseco che Microsoft affini sempre di più e corregge le cose, visto che sforna una versione ogni 1-2 anni e non ogni mese o meno.E' una battaglia che Linux rischia seriamente di perdere d'imporvviso, quando la vittoria sembrava a protata di mano!

Re: mah!
- Scritto da: Ekleptical> > Non è che forse quando hai in mano i> > sorgenti è piu facile trovare> vulnerabilità?> > Sì, ma cambiando l'ordine dei fattori il> prodotto non cambia. Il risultato è una> maggiore vulnerabilità.> Il vantaggio della GPL è che la correggi più> in fertta, ma visto che software bug-free> non è mai esistito e visti i continui> aggiornamenti più o meno caotici intrinseci> nella GPL, non riuscirari mai a tappare> tutte le falle.> > Il fatto che l'open sia più sicuro è un> falso mito. Anzi, è esattamente il> contrario, se programmato bene! (E' che alla> Microsoft non hanno mai brillato nel> campo...e non si sono mai posti il problema,> fino a poco tempo fa! ^_^)> Ed è questo uno dei vari motivi per cui è> una follia adottare prodotti GPL come> software di stato!> > Mi spiego meglio!> > Forse non lo sapete, ma conoscendo gente che> lo fa per mestiere, vi dico che le banche> fanno progettare il loro software di> gestione conti e tutto il resto a 3-4> aziende alla volta, che fanno parti diversi,> senza che nessuna sappia cosa fa l'altra.> Ovviamente tutto iper-closed, quella è la> sicurezza massima raggiungibile. Nessuno,> tranne la banca, sa com'è fatto il sistema.> > L'Open invece mette tutti i suoi bachi belli> pronti di fronte a tutti. Ora, per un sito> Web o un'azienda, poco importa. Normalmente> fai prima a metterci la patch che a subire> l'attacco.> > Per uno stato invece cambia tutto! Se Saddam> Houssein o chi per lui, prende qualche> migligaio di persone e le mette notte e> giorno a studiarsi il codice GPL del> Pentagono e della Casa Bianca, prima o poi> un baco lo trovano. Anzi non facendo altro> da mane a sera ne trovano a iosa. E ne basta> uno serio per bucare tutto come groviera!> Di certo non rilasciano l'advisory! E una> volta fatto il buco è finita! La patch> arriverà sempre troppo tardi a frittata> fatta.> > Quando l'uso è statale la GPL è follia sotto> il profilo della sicurezza!> > Nell'uso normale aziendale, almeno non per> informazioni ultra-riservate e fondamentali> per il futuro stesso dell'azienda, GPL> riprende terreno, perchè le possibilità di> attacco sono molto più limitate. Si fa prima> a corregere, se non si è sfigati.> > Poi se non ci si può permettere di> rischiare, si ricorre al più sicuro e rigido> closed, come le banche!> > Qeusto è solo l'ennesimo bug contenuto nelal> GPL e nella sua filosofia.> > Quello della sicurezza sarà un grosso> problema per Linux in futuro, data> l'ingovernabilità anarchica.> E' intrinseco che Microsoft affini sempre di> più e corregge le cose, visto che sforna una> versione ogni 1-2 anni e non ogni mese o> meno.> > E' una battaglia che Linux rischia> seriamente di perdere d'imporvviso, quando> la vittoria sembrava a protata di mano!

Re: mah!
- Scritto da: Ekleptical> > Non è che forse quando hai in mano i> > sorgenti è piu facile trovare> vulnerabilità?> > Sì, ma cambiando l'ordine dei fattori il> prodotto non cambia. Il risultato è una> maggiore vulnerabilità.> Il vantaggio della GPL è che la correggi più> in fertta, ma visto che software bug-free> non è mai esistito e visti i continui> aggiornamenti più o meno caotici intrinseci> nella GPL, non riuscirari mai a tappare> tutte le falle.> > Il fatto che l'open sia più sicuro è un> falso mito. Anzi, è esattamente il> contrario, se programmato bene! (E' che alla> Microsoft non hanno mai brillato nel> campo...e non si sono mai posti il problema,> fino a poco tempo fa! ^_^)> Ed è questo uno dei vari motivi per cui è> una follia adottare prodotti GPL come> software di stato!> > Mi spiego meglio!> > Forse non lo sapete, ma conoscendo gente che> lo fa per mestiere, vi dico che le banche> fanno progettare il loro software di> gestione conti e tutto il resto a 3-4> aziende alla volta, che fanno parti diversi,> senza che nessuna sappia cosa fa l'altra.> Ovviamente tutto iper-closed, quella è la> sicurezza massima raggiungibile. Nessuno,> tranne la banca, sa com'è fatto il sistema.Io lavoro nel centro di calcolo di una banca, e ti diro': iper closed un pad di b...Tutto giusto riguardo il fatto che il software viene fatto progettare da 3-4 diversi, ma se non ci danno i listati non prendiamo nulla !!!

Re: mah!
> > Io lavoro nel centro di calcolo di una> banca, e ti diro': iper closed un pad di> b...> > Tutto giusto riguardo il fatto che il> software viene fatto progettare da 3-4> diversi, ma se non ci danno i listati non> prendiamo nulla !!!Ah! Bene, per cortesia, me li passeresti?Mi lasci una mail e ti scrivo io :))grazieCiao

Re: mah!
> Io lavoro nel centro di calcolo di una> banca, e ti diro': iper closed un pad di> b...> > Tutto giusto riguardo il fatto che il> software viene fatto progettare da 3-4> diversi, ma se non ci danno i listati non> prendiamo nulla !!!quel software e' da considerarsi closedperche' il fatto che il committente veda i sorgenti, non vuol dire che il software sia open source.Tu ti cauteli col sorgente, chi l'ha sviluppato si cautela col non disclosure agrrement, ovvero quei sorgenti tu non puoi farli vedere a nessuno che non sia autorizzato a farlo.In pratica la banca diventa parte integrante dello sviluppo facendo revisione e auditing del codice.Cioe' esattamente cio' che accade per una societa che sviluppa closed e si fa fare lo sviluppo di alcuni componenti in outsourcing.Niente a che vedere con la GPL.Ciao

Re: mah!
> Io lavoro nel centro di calcolo di una> banca, e ti diro': iper closed un pad di> b...> > Tutto giusto riguardo il fatto che il> software viene fatto progettare da 3-4> diversi, ma se non ci danno i listati non> prendiamo nulla !!!quel software e' da considerarsi closedperche' il fatto che il committente veda i sorgenti, non vuol dire che il software sia open source.Tu ti cauteli col sorgente, chi l'ha sviluppato si cautela col non disclosure agrrement, ovvero quei sorgenti tu non puoi farli vedere a nessuno che non sia autorizzato a farlo.In pratica la banca diventa parte integrante dello sviluppo facendo revisione e auditing del codice.Cioe' esattamente cio' che accade per una societa che sviluppa closed e si fa fare lo sviluppo di alcuni componenti in outsourcing.Niente a che vedere con la GPL.Ciao

Re: mah!
> Io lavoro nel centro di calcolo di una> banca, e ti diro': iper closed un pad di> b...> > Tutto giusto riguardo il fatto che il> software viene fatto progettare da 3-4> diversi, ma se non ci danno i listati non> prendiamo nulla !!!quel software e' da considerarsi closedperche' il fatto che il committente veda i sorgenti, non vuol dire che il software sia open source.Tu ti cauteli col sorgente, chi l'ha sviluppato si cautela col non disclosure agrrement, ovvero quei sorgenti tu non puoi farli vedere a nessuno che non sia autorizzato a farlo.In pratica la banca diventa parte integrante dello sviluppo facendo revisione e auditing del codice.Cioe' esattamente cio' che accade per una societa che sviluppa closed e si fa fare lo sviluppo di alcuni componenti in outsourcing.Niente a che vedere con la GPL.Ciao

