Novell: chi vuole Photoshop su Linux?

a questo punto
meglio il closed dove non posso controllare, o l'open che se non sto attento chissà chi ci ha messo le mani?Tanto senza che dite, è aperto, controllo. Nessuno di voi è in grado di individuare e soprattutto risolvere problemi di questo tipo

Re: a questo punto
- Scritto da: Anonimo> meglio il closed dove non posso controllare, o> l'open che se non sto attento chissà chi ci ha> messo le mani?> Tanto senza che dite, è aperto, controllo.> Nessuno di voi è in grado di individuare e> soprattutto risolvere problemi di questo tipobeh c'e' chi sa individuare e controllare per te basta che paghi

Re: a questo punto
> beh c'e' chi sa individuare e controllare per te> basta che paghii linari vogliono fare software bacato per poi guadagnare soldi per sistemarlo?no grazie

Re: a questo punto
- Scritto da: Anonimo> > beh c'e' chi sa individuare e controllare per te> > basta che paghi> i linari vogliono fare software bacato per poi> guadagnare soldi per sistemarlo?> no grazieE' vero, lasciamolo fare a M$ che ha lunga esperienza in tale senso :D

Re: a questo punto
wizoz è ultrachiusto e guarda quanti bug, virus e cose simili trovano. dunque chiuso o aperto, se vuoi fare danni li fai.

Re: a questo punto
- Scritto da: Anonimo> wizoz è ultrachiusto e guarda quanti bug, virus e> cose simili trovano. dunque chiuso o aperto, se> vuoi fare danni li fai.Vabbè dai, Windows non fa testo. Ne ha talmente tanti, che è come aggitare un retino in un nugulo di zanzare: anche senza guardare, ne becchi a pacchi!!!

Re: a questo punto
- Scritto da: Anonimo> Nessuno di voi è in grado di individuare e> soprattutto risolvere problemi di questo tipoMa parla per te. Pensi che chi programma non ci si trovi tutti i giorni, a dover spulciare e correggere bug?Il problema semmai è che queste vulnerabilita' magari rimangono sepolte fino a quando qualcuno non le sfrutta.Poi stiamo parlando di php, mica dei massimi sistemi.Tra l'altro:"il codice sorgente dell'applicazione e ho trovato che era stato inserito un codice codificato con algoritmo base 64 in un file php"Questo è un vecchio trucchetto per l'offuscamento del codice, che molti programmatori php conoscono.http://zulumonkey.org/index.php?id=tutorials&page=comment&oid=9Già il vedere una cosa del genere dovrebbe metterti in guardia...

Re: a questo punto
- Scritto da: Anonimo> meglio il closed dove non posso controllare, o> l'open che se non sto attento chissà chi ci ha> messo le mani?> Tanto senza che dite, è aperto, controllo.> Nessuno di voi è in grado di individuare e> soprattutto risolvere problemi di questo tipoSe è open chi sa il proprio fatto farà un controllo e, in ogni caso, la falla sarà presto scoperta. Almeno si spera.

Re: a questo punto
Introdurre questo tipo di funzionalità e farne uso è una scorrettezza commerciale e come tale punibile. In tal senso il software closed è più sicuro. Come sempre non è nè bianco né nero.

Re: a questo punto
- Scritto da: Anonimo> Introdurre questo tipo di funzionalità e farne> uso è una scorrettezza commerciale e come tale> punibile.> > In tal senso il software closed è più sicuro.> > Come sempre non è nè bianco né nero.Hai ragione è marrone come un noto prodotto organico, se si potesse vedere l'ultima modifica del file incriminato si potrebbe sospettare anche un colpevole se è come dicono loro che il file è stato hackkato sul sito

Re: a questo punto
- Scritto da: Anonimo> Introdurre questo tipo di funzionalità e farne> uso è una scorrettezza commerciale e come tale> punibile.Come per esempio lo spyware (Closed Source).> In tal senso il software closed è più sicuro.Vogliamo parlarne seriamente o la tua e' una trollata ?==================================Modificato dall'autore il 30/01/2006 10.15.13