Re: mah!
> Io lavoro nel centro di calcolo di una> banca, e ti diro': iper closed un pad di> b...> > Tutto giusto riguardo il fatto che il> software viene fatto progettare da 3-4> diversi, ma se non ci danno i listati non> prendiamo nulla !!!quel software e' da considerarsi closedperche' il fatto che il committente veda i sorgenti, non vuol dire che il software sia open source.Tu ti cauteli col sorgente, chi l'ha sviluppato si cautela col non disclosure agrrement, ovvero quei sorgenti tu non puoi farli vedere a nessuno che non sia autorizzato a farlo.In pratica la banca diventa parte integrante dello sviluppo facendo revisione e auditing del codice.Cioe' esattamente cio' che accade per una societa che sviluppa closed e si fa fare lo sviluppo di alcuni componenti in outsourcing.Niente a che vedere con la GPL.Ciao

Re: mah!
> Io lavoro nel centro di calcolo di una> banca, e ti diro': iper closed un pad di> b...> > Tutto giusto riguardo il fatto che il> software viene fatto progettare da 3-4> diversi, ma se non ci danno i listati non> prendiamo nulla !!!quel software e' da considerarsi closedperche' il fatto che il committente veda i sorgenti, non vuol dire che il software sia open source.Tu ti cauteli col sorgente, chi l'ha sviluppato si cautela col non disclosure agrrement, ovvero quei sorgenti tu non puoi farli vedere a nessuno che non sia autorizzato a farlo.In pratica la banca diventa parte integrante dello sviluppo facendo revisione e auditing del codice.Cioe' esattamente cio' che accade per una societa che sviluppa closed e si fa fare lo sviluppo di alcuni componenti in outsourcing.Niente a che vedere con la GPL.Ciao

Re: mah!
> Io lavoro nel centro di calcolo di una> banca, e ti diro': iper closed un pad di> b...> > Tutto giusto riguardo il fatto che il> software viene fatto progettare da 3-4> diversi, ma se non ci danno i listati non> prendiamo nulla !!!quel software e' da considerarsi closedperche' il fatto che il committente veda i sorgenti, non vuol dire che il software sia open source.Tu ti cauteli col sorgente, chi l'ha sviluppato si cautela col non disclosure agrrement, ovvero quei sorgenti tu non puoi farli vedere a nessuno che non sia autorizzato a farlo.In pratica la banca diventa parte integrante dello sviluppo facendo revisione e auditing del codice.Cioe' esattamente cio' che accade per una societa che sviluppa closed e si fa fare lo sviluppo di alcuni componenti in outsourcing.Niente a che vedere con la GPL.Ciao

Re: mah!
> Io lavoro nel centro di calcolo di una> banca, e ti diro': iper closed un pad di> b...> > Tutto giusto riguardo il fatto che il> software viene fatto progettare da 3-4> diversi, ma se non ci danno i listati non> prendiamo nulla !!!quel software e' da considerarsi closedperche' il fatto che il committente veda i sorgenti, non vuol dire che il software sia open source.Tu ti cauteli col sorgente, chi l'ha sviluppato si cautela col non disclosure agrrement, ovvero quei sorgenti tu non puoi farli vedere a nessuno che non sia autorizzato a farlo.In pratica la banca diventa parte integrante dello sviluppo facendo revisione e auditing del codice.Cioe' esattamente cio' che accade per una societa che sviluppa closed e si fa fare lo sviluppo di alcuni componenti in outsourcing.Niente a che vedere con la GPL.Ciao

Re: mah!
> Io lavoro nel centro di calcolo di una> banca, e ti diro': iper closed un pad di> b...> > Tutto giusto riguardo il fatto che il> software viene fatto progettare da 3-4> diversi, ma se non ci danno i listati non> prendiamo nulla !!!quel software e' da considerarsi closedperche' il fatto che il committente veda i sorgenti, non vuol dire che il software sia open source.Tu ti cauteli col sorgente, chi l'ha sviluppato si cautela col non disclosure agrrement, ovvero quei sorgenti tu non puoi farli vedere a nessuno che non sia autorizzato a farlo.In pratica la banca diventa parte integrante dello sviluppo facendo revisione e auditing del codice.Cioe' esattamente cio' che accade per una societa che sviluppa closed e si fa fare lo sviluppo di alcuni componenti in outsourcing.Niente a che vedere con la GPL.Ciao

Re: mah!
> Io lavoro nel centro di calcolo di una> banca, e ti diro': iper closed un pad di> b...> > Tutto giusto riguardo il fatto che il> software viene fatto progettare da 3-4> diversi, ma se non ci danno i listati non> prendiamo nulla !!!quel software e' da considerarsi closedperche' il fatto che il committente veda i sorgenti, non vuol dire che il software sia open source.Tu ti cauteli col sorgente, chi l'ha sviluppato si cautela col non disclosure agrrement, ovvero quei sorgenti tu non puoi farli vedere a nessuno che non sia autorizzato a farlo.In pratica la banca diventa parte integrante dello sviluppo facendo revisione e auditing del codice.Cioe' esattamente cio' che accade per una societa che sviluppa closed e si fa fare lo sviluppo di alcuni componenti in outsourcing.Niente a che vedere con la GPL.Ciao

Re: mah!
> Io lavoro nel centro di calcolo di una> banca, e ti diro': iper closed un pad di> b...> > Tutto giusto riguardo il fatto che il> software viene fatto progettare da 3-4> diversi, ma se non ci danno i listati non> prendiamo nulla !!!quel software e' da considerarsi closedperche' il fatto che il committente veda i sorgenti, non vuol dire che il software sia open source.Tu ti cauteli col sorgente, chi l'ha sviluppato si cautela col non disclosure agrrement, ovvero quei sorgenti tu non puoi farli vedere a nessuno che non sia autorizzato a farlo.In pratica la banca diventa parte integrante dello sviluppo facendo revisione e auditing del codice.Cioe' esattamente cio' che accade per una societa che sviluppa closed e si fa fare lo sviluppo di alcuni componenti in outsourcing.Niente a che vedere con la GPL.Ciao

Re: mah!
> Io lavoro nel centro di calcolo di una> banca, e ti diro': iper closed un pad di> b...> > Tutto giusto riguardo il fatto che il> software viene fatto progettare da 3-4> diversi, ma se non ci danno i listati non> prendiamo nulla !!!quel software e' da considerarsi closedperche' il fatto che il committente veda i sorgenti, non vuol dire che il software sia open source.Tu ti cauteli col sorgente, chi l'ha sviluppato si cautela col non disclosure agrrement, ovvero quei sorgenti tu non puoi farli vedere a nessuno che non sia autorizzato a farlo.In pratica la banca diventa parte integrante dello sviluppo facendo revisione e auditing del codice.Cioe' esattamente cio' che accade per una societa che sviluppa closed e si fa fare lo sviluppo di alcuni componenti in outsourcing.Niente a che vedere con la GPL.Ciao

Re: mah!
> Io lavoro nel centro di calcolo di una> banca, e ti diro': iper closed un pad di> b...> > Tutto giusto riguardo il fatto che il> software viene fatto progettare da 3-4> diversi, ma se non ci danno i listati non> prendiamo nulla !!!quel software e' da considerarsi closedperche' il fatto che il committente veda i sorgenti, non vuol dire che il software sia open source.Tu ti cauteli col sorgente, chi l'ha sviluppato si cautela col non disclosure agrrement, ovvero quei sorgenti tu non puoi farli vedere a nessuno che non sia autorizzato a farlo.In pratica la banca diventa parte integrante dello sviluppo facendo revisione e auditing del codice.Cioe' esattamente cio' che accade per una societa che sviluppa closed e si fa fare lo sviluppo di alcuni componenti in outsourcing.Niente a che vedere con la GPL.Ciao

Re: mah!
a ma allora sei proprio un trollone eh? Ormai lo sanno anche i bambini che la security by obscurity non funziona, piantiamola con questi falsi mitiFamosoPorcodI3Lettere

Re: mah!
> Ormai lo sanno anche i bambini che la> security by obscurity non funziona,> piantiamola con questi falsi mitiCerto certo! Vai in banca a proporgli di fare tutto in GPL, vai!Poi se ti fanno cortesemente accomodare fuori dalla porta, non lamentarti! :P

Re: mah!
> Per uno stato invece cambia tutto! Se Saddam> Houssein o chi per lui, prende qualche> migligaio di persone e le mette notte e> giorno a studiarsi il codice GPL del> Pentagono e della Casa Bianca, prima o poi> un baco lo trovano. Anzi non facendo altro> da mane a sera ne trovano a iosa. E ne basta> uno serio per bucare tutto come groviera!E' un ragionamento sbagliato. Le poche migliaia di persone di saddam saranno sempre meno dei milioni di utilizzatori di software GPL del mondo e quindi troveranno difficilmente dei buchi per primi> Quando l'uso è statale la GPL è follia sotto> il profilo della sicurezza!Un sistema aperto che funziona e' molto piu' sicuro di uno chiuso che funziona: significa che il codice e' talmente buono che, pur conoscendolo, non lo si puo' bucare. > E' intrinseco che Microsoft affini sempre di> più e corregge le cose, visto che sforna una> versione ogni 1-2 anni e non ogni mese o> meno.Davvero? A me pare che ogni 1-2 anni chiudano i buchi di 2 anni prima...

Re: mah!
> E' un ragionamento sbagliato. Le poche> migliaia di persone di saddam saranno sempre> meno dei milioni di utilizzatori di software> GPL del mondo e quindi troveranno> difficilmente dei buchi per primiNo, perchè i milioni di utilizzatori non si dedicano a trovare i bug da manse aser. Come ore uomo dedicati a scovare i bug i 1000 tendono quantomeno al pareggio.E poi scusa, ma che discorso è?I bug esistono e qualcuno li trova, no? Il punto focale è che se qualcuno lo trova Saddam per primo sei fregato!Non è che ci puoi mettere una pezza dopo! Non è che ti va giù il sito per una giornata!Mi vuoi sostenere, che messi in gara, Saddam e gli user, Saddam non arriverà per primo nemmeno una volta?E' contro ogni logica di distribuzione casuale!!!> Davvero? A me pare che ogni 1-2 anni> chiudano i buchi di 2 anni prima...Esatto. A furia di tappare, le falle diminusicono.La Microsoft si è svegaliata da poco sulla sicurezza.Sta solo ora adottando politiche di sicurezza serie.E un apolitica di sicurezza seria si può adottare solo nel closed!Facendo un parallelo, diciamo che la cosa funziona vagament come il campo farmaceutico. L'atteggiamento Linux è: "prendiamo il medicianale. a occhio funziona, dalle nostre prove di laobratorio, lo vendiamo e vediamo come va".Creperà un sacco di gente.L'atteggiamento in politica di sicurezza è quello adottato invece in tutto il mondo, osssia anni e anni di sperimentazione! Poi grane ne spuntano lo stesso, vedi Lipobay, però cmq i danni sono molto più limitati che nel caso di politiche Open.Ora, il fatto che schiatti una persona è ben diverso da quello che salti un server. Per un uso normale la "coltura" "in the wild" va più che bene.Per un uso governativo no, perchè basta un morto per rischiare il disastro!

Re: mah!
Non so se il nome è indicativo della provenienza (Aberdeen), ma in Scozia gira dell'ottimo wiskey...

Hi Hi Hi...
Scusate, ma mi sto rotolando per terra dalle risate...Hi Hi Hi Hi....AH AH AH AH AH AH AH AH AH AH AH!!!!!!UH UH UH UH UH UH.....Basta!!!! HIHIHI....Analisti del''Aberdeen Group.... HI HI HI....Si, analisi delle urine, però... UH UH UH UH.......A scuola di sicurezza da Microsoft hi hi hi hi... HI HI HI HI....Ho le lacrime agli occ hi hi hi hi hi hiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii.....Basta, basta, non ho più fiato, ma chi l'ha pagato questo studio? Bill Gates? Butta così i suoi soldi?!?!? Tanto gli escono dagli occ hi hi hi hi....BASTA! Mi scollego sennò me la faccio addosso...

che tristezza
ma li sanno fare i conti? lo sanno che nemmeno un bambino si metterebbe a fare la somma delle advosory da una parte e dal altra senza le dovute proporzioni? forse sti tizi non sanno che windows consta di pocche centinaia di Mbyte mentre tutto il software open source rpeso in considerazione sono parecchi Gbyte; mha, che trollata!FamosoPorcoDi3Lettere

Re: che tristezza
- Scritto da: Anonimo> ma li sanno fare i conti? lo sanno che> nemmeno un bambino si metterebbe a fare la> somma delle advosory da una parte e dal> altra senza le dovute proporzioni? forse sti> tizi non sanno che windows consta di pocche> centinaia di Mbyte mentre tutto il software> open source rpeso in considerazione sono> parecchi Gbyte; mha, che trollata!> > FamosoPorcoDi3LettereSi ma quando dicono che nei primi 10 mesi del 2002 Windows ha avuto zero Virus Advisory mentre unix e i linux-based ne hanno avuti 2....

Re: che tristezza
- Scritto da: Anonimo> > - Scritto da: Anonimo> > ma li sanno fare i conti? lo sanno che> > nemmeno un bambino si metterebbe a fare la> > somma delle advosory da una parte e dal> > altra senza le dovute proporzioni? forse> sti> > tizi non sanno che windows consta di> pocche> > centinaia di Mbyte mentre tutto il> software> > open source rpeso in considerazione sono> > parecchi Gbyte; mha, che trollata!> > > > FamosoPorcoDi3Lettere> > Si ma quando dicono che nei primi 10 mesi> del 2002 Windows ha avuto zero Virus> Advisory mentre unix e i linux-based ne> hanno avuti 2....che io sappia unix e linux-based al limite hanno avuto un paio di worm, virus non se ne sono visti, e poi ti sei gia' scordato del ultimo virus uscito da poco per OE che ti rasa l'HD?

Re: che tristezza
- Scritto da: Anonimo> che io sappia unix e linux-based al limite> hanno avuto un paio di worm, virus non se ne> sono visti, e poi ti sei gia' scordato del> ultimo virus uscito da poco per OE che ti> rasa l'HD?E tu non hai letto che quel problema si risolve con una patch del 2001?

Re: che tristezza
- Scritto da: Anonimo> > - Scritto da: Anonimo> > > > - Scritto da: Anonimo> > > ma li sanno fare i conti? lo sanno che> > > nemmeno un bambino si metterebbe a> fare la> > > somma delle advosory da una parte e dal> > > altra senza le dovute proporzioni?> forse> > sti> > > tizi non sanno che windows consta di> > pocche> > > centinaia di Mbyte mentre tutto il> > software> > > open source rpeso in considerazione> sono> > > parecchi Gbyte; mha, che trollata!> > > > > > FamosoPorcoDi3Lettere> > > > Si ma quando dicono che nei primi 10 mesi> > del 2002 Windows ha avuto zero Virus> > Advisory mentre unix e i linux-based ne> > hanno avuti 2....> > che io sappia unix e linux-based al limite> hanno avuto un paio di worm, virus non se ne> sono visti, e poi ti sei gia' scordato del> ultimo virus uscito da poco per OE che ti> rasa l'HD?c'e' una patch del 2001 che sistema quel problema.E tu ti sei scordato delle ultime megafalle di linux?