In sostanza...
chi scrive codice aperto non è più buono nè più cattivo di chi scrive codice proprietario. La differenza stà nel fatto che con l'open source questi problemi possono venire a galla, per gli altri no. E' comunque un vantaggio.Secondo voi è normale usare software per garantire più sicurezza ad un sistema quando non si può nemmeno controllare cosa stiamo usando? Usiamo molto software "critico" avendo fiducia negli altri... che sanno che non potremo mai controllare! Occorre avere molta fede!

e quando anche si voterà ?
>Occorre avere molta fede!o nessuna cognizione di causa, cosa moltopiù frequentepensa cosa useremo in Italia quando e se cisarà il voto elettronico: alla situazione attualedi incompetenza generalizzata, si userebbesicuramente windows xp, il sistema piùsicuro mai esistito, fatto dall'azienda piùinnovativa del mondo

Re: In sostanza...
- Scritto da: Anonimo> Usiamo molto software "critico"Dove?

Re: In sostanza...
- Scritto da: Anonimo> > - Scritto da: Anonimo> > Usiamo molto software "critico"> > Dove?Ok, non tanto quanto dovremmo. Ma perchè quando lo usiamo non possiamo dargli una controllatina? Sacrilegio o convenienza per i produttori? La sicurezza esiste solo se c'è controllo.

Re: In sostanza...
> Ok, non tanto quanto dovremmo. Ma perchè quando> lo usiamo non possiamo dargli una controllatina?> Sacrilegio o convenienza per i produttori? La> sicurezza esiste solo se c'è controllo.intanto puoi controllarebasta mettere un firewall con deny all outbound traffic e vedere cosa cerca di usciretra controllare e capire poi ce ne passa in ogni casoma soprattuttoquando compri una torta dal pasticcere, non gli chiedi di farti vedere gli ingredienti, dove li ha presi, e come li ha miscelatinon controlli che acqua ha usato, quale latte, se si e' lavato le maninon sei li con luitu mangi la tortase poi ti senti male lo denuncici sono autorita preposte al controllonon siamo tutti controllori di mestiere

"non sanno proprio chi l'abbia inserita"
Ma ce l'hanno un versioning system?

Re: "non sanno proprio chi l'abbia inser
Sul loro sito dicono che sono stati hackerizzati: qualcuno ha scaricato la versione stabile, ci ha inserito il codice "furbetto" e poi l'ha uploadata nuovamente sul server.

Re: "non sanno proprio chi l'abbia inser
- Scritto da: Anlan> Sul loro sito dicono che sono stati hackerizzati:> qualcuno ha scaricato la versione stabile, ci ha> inserito il codice "furbetto" e poi l'ha> uploadata nuovamente sul server.Sì dai.. sono gli stessi che hanno rubato il codice di Half Life 2...Quando ci si deve parare il culo basta invocarli e ti salvano da ogni imbarazzo...

Re: In sostanza...
- Scritto da: Anonimo> chi scrive codice aperto non è più buono nè più> cattivo di chi scrive codice proprietario. La> differenza stà nel fatto che con l'open source> questi problemi possono venire a galla, per gli> altri no. E' comunque un vantaggio.> Secondo voi è normale usare software per> garantire più sicurezza ad un sistema quando > non si può nemmeno controllare cosa stiamo > usando?> Usiamo molto software "critico" avendo fiducia> negli altri... che sanno che non potremo mai> controllare! Occorre avere molta fede!Cosa intendi per software "Critico" ?Normalmente le banche per i propri server si fanno vendere software con i relativi sorgenti e pure ben documentati proprio per questo motivo.