Re: che tristezza
- Scritto da: Anonimo> > - Scritto da: Anonimo> > > > - Scritto da: Anonimo> > > ma li sanno fare i conti? lo sanno che> > > nemmeno un bambino si metterebbe a> fare la> > > somma delle advosory da una parte e dal> > > altra senza le dovute proporzioni?> forse> > sti> > > tizi non sanno che windows consta di> > pocche> > > centinaia di Mbyte mentre tutto il> > software> > > open source rpeso in considerazione> sono> > > parecchi Gbyte; mha, che trollata!> > > > > > FamosoPorcoDi3Lettere> > > > Si ma quando dicono che nei primi 10 mesi> > del 2002 Windows ha avuto zero Virus> > Advisory mentre unix e i linux-based ne> > hanno avuti 2....> > che io sappia unix e linux-based al limite> hanno avuto un paio di worm, virus non se ne> sono visti, e poi ti sei gia' scordato del> ultimo virus uscito da poco per OE che ti> rasa l'HD?c'e' una patch del 2001 che sistema quel problema.E tu ti sei scordato delle ultime megafalle di linux?

Re: che tristezza
- Scritto da: Anonimo> > - Scritto da: Anonimo> > > > - Scritto da: Anonimo> > > ma li sanno fare i conti? lo sanno che> > > nemmeno un bambino si metterebbe a> fare la> > > somma delle advosory da una parte e dal> > > altra senza le dovute proporzioni?> forse> > sti> > > tizi non sanno che windows consta di> > pocche> > > centinaia di Mbyte mentre tutto il> > software> > > open source rpeso in considerazione> sono> > > parecchi Gbyte; mha, che trollata!> > > > > > FamosoPorcoDi3Lettere> > > > Si ma quando dicono che nei primi 10 mesi> > del 2002 Windows ha avuto zero Virus> > Advisory mentre unix e i linux-based ne> > hanno avuti 2....> > che io sappia unix e linux-based al limite> hanno avuto un paio di worm, virus non se ne> sono visti, e poi ti sei gia' scordato del> ultimo virus uscito da poco per OE che ti> rasa l'HD?c'e' una patch del 2001 che sistema quel problema.E tu ti sei scordato delle ultime megafalle di linux?

Re: che tristezza
Ho preso a caso (giuro!) un Advisory del cert, quello relativo all'upload dei file con php.Se andate a leggere i sistemi coinvolti trovate RedHat, FreeBsd, Mandrake... E Windows?La risposta di Redmond è:'We do not use PHP in any products'. (!!!)Sembrerebbe che php non avesse niente a che vederecon Bill Gates.Ma come... sul sito www.php.net si possono scaricare i binari per implementare php su Windows.Secondo voi quest bug come è stato conteggiato? Un onesto pareggio (0-0 o al massimo 1-1) o più probabilmente è stato contegiato 1-0 per Windows contro Open Source...?Mi riservo di verificare gli altri advisory...

Aberdeen Group
Complimenti all'ennesimo Gruppo di Caproni, usciti dal nulla (dove torneranno) solamente per cercare un po' di notorieta'.Penso che non siano cosi' stupidi da credere in cio' che dicono, o almeno me lo auguro.Peppe Purga.

Tu invece sicuramente
sei quello in grado di spiegare perchè Linux è più sicuro, perchè loro hanno torto e perchè non va bene la loro analisi Giusto? No.

Re: Aberdeen Group
- Scritto da: Anonimo> Complimenti all'ennesimo Gruppo di Caproni,> usciti dal nulla (dove torneranno) solamente> per cercare un po' di notorieta'.> Penso che non siano cosi' stupidi da credere> in cio' che dicono, o almeno me lo auguro.> > Peppe Purga.Finche' non verranno smentiti questi dati, saranno da considerare veri. Se i dati sono falsi o di parte, saranno i diretti interessati e non i tifosi dell'open source a smentirli pubblicamente. Da tifoso e' lecito pensare che siano tutte balle. Ma chi sviluppa windows, da sempre l'os piu' bersagliato, sta acquisendo sicuramente piu' esperienza degli altri nel campo della sicurezza.

Re: Aberdeen Group
Le commissioni di esperti "prezzolati" o tendenziosi esistono da sempre nel mondo del markenting... e qui non credo che siamo di fronte a nulla di piu' della solita storia, solo che si sono fatti furbi e non mandano avanti il solito "sputtanato" di Balmer...

Re: Aberdeen Group
- Scritto da: Anonimo> Le commissioni di esperti "prezzolati" o> tendenziosi esistono da sempre nel mondo del> markenting... e qui non credo che siamo di> fronte a nulla di piu' della solita storia,> solo che si sono fatti furbi e non mandano> avanti il solito "sputtanato" di Balmer...Non potrebbe essere altrimenti.Sarebbe come accettare che il Balmer aveva ragione.Sono sicuro che a gran voce, saltera' fuori la verita'.:)

Re: Aberdeen Group
- Scritto da: Anonimo> Complimenti all'ennesimo Gruppo di Caproni,> usciti dal nulla (dove torneranno) solamente> per cercare un po' di notorieta'.> Penso che non siano cosi' stupidi da credere> in cio' che dicono, o almeno me lo auguro.> > Peppe Purga.Aberdeen Group è tutt'altro che un gruppo di sconosciuti. Insieme a Gartner, IDC, Meta sono tra gli analisti più famosi.Personalmente il risultato non mi sorprende per niente: grazie alla solerzia con cui i provetti hacker linuxofili si sono impegnati a dimostrare che Windows è un colabrodo era inevitabile che contribuissero in modo consistentre a scoprire e far correggere i bugs che aveva. Considerando anche che molti degli attacchi portati erano semplicemente dovuti a problemi di configurazione, vale a dire dei servizi installati nel setup di default per i quali non veniva impostato un livello minimo di sicurezza. Per quanto riguarda i bugs veri e propri, siccome in un numero finito di linee di codice ci possono essere solo un numero finito di bugs... Oppure qualcuno sperava che Microsoft li mettesse apposta i bug in Windows?3dots.

Sempre la solita storia
Sempre così, Linux vs Windows: Per Linux si prende tutta la produzione della comunità opensource e per windows si prende windows e basta!Sarebbe come calcolare il debito pubblico degli USA e di Andorra e confrontarli. Sarebbero analisti?Poi è sempre la solita storia: come si possono prendere in considerazione gli advisory di falle? è ovvio che risulta più semplice trovare le falle dal sorgente che da un binario. Peccato che se viene trovata una falla su un software opensource questa viene corretta in pochi giorni, quando ne viene trovata una su un software proprietario ovviamente si aspettano mesi o anni prima che si commercializzi una versione corretta e nel frattempo il baco rimane li sui nostri servers, nel migliore dei casi viene distribuito un "sp" nello stile Microsoft, il quale alla sua uscita non tiene conto di altre 10 falle trovate nel lasso di tempo che va dalla sua chiusura alla sua pubblicazione. Come si può minimizzare un problema quale la sicurezza informatica nel conteggio degli advisory? Se la Microsoft trova una falla su windows XP di certo non la rende pubblica, se la Comunità la trova su Apache, non passa un minuto prima che essa (fortunatamente) non sia di pubblico dominio. Aihmè gli analisti...GNU

Re: Sempre la solita storia
- Scritto da: Anonimo> Sempre così, Linux vs Windows: Per Linux si> prende tutta la produzione della comunità> opensource e per windows si prende windows e> basta!> Sarebbe come calcolare il debito pubblico> degli USA e di Andorra e confrontarli.> Sarebbero analisti?> Poi è sempre la solita storia: come si> possono prendere in considerazione gli> advisory di falle? è ovvio che risulta più> semplice trovare le falle dal sorgente che> da un binario. Peccato che se viene trovata> una falla su un software opensource questa> viene corretta in pochi giorni, quando ne> viene trovata una su un software> proprietario ovviamente si aspettano mesi o> anni prima che si commercializzi una> versione corretta e nel frattempo il baco> rimane li sui nostri servers, nel migliore> dei casi viene distribuito un "sp" nello> stile Microsoft, il quale alla sua uscita> non tiene conto di altre 10 falle trovate> nel lasso di tempo che va dalla sua chiusura> alla sua pubblicazione. > Come si può minimizzare un problema quale la> sicurezza informatica nel conteggio degli> advisory? Se la Microsoft trova una falla su> windows XP di certo non la rende pubblica,> se la Comunità la trova su Apache, non passa> un minuto prima che essa (fortunatamente)> non sia di pubblico dominio. Aihmè gli> analisti...> GNUBravo, penso che hai colto esattamente il punto! Sono d'accordo con te.Io penso che se si vuole lavorare sulla sicurezza si può fare bene ovunque, sia open- che closed-source. Il fatto che è ne ho piene le palle di lotte tra microsoft e open. Sia perchè non ha senso (v. esempio USA - Andorre del quotato qui sopra) sia perchè non porta a niente!E poi alla fino ognuno è libero di scegliere quello che più gli piace, e basta...Saluti,GAHR

La serieta' di questa azienda....
Non so se avete clickato sul link, ma per accedere all'articolo e' necessario registarsi....E gia' questo la dice lunga, anzi lunghissima....Imho l'hanno fatto solo per avere pubblicita' e attirare i lettori...

Re: La serieta' di questa azienda....
- Scritto da: fDiskolo> Non so se avete clickato sul link, ma per> accedere all'articolo e' necessario> registarsi....> > E gia' questo la dice lunga, anzi> lunghissima....Cosa dice di grazia.Le società di analisi vivono vendendo report; mi stupisce il fatto che sia gratuito....

Re: La serieta' di questa azienda....
- Scritto da: matteooooo> - Scritto da: fDiskolo> > Non so se avete clickato sul link, ma per> > accedere all'articolo e' necessario> > registarsi....> > > > E gia' questo la dice lunga, anzi> > lunghissima....> > Cosa dice di grazia.> Le società di analisi vivono vendendo> report; mi stupisce il fatto che sia> gratuito....Evidentemente a pagamento nessuno lo avrebbe letto...

Re: La serieta' di questa azienda....
Forse ha già pagato chi lo ha fatto pubblicare... ;-)

Re: La serieta' di questa azienda....
- Scritto da: fDiskolo> Non so se avete clickato sul link, ma per> accedere all'articolo e' necessario> registarsi....> > E gia' questo la dice lunga, anzi> lunghissima....> > Imho l'hanno fatto solo per avere> pubblicita' e attirare i lettori...Ma che sta a ddì?E' una società di analisi! Campa vendendo i report!!!Vai un po' alla Gartner Dataquest, la più importante società di analaisi di mercato infomratico del pianeta! I report ti constanno 6-7mila $ l'uno!!!Campano di quello!!!

Insecurity by design and policy
Secondo me la (in)sicurezza di un SO non va misurata sul numero di bug, ma sul design e sulle politiche d'uso che da questo vengono implicitamente suggerite all'utente.Windows e' insicuro by design per i seguenti motivi:- Permette di (ed abitua l'utente a) eseguire codice arbitrario all'interno di IE tramite ActiveX.- Permette di (ed abitua l'utente a) lanciare al volo allegati da Outlook Express.- Permette che venga nascosto all'utente il reale tipo di un file facendo manipolazioni stupide sull'estensione (per esempio, nascondendola).- Rende molto difficoltoso per l'utente operare in modalita' non-admin (vedi, per esempio, impossibilita' di masterizzare con alcuni software), quindi si finisce tutti per lavorare come admin che e' molto pericoloso.Se si evita di usare l'accoppiata IE/OE e di usare l'account admin per l'uso di tutti i giorni non credo che vi sia una grande differenza di sicurezza tra Windows e gli OS Unix-based.Per quanto riguarda poi le varie applicazioni (per esempio IIS piuttosto che Apache), chi e' senza bug scagli la prima pietra!Sempre a proposito di policy, penso che sia profondamente sbagliata la policy security by obscurity proposta da MS: e' solo un modo elegante di tentare di "lavare i panni sporchi in casa", che si ritorce come un boomerang contro gli utenti che non vengono messi a conoscenza di potenziali pericoli.Ritengo invece molto piu' corretto allertare gli utenti di una possibile vulnerabilita' del SO anche prima che sia la rilasciata la relativa patch, in modo che possano comunque tentare di autodifendesi (es. banale: se viene scoperta una vulnerabilita' sul ping posso momentaneamente mettere un filtro sul firewall).Personalmente uso Win2000 e Mandrake 9.0 e li trovo entrambi due ottimi (e sicuri) sistemi operativi.Per quanto riguarda l'analisi della societa' di Aberdeen, penso che possa essere proficuamente usata come carta igienica.SalutiGiorgio

Una cosa è sicura ....
...... che microsoft paga MOLTO bene !

La scoperta dell'acqua calda...
Ma dai, ma dai, ma che bella scoperta!Io, al contrario di molti, sono fermamente convintoche effettivamente Microsoft, o meglio i suoi prodottisoftware, abbia/no un livello di sicurezza + elevato dellasua controparte di software OpenSource.E non vedo come potrebbe essere il contrario.E' come possedere la piantina di una Banca, ubicazionedel cavo', delle cassette di sicurezza, del sistema d'allarme,ecc. anche se il tutto e' ben congeniato e ben messo in opera,e' palese che + nozioni ho a riguardo di tali componenti e +possibilita' ho di scovare una qualche falla nel sistema edunque di violarlo.E non e' tutto.Se Microsoft avesse, nel passato, investito anche solo pochissime risorse nella sicurezza del software che produce,probabilmente la sproporzione sarebbe ancora + evidente emastodontica di quella attuale.Che poi i sistemi di sicurezza di tipo "chiuso" non garantiscano ai suoi clienti la trasparenza che essi vogliono,beh... questo e' un'altro paio di maniche...By Simplex

Re: La scoperta dell'acqua calda...
- Scritto da: Anonimo> Ma dai, ma dai, ma che bella scoperta!> > Io, al contrario di molti, sono fermamente> convinto> che effettivamente Microsoft, o meglio i> suoi prodotti> software, abbia/no un livello di sicurezza +> elevato della> sua controparte di software OpenSource.> E non vedo come potrebbe essere il contrario.> > E' come possedere la piantina di una Banca,> ubicazione> del cavo', delle cassette di sicurezza, del> sistema d'allarme,Ma se tu entri in una banca tutte (o quasi) queste cose le vedi con i tuoi occhi. E ti puoi rendere conto se la cassaforte è robusta oppure no, e se c'è una videocamera puntata sulle cassette di sicurezza.L'equivalente del software closed è se tu fossi obbligato, prima di entrare in banca, a mettere una benda sugli occhi. Certo che a questo punto ti verrebbe il sospetto che la cassaforte sia in truciolato...