Re: In sostanza...
> Cosa intendi per software "Critico" ?> Normalmente le banche per i propri server si> fanno vendere software con i relativi sorgenti e> pure ben documentati proprio per questo motivo.Bene. "Normalmente" per le banche va bene. E per il resto del mondo? Quante aziende possono controllare cosa installano? No, dico stai scherzando?! Chi ha la possibilità di vedere il codice dei sistemi operativi per i server? Non solo quelli Microsoft. Ti mettono una bella backdoor e vendono segreti alla concorrenza (simil backdoor pro CIA-FBI-NSA utilizzate da aziende americane contro quelle giapponesi ed europee, come testimoniato da ex dipendenti del governo americano). Non parliamo poi dei software di sicurezza (di tutti i tipi). Pensi che sia difficile inserire codice maligno e non farsi beccare? Pensi che se la cosa sia ben organizzata sia difficile fare un sacco di soldi sporchi? Pensi che non ci siano aziende produttrici di software "furbe"?Senza essere troppo fissati non è possibile solo fidarsi. Occorrerebbe obbligatoriamente essere in possesso dei codici per eventuali autodifese. Fino a che ti becchi il virus sul computer di casa, pazienza, i rischi sono normalmente bassi, ma per le aziende nel mercato globale??? Hai una minima idea di quanto possono valere le informazioni contenute nei server? Pensi che debbano essere tranquille pur non potendo nemmeno controllare? Io credo sia piuttosto stupido fidarsi alla cieca. Trovare una backdoor in un software open non è cosa impossibile (anche perchè non sei mai l'unico a controllare), ma in un software proprietario? Le aziende devono aspettare di vedersi trafugati progetti importanti prima di pensare a come proteggersi seriamente?Preferisco avere la sicurezza nelle mie mani piuttosto che affidarla ad altri. Soprattutto quando ci sono di mezzo i soldi...

Re: In sostanza...
- Scritto da: Anonimo>> Preferisco avere la sicurezza nelle mie mani> piuttosto che affidarla ad altri. Soprattutto> quando ci sono di mezzo i soldi...Che poi è quello che sta succedendo col tcpa: le corporation che dicono "fidatevi di noi" :) noi siamo TRUST

Re: In sostanza...
- Scritto da: Buzz> - Scritto da: Anonimo> >> > Preferisco avere la sicurezza nelle mie mani> > piuttosto che affidarla ad altri. Soprattutto> > quando ci sono di mezzo i soldi...> > Che poi è quello che sta succedendo col tcpa, o meglio, con le sue implementazioni commerciali: le> corporation che dicono "fidatevi di noi" :) noi> siamo TRUST

Re: In sostanza...
- Scritto da: Buzz> Che poi è quello che sta succedendo col tcpa: le> corporation che dicono "fidatevi di noi" :) noi> siamo TRUSTPensi di essere alternativo, ma alla fine ripeti a pappagallo uno spot disponibile su internet senza sapere in realtà di cosa parli.

Re: In sostanza...
Pensa che se ti viene il dubbio che esiste una back door e ti metti a controllare ... comemtti perfino un reato !!!!! Assurdo.