Re: La scoperta dell'acqua calda...
- Scritto da: TeX> Ma se tu entri in una banca tutte (o quasi)> queste cose le vedi con i tuoi occhi. E ti> puoi rendere conto se la cassaforte è> robusta oppure no, e se c'è una videocamera> puntata sulle cassette di sicurezza.> > L'equivalente del software closed è se tu> fossi obbligato, prima di entrare in banca,> a mettere una benda sugli occhi. Certo che a> questo punto ti verrebbe il sospetto che la> cassaforte sia in truciolato...Difatti e' proprio cosi'.La sicurezza di un sistema "Closed" e' dovuta al fattoche Tu conosci il meno possibile di come funziona eti limiti ad usarne i servizi.Una cassaforte in trucciolato, ma di cui tutti ignoranol'esistenza o almeno il sito dove essa e' ubicata, sicuramenteprotegge meglio di una a triplice strado d'acciaio corazzatoma con caratteristiche tecniche ben documentate e facilmente consultabili da chiunque.Sara' anche triste ma e' cosi'.Ciao

Re: La scoperta dell'acqua calda...
- Scritto da: Simplex> ....> Una cassaforte in trucciolato, ma di cui> tutti ignorano> l'esistenza o almeno il sito dove essa e'> ubicata, sicuramente> protegge meglio di una a triplice strado> d'acciaio corazzato> ma con caratteristiche tecniche ben> documentate e facilmente consultabili da> chiunque.Sei sicuro ?E se qualche malintenzionato riesce comunque a scoprire che la cassaforte è in truciolato ? Comunque questa è proprio la differenza fra le due filosofie....

Re: La scoperta dell'acqua calda...
- Scritto da: Simplex> Difatti e' proprio cosi'.> La sicurezza di un sistema "Closed" e'> dovuta al fatto> che Tu conosci il meno possibile di come> funziona e> ti limiti ad usarne i servizi.Questa era anche l'illusione del dipartimento della difesa americano fino a quando si sono resi conto che se un sistema è intrinsecamente insicuro la segretezza non lo rende più sicuro. Insomma, l'esempio della cassaforte, se vogliamo, è che se per caso uno ci passa vicino si accorge che è di trucciolato e lo racconta agli amici, ecco: ti svaligiano la banca. Quel "passa per caso" succede statisticamente molto spesso ed è la ragione per cui i sistemi vengono violati da che mondo è mondo. Poi, con migliaia se non di più, programmatori che lavorano in MS si possono pure avere le piantine del tesoro (che fanno cancellano le conoscenze degli sviluppatori quando escono e le ripristinano quando entrano?). Rendiamoci conto che c'è differenza tra "debolezza" di un prodotto, che può essere sfruttata da una persona per ottenere illeciti accessi e sicurezza intrinseca. La prima è facile da scovare e correggere, anzi, è parte del ciclo di revisione del software fare questa attività. Se vogliamo è anche parte del fatto che la gente è intrinsecamente malvagia e tenta di approfittare non della funzione del software che porta vantaggio, ma della debolezza che può essere usata per portare danno. Ma diciamo che se si scopre che una cosa si possa migliorare in qualche modo possiamo anche starci (seppure spesso è una fatica inutile se non la si giustifica con la protezione dalle minacce di ignoti). La sicurezza intrinseca di un sistema è pura utopia e chiunque la commercializza è un venditore di fumo. Qualcuno ha detto che un computer sicuro è un computer spento, questo è vero, ma ancora più vero è che qualsiasi cosa noi facciamo è per sua stessa natura insicura. Questo per le dipendenze che ha con il mondo esterno, per le risorse che richiede o per il semplice fatto che quello che inventa un uomo può essere capito e superato da un'altro uomo o per la semplice casualità. Siamo abituati a vivere in un mondo dove non sappiamo nemmeno se alzandoci la mattina sopravviveremo fino a sera, come possiamo parlare di "sicurezza"?Ciao!UnoChePassa

Re: La scoperta dell'acqua calda...
> Una cassaforte in trucciolato, ma di cui> tutti ignorano> l'esistenza o almeno il sito dove essa e'> ubicata, sicuramente> protegge meglio di una a triplice strado> d'acciaio corazzato> ma con caratteristiche tecniche ben> documentate e facilmente consultabili da> chiunque.Facciamo una cosa... tu mi nascondi una cassaforte in truciolato in un locale grosso come una banca, mentre io ti porto una cassaforte in acciaio con tutta la documentazione che ho usato per costruirla (disegni, materiali, etc.).Io mi presento all'appuntamento con un trapanino a pile (o un bel martello se il rumore non ti infastidisce), tu invece puoi portare *tutta* l'attrezzatura che vuoi.Ovviamente non puoi chiudere la cassaforte in un locale (o in un'altra cassa) piu' resistente, altrimenti la "vera" cassaforte diventerebbe "la cosa" che contiene la cassaforte in truciolato.Secondo te come va a finire?

Re: La scoperta dell'acqua calda...
> Ma se tu entri in una banca tutte (o quasi)> queste cose le vedi con i tuoi occhi.Trovami una banca nella quale il cliente può accedere tranquillamente, anche solo a vista, al caveau!...se la tua è fatta così, ti consiglio di levare al più presto i soldi che c'hai messo su! :P

Re: La scoperta dell'acqua calda...
- Scritto da: Ekleptical> > Ma se tu entri in una banca tutte (o> quasi)> > queste cose le vedi con i tuoi occhi.> > Trovami una banca nella quale il cliente può> accedere tranquillamente, anche solo a> vista, al caveau!a) Infatti ho aggiunto "(o quasi)".b) Era un esempio.c) Non ho alcuna voglia di passare altri 2 giorni di discutere sulla sicurezza delle banche.

Re: La scoperta dell'acqua calda...
- Scritto da: Ekleptical> > Ma se tu entri in una banca tutte (o> quasi)> > queste cose le vedi con i tuoi occhi.> > Trovami una banca nella quale il cliente può> accedere tranquillamente, anche solo a> vista, al caveau!> ...se la tua è fatta così, ti consiglio di> levare al più presto i soldi che c'hai messo> su! :PE le banche su internet? Eppoi anche le banche + sicure del mondo (fino ad allora) sono state svaligiate. Qui vi state facendo solo pippe mentali!*mossa esplicita nella vostra direzione*

Re: La scoperta dell'acqua calda...
- Scritto da: Anonimo> Ma dai, ma dai, ma che bella scoperta!> > Io, al contrario di molti, sono fermamente> convinto> che effettivamente Microsoft, o meglio i> suoi prodotti> software, abbia/no un livello di sicurezza +> elevato della> sua controparte di software OpenSource.> E non vedo come potrebbe essere il contrario.> > E' come possedere la piantina di una Banca,> ubicazione> del cavo', delle cassette di sicurezza, del> sistema d'allarme,Ma se tu entri in una banca tutte (o quasi) queste cose le vedi con i tuoi occhi. E ti puoi rendere conto se la cassaforte è robusta oppure no, e se c'è una videocamera puntata sulle cassette di sicurezza.L'equivalente del software closed è se tu fossi obbligato, prima di entrare in banca, a mettere una benda sugli occhi. Certo che a questo punto ti verrebbe il sospetto che la cassaforte sia in truciolato...

Re: La scoperta dell'acqua calda...
Quindi secondo te la sicurezza si ottiene tenendoall'oscuro il mondo....Strano, l'altra volta il docente di sicurezza (professoreuniversitario e consulente legale) ci ha detto esattamenteil contrario: il peggior modello di sicurezza si chiama"security through obscurity" cioè non ti dico come sonofatto così non riesci ad attaccarmi.....Fra l'altro ci diceva che il CERT ha pochi avvisi di sicurezzarelativi a Microsoft perchè il CERT si basa su avvisiUFFICIALI. Quindi se Microsoft e le altre aziende connessenon li trasmettono....Saluti

Re: La scoperta dell'acqua calda...
> Strano, l'altra volta il docente di> sicurezza (professore> universitario e consulente legale) ci ha> detto esattamente> il contrario: il peggior modello di> sicurezza si chiamaNon capisco come l'oscurazione del codice possa essere negativa...Sarebbe interessante leggere le motivazioni di questo professore....> UFFICIALI. Quindi se Microsoft e le altre> aziende connesse> non li trasmettono....Nessuno ne viene a conoscenza...

Re: La scoperta dell'acqua calda...
> Strano, l'altra volta il docente di> sicurezza (professore> universitario e consulente legale) ci ha> detto esattamente> il contrario: il peggior modello di> sicurezza si chiama> "security through obscurity" cioè non ti> dico come sono> fatto così non riesci ad attaccarmi.....Sarà stato colto da sindrome da GPL pure lui....Vallo a dire alla CIA o ad un esercito. Da domani, piani completi di attacco disponibili su Internet!Anzi, io direi di applicare il principio in modo universale!Mettiamo in giro gli schemi completi degli aerei, aeroporti, fognature, navi, mappe complete di tutti i servizi delle città. Liberi e disponibili per tutti!Così la gente può trovare le falle!Peccato che nel frattempo se un terrorista trova la falla prima di te, qualcuno salta in aria!Ottimo schema di sicurezza!E il tuo profe non ha mai lavorato per una banca, evidentemente...

Re: La scoperta dell'acqua calda...
- Scritto da: Ekleptical> Vallo a dire alla CIA o ad un esercito. Da> domani, piani completi di attacco> disponibili su Internet!Non bisogna confondere gli strumenti che usi con i dati che gestisci.Ciao!lord casco

L'empio tappeto di Microsoft
Certo che infilando tutta la polvere sotto il tappeto non si ottiene altro che piu' falsa sicurezza, come vuole convincerci Microsoft. Contare le segnalazioni di CERT non ha molto senso visto che spesso arrivano con mesi di ritardo.Se proprio volete avere il senso della realta' andate sui siti hackers e fatevi una risata alla faccia di Gates.

E adesso?
E adesso chi lo spiega ai LUG, agli organizzatori di installation merd, ai peracottari, ai girini da centro sociale e ai testimoni di geova? Chi spiega loro che stanno facendo i rappresentanti porta a porta (tra l'altro anche indesiderati) di un bel mucchio di sterco?- Toc Toc- Siii? Chi è????- Siamo i testimoni peracottari del LUG centro sociale di passo pisciaro sull'etna, Signora. Vorremmo installarle gratuitamente una versione di Linux Jukas Casella 8.0. Ci fa entrare?- No, No! Andate via che mi sporcate lo zerbino.SLAMMMM!

Re: E adesso?
- Scritto da: Anonimo> E adesso chi lo spiega ai LUG, agli> organizzatori di installation merd, ai> peracottari, ai girini da centro sociale e> ai testimoni di geova? Chi spiega loro che> stanno facendo i rappresentanti porta a> porta (tra l'altro anche indesiderati) di un> bel mucchio di sterco?> > - Toc Toc> - Siii? Chi è????> - Siamo i testimoni peracottari del LUG> centro sociale di passo pisciaro sull'etna,> Signora. Vorremmo installarle gratuitamente> una versione di Linux Jukas Casella 8.0. Ci> fa entrare?> - No, No! Andate via che mi sporcate lo> zerbino.> SLAMMMM!Idiota........ :

UnoChePassa - veramente...
Insomma la solita vecchia faccenda di hi ha più vulnerabilità/segnalazioni... mi ricorda la storiella di quello che dice: un albero che cade in una foresta dove non lo sente nessuno è caduto veramente?Se analizziamo il sito di Microsoft troveremo un'infinità di segnalazioni di buchi distribuiti tra tutto il suo software (anche i nuovi come winXP che dovrebbe essere figlio del fantomatico Computing TrustWorthy) e con ciò? A che pro Aberdeen ci segnala un (forse) difetto del CERT che ci segnala solo un sottogruppo di quello che ci segnala MS?Non lo so proprio, ma spero che a qualcuno giovi. Di certo serve a creare confusione ora che i vari produttori di software, invece di lavorare seriamente e offrire qualità ai propri utenti grandi e piccoli, persano solo a cercare di sminuire il lavoro degli altri. Io ho un solo commento a tal riguardo: che porcheria!Rendiamoci conto che c'è differenza tra "debolezza" di un prodotto, che può essere sfruttata da una persona per ottenere illeciti accessi e sicurezza intrinseca. La prima è facile da scovare e correggere, anzi, è parte del ciclo di revisione del software fare questa attività. Se vogliamo è anche parte del fatto che la gente è intrinsecamente malvagia e tenta di approfittare non della funzione del software che porta vantaggio, ma della debolezza che può essere usata per portare danno. Ma diciamo che se si scopre che una cosa si possa migliorare in qualche modo possiamo anche starci (seppure spesso è una fatica inutile se non la si giustifica con la protezione dalle minacce di ignoti). La sicurezza intrinseca di un sistema è pura utopia e chiunque la commercializza è un venditore di fumo. Qualcuno ha detto che un computer sicuro è un computer spento, questo è vero, ma ancora più vero è che qualsiasi cosa noi facciamo è per sua stessa natura insicura. Questo per le dipendenze che ha con il mondo esterno, per le risorse che richiede o per il semplice fatto che quello che inventa un uomo può essere capito e superato da un'altro uomo o per la semplice casualità. Siamo abituati a vivere in un mondo dove non sappiamo nemmeno se alzandoci la mattina sopravviveremo fino a sera, come possiamo parlare di "sicurezza"?Ciao!

Re: UnoChePassa - veramente...
- Scritto da: Anonimo> (anche i nuovi come winXP che dovrebbe> essere figlio del fantomatico Computing> TrustWorthy)Spiacente, ma l'uscita di WinXP è antecedente l'iniziativa Trustworthy Computing.Solo il Service Pack 1 è stato prodotto dopo.Quello a cui ti riferisci quale "figlio di Trustworthy Computing" sarà Windows.NET 2003.Zeross

Anonimo: un caso sociale
Inizia un thread, si fa le domande e si da' le risposte da solo...ROTFL

Chissà se fra le vulnerabilità di Linux
hanno contato pure quella della Zlib.....P.S. é già (si fa per dire...) uscita la patch per MS-Office ?

Re: windows sicuro di default
> in freshmeat o sourceforge se ne scoprono> altre 10.000 100.000....saranno anche> bacate(come tutto il sw), ma in confronto> agli spyware e stronzware made 4 winz non> c'è paragone!!!!Ma ciao altro che 16 advisor.... in un mese.... si sta considerando il puro sistema operativo e quel che serve per gestirlo............ps ma di 1200 editor diversi che te ne fai?

Re: windows sicuro di default
tu che te ne fai di wordpad? forse meglio emacs?

Delirio assoluto (sovvenzionato da m$)
E' oggettivamente (al di la' di ogni ragionevole dubbio) palese che il software OS sia piu' sicuro di qualunque software chiuso presente e futuro, per il semplice motivo che i sorgenti possono essere sottoposti ad analisi da chiunque.EsempioHo delle informazioni importantissime che devo condividere con pochissimi su internet, per aumentare la sicurezza elimino ogni servizio dal server e lascio aperto solo un tunnel SSH, secondo voi e' piu' sicuro prendere un server/client SSH Open source , studiare i sorgenti nei minimi dettagli, correggere eventuali problemi e compilare o installare un programma a scatola chiusa e fidarmi del suo autore (magari un nerd al soldo della m$)?(non tirate fuori il problema del crc compensation di qualche tempo fa, era solo un esempio) I problemi di sicurezza sono causati (per lo piu') dalla difficile (per un essere umano) gestione della memoria del C/C++ o dalla difficolta' di gestione degli escape perl, che questi problemi siano visibili e' un vantaggio, e' un motivo in piu' perche' prima o poi qualcuno riesca a risolverli... pensate a cosa succederebbe se un insider avesse accesso ai sorgenti di un famoso programma m$, sicuramente scoprirebbe decine e decine di buffer overflow e format bug che solo lui potrebbe sfruttare (e magari vendere ai terroristi) mentre il mondo continuerebbe ad essere all'oscuro di tutto. Io non sono un fanatico dell'Open Source (mi sono spesso battuto contro) ma credo che nell' ambito sicurezza l'Open Source sia l'unica strada percorribile.