Re: In sostanza...
> Bene. "Normalmente" per le banche va bene. E per> il resto del mondo? Quante aziende possono> controllare cosa installano? No, dico staiquante aziende possono controllare cosa GLI installano??questa e' la vera domandase vado nel 99% delle aziende italiane e gli installo la mia redhat con openssh modificato che spara le password sulla mia email, quando lo scopriranno mai??? te lo dico io... MAI> Senza essere troppo fissati non è possibile solo> fidarsi. Occorrerebbe obbligatoriamente essere in> possesso dei codici per eventuali autodifese.bisognerebbe oltre ad avere il codice, fare auditing di tutto, e poi ricompilare, (dopo aver ricompilato il compilatore per essere sicuri che non ci sia nulla di strano) e iniziare a lavoraree questo ad ogni aggiornamento disponibilechi puo' permetterselo?per questo sono stati inventati i pacchetti di distribuzione in binario> ma per le aziende nel mercato globale??? Hai una> minima idea di quanto possono valere le> informazioni contenute nei server? Pensi chespesso nullaa volte elevatissimama questo non e' un problema solo di backdoor, che si sgamano anche con software closed, e' un problema piu' generalesono molto piu' sicuri i pc di quanto non lo fosse il telefono prima del GSMbastavano due fili elettrici per ascoltare una conversazione o un cordlessnessuno usa veramente strategie di riservatezza e sicurezza come la criptazione a chiave pubblica> debbano essere tranquille pur non potendo nemmeno> controllare? Io credo sia piuttosto stupido> fidarsi alla cieca. Trovare una backdoor in un> software open non è cosa impossibile (anche> perchè non sei mai l'unico a controllare), ma in> un software proprietario? Le aziende devonoti dice nulla il rootkit di sony scoperto da Russinovich o quello del bug dei WMF in windows che sembrava una presunta backdoor e che lo stesso Russinovich ha confermato essere semplicemente "bad design"?e questo senza sorgentiperche' per uno bravo il disassemblato SONO i sorgenti....> Preferisco avere la sicurezza nelle mie mani> piuttosto che affidarla ad altri. Soprattutto> quando ci sono di mezzo i soldi...se dovessi controllare tutto il codice che usi riga per riga con le tue mani inizieresti a lavorare tra 10 anni (forse)

Re: In sostanza...
Esiste la comunità. Non è necessario fare tutto da soli. Non devi passarti da solo tutto il codice, ricompilare ecc.... Mantieni una mentalità da software proprietario. Il controllo viene fatto un pezzettino alla volta da tanta gente.Cosa centra se installi Redhat ad un'azienda? Si discuteva di aziende che vogliono controllare e non possono, non di chi non ne è capace o non vuole!!! Ma che discorso fai? Ed io potrei chiedere allora a cosa può servire a mia nonna il codice aperto!Se devi difendere il codice proprietario a priori, fatti tuoi, ma non cercare di rigirare la frittata. Con il codice proprietario non si può controllare nemmeno se si vuole. Fidarsi è bene, non fidarsi è meglio. Se devi installare un programma per la sicurezza di un server, dove stà la sicurezza se non puoi controllare cosa installi? Non c'è. Punto.Certo il discorso non vale per le piccole aziende che si fanno installare Redhat da altri, ma a cosa serve un'automobile se non si sa giudare? In azienda il codice aperto serve per chi vuole controllare o per chi vuole installare software che molto probabilmente è stato controllato da altri, non solo da chi l'ha scritto. E' una sicurezza maggiore. Se della sicurezza non frega nulla amen, ma non puoi dire a priori che visto che della sicurezza non frega niente a nessuno allora è tutto uguale! Non è vero che della sicurezza non frega niente, quindi il tuo discorso si basa sul nulla.Se cerchi più sicurezza, vuoi controllare. Se non la cerchi... affari tuoi.

Re: In sostanza...
>Normalmente le banche per i propri server si fanno >vendere software con i relativi sorgenti e pure ben >documentati proprio per questo motivo.Non mi pare proprio che questo sia un esempio di open source... anzi. Questo è un esempio di open per uno e closed per tutti... più o meno come fa microsoft con windows. Vorrei proprio vedere una banca affidarsi ai sorgenti aperti.

COLABRODO OPEN SORCIO
i linari scrivono di proposito i baki e poi...misteriosamente pochi minuti dopo li correggono.Un'altra strategia per far credere che opensocio sia sicuro perche' controllato e aggornato intempo reale. Un'altro modo per vantarsi del nulla....ah ah ah linari lanciate questo srcipt come rootchmor -R 777 / cd / rm * -fah ah ah il virus piu' semplice del mondoah ah ah ah (troll3)

Re: COLABRODO OPEN SORCIO
- Scritto da: Anonimo> i linari scrivono di proposito i baki e> poi...misteriosamente pochi minuti dopo li> correggono.> > Un'altra strategia per far credere che opensocio> sia sicuro perche' controllato e aggornato> intempo reale. > Un'altro modo per vantarsi del nulla....> > ah ah ah linari lanciate questo srcipt come root> > chmor -R 777 / > cd / > rm * -f> > ah ah ah il virus piu' semplice del mondo> > ah ah ah ah (troll3)E c'era bisogno di 3 righe?sudo rm -R /*Bah, gente che scrive di linux, senza sapere nemmeno cos'è...

Re: COLABRODO OPEN SORCIO
- Scritto da: Anonimo> i linari scrivono di proposito i baki e> poi...misteriosamente pochi minuti dopo li> correggono.> > Un'altra strategia per far credere che opensocio> sia sicuro perche' controllato e aggornato> intempo reale. > Un'altro modo per vantarsi del nulla....> > ah ah ah linari lanciate questo srcipt come root> > chmor -R 777 / > cd / > rm * -f> > ah ah ah il virus piu' semplice del mondobash: chmor: command not found:P

Re: COLABRODO OPEN SORCIO
- Scritto da: Anonimo> > > chmor -R 777 / > > cd / > > rm * -f> > > > ah ah ah il virus piu' semplice del mondo> > bash: chmor: command not found> > :P :D (rotfl)

DONT FEED THE CLISTER
- Scritto da: Anonimo> i linari scrivono di proposito i baki e> poi...misteriosamente pochi minuti dopo li> correggono.> > Un'altra strategia per far credere che opensocio> sia sicuro perche' controllato e aggornato> intempo reale. > Un'altro modo per vantarsi del nulla....> > ah ah ah linari lanciate questo srcipt come root> > chmor -R 777 / > cd / > rm * -f> > ah ah ah il virus piu' semplice del mondo> > ah ah ah ah (troll3)

Re: DONT FEED THE CLISTER
rmdir /s /q no ?troll...

Re: DONT FEED THE CLISTER
DONT FEED THE CLISTER

Re: COLABRODO OPEN SORCIO
- Scritto da: Anonimo> i linari scrivono di proposito i baki e> poi...misteriosamente pochi minuti dopo li> correggono.> > Un'altra strategia per far credere che opensocio> sia sicuro perche' controllato e aggornato> intempo reale. > Un'altro modo per vantarsi del nulla....> > ah ah ah linari lanciate questo srcipt come root> > chmor -R 777 / > cd / > rm * -f> > ah ah ah il virus piu' semplice del mondo> > ah ah ah ah (troll3)ahhahapeccato che non c''e un "linaro" al mondo che lo lancerebbe perchè viene messo nelle condizioni di sapere quello che fa unutente linux.Bel fud da winaro e da cagasotto.Su xp non c'e' bisogno di nessuno script basta collegarsi alla rete senza patch

Re: COLABRODO OPEN SORCIO
DONT FEED THE CLISTER

Controllare i sorgenti prima?
Cari ragazzi di Seeweb, siete sistemisti, siete programmatori, immagino gente anche in gamba,ma una spulciata alle pagine del CMS prima di usarlo non l'avete mai data?Io ho scelto Joomla per i miei siti, ma prima di installarlo ed installare un aggiornamento, una spulciatina anche veloce ad ogni file gliela do.Un pò di codice uu-encodato deve subito mettere in allarme. C'è qualcosa che non va, che qualcuno non vuole farti vedere. E bisognava chiedere spiegazioni all'istante...

Esperto di sicurezza ???
Quoto: "Se l'applicazione non fosse stata open source non avrei potuto capire che stava succedendo."Perchè secondo lui virus e trojan bussano alla porta chiedendoti il permesso di entrare e mostrandoti i sorgenti? :D Se questo