Re: Delirio assoluto (sovvenzionato da m$)
- Scritto da: Mela Marcia> E' oggettivamente (al di la' di ogni> ragionevole dubbio) palese che il software> OS sia piu' sicuro di qualunque software> chiuso presente e futuro, per il semplice> motivo che i sorgenti possono essere> sottoposti ad analisi da chiunque.E' come servire la pappa pronta agli Hackers :)Finche' questo sondaggio non verra' smentito da chi di dovere... quello che dici e' aria fritta.

Non capisco....
Non riesco a capire gli svantaggi del codice offuscato rispetto al codice sorgente disponibile... Molti parlano di cassaforte di truciolato dando per scontato che un sistema closed non sia a livello di sicurezza pari ad un sistema open; bisognerebbe però confrontare due sistemi con un livello di sicurezza simile..... In soldoni ... mi dite gli svantaggi del codice closed di OS390 rispetto al codice di Linux... PS Non sono ironico... solo che non riesco a capire dove si trovano gli svantaggi.....

Re: Non capisco....
- Scritto da: Anonimo> Non riesco a capire gli svantaggi del codice> offuscato rispetto al codice sorgente> disponibile... > Molti parlano di cassaforte di truciolato> dando per scontato che un sistema closed non> sia a livello di sicurezza pari ad un> sistema open; bisognerebbe però confrontare> due sistemi con un livello di sicurezza> simile..... > In soldoni ... mi dite gli svantaggi del> codice closed di OS390 rispetto al codice di> Linux... Il discorso è un altro. Se tu scrivi un codice non è che divenga più sicuro automaticamente divulgandone i sorgenti. Quindi in una situazione di questo tipo il closed è sicuro almeno quanto l'open. Però se tu pensi che basta non divulgare i sorgenti per avere un software sicuro (security by obscurity...) ti sbagli di grosso. Se un baco c'è rischia comunque di saltar fuori. D'altro canto nel caso dell'open source le vulnerabilità salteranno sicuramente fuori, è quindi necessario che gli aggiornamenti e le patch siano quanto mai tempestivi. Quindi la serietà e la capacità di trovare rapidamente una soluzione è importante in entrambi i casi.Probabilmente con l'open una vulnerabilità è più facile che salti fuori, ma questo vuol anche dire che viene risolta invece di rimanere per anni attiva, con la possibilità che qualcuno la scopra e la sfutti a suo vantaggio. Inoltre con l'open è possibile, nel caso che gli autori del software vulnerabile latitino, che la soluzione venga trovata da altri.Penso che l'utilizzo di software open renda ancora più importante fare "manutenzione" al sistema installando le patch appena escono, ed evitando quindi di lasciare aperte vulnerabilità ormai note a tutti. Io a questo punto non so quale dei due modelli di sviluppo sia migliore, ma specificatamente a M$ dubito che si possa parlare di serietà e di rapidità, e quindi il problema non si pone....

l'unica verità
è che non ci sono certezze assolutenon è vero che i Prodotti Microsoft siano il peggio del peggio così come Linux & Co. siano il non plus ultraper la serie valutare e decidere di volta in volta senza preconcetti

e` tutta colpa mia
non vi accanite su ques`articolo,in realta` e` colpa mia, ieri mi sono finalmente liberato di un win XP per un RH, decisione che ho preso anche grazie a PI,oggi vengo qui, il sito e` stravolto e tra le altre questa news...se mi accorgo che la sfiga insiste reinstallo il 98,di cui ho licenza...

Oddio
Oddio, c'è qualcuno che ci crede.

Oddio
Oddio, c'è qualcuno che ci crede.

per chi ci crede...
pensateci un attimo... ponetevi la seguente domanda:"ma ci credo perchè ne sono convinto, o solo perchè non sono riuscito a far andare la mia shda video con linux?"fatto questo correte a comprarvi un pinguino di peluche.a parte gli scherzi... quali sarebbero le clamorose insicurezze di linux che non hanno controparti in windows?

A proposito della studio Aberdeen
Salve a tutti, dico la mia sull'articolo "Aberdeen: l'open source impari da Microsoft"(http://punto-informatico.it/p.asp?i=42351)Allora. La questione e' mal posta. Non so se a causa dell'autore dell'articolo (quello di Punto Informatico) o degli autori dello studio.Cerco di spiegarmi il piu' semplicemente possibile e per punti:PREMESSE1) Open Source e Linux, NON sono una singola ditta. Open Source e' il nome "giornalistico" che si da a una autentica marea di software prodotta da: Ricercatori, Aziende, liberi professionisti, dilettanti etc. Quindi, non si puo' fare un solo calderone. Quando si dice Open Source, si parla contemporaneamente di centinaia di diversi produttori, quando si parla di Microsoft, si parla di UN solo produttore.2) Non tutto il software Open Source gira su Linux, ma gira anche su Windows, su Mac, etc..3) Gli avvisi del CERT (http://www.cert.org) sono bollettini in cui si dice (piu' o meno): Programma X, Produttore Y, Versione Z, descrizione del difetto, possibile soluzione.4) Nessuno ha MAI detto che il software Open Source sia perfetto in quanto tale. Ci sono tra gli sviluppatori di Open Source sia autentici pozzi di scienza, sia bestie incommensurabili.5) Presi a caso 10 computer al mondo, su otto di essi gira Windows, e sul resto un sistemo operativo diverso.A QUESTO PUNTO:Uno studio condotto come viene spiegato nell'articolo ha ben poco valore. Infatti, immagino una serie di segretarie sceme che contano quanti avvisi riguardano un prodotto Microsoft, e quanti riguardano un prodotto "Open Source" vale a dire, una sfida Microsoft-Resto del mondo. E il fatto che un solo produttore riesca a fare un numero di vaccate inferiore ma confrontabile a tutti gli altri messi insieme, non e' un risultato di cui andare particolarmente fieri (infatti, la Microsoft si e' astenuta dal gongolare).C'e' poi un altro punto da considerare. La sicurezza di un software, va valutata in senso piu' ampio. Infatti, NESSUNO puo' sostenere di aver prodotto un software perfetto ed a prova di bomba, per cui, un errore e' sempre possibile. Bisognerebbe anche considerare pero' i tempi ed i costi di "riparazione". Una volta individuato un problema in un software Open, un'utente esperto puo' effettuare in tempi rapidi e gratis le correzioni appropriate. Un utente inesperto puo' scaricarle gratuitamente dalla rete. In un sistema operativo chiuso (come Windows), gli utenti devono aspettare che la casa madre rilasci il patch, ammesso che lo faccia (e con Microsoft non e' detto che questo avvenga sempre, anzi esistono numerosi Bug documentati da anni che non sono stati corretti). Infine. Se nel mondo 8 computer su 10 eseguono windows, il peso delle "poche" vulnerabilita' di Windows e' nettamente superiore a quello delle "molte" vulnerabilita' dell'Open Source, anche considerando che le "poche" vulnerabilita' di Windows restano tali per piu' tempo delle "molte" dell' Open Source.CONCLUDENDO1) Da uno studio, cosi' come e' descritto nell'articolo di P.I. non si evince alcun dato nuovo o significativo dal punto di vista scientifico.2) Il fatto che le migliaia di persone che distribuiscono gratuitamente il loro software facciano in totate piu' errori di una singola casa che lo vende, a) non giustifica gli errori di Microsoft b) non giustifica gli errori degli altri c) non da' da solo nessuna motivo determinante per preferire l'una o gli altriNaturalmente, sto cercando il report dello studio Aberdeen per rendermi conto di persona del suo effettivo contenuto e delle conclusioni, magari, se c'e' qualcosa di nuovo mi rifaccio vivo.Saluti e bacipagina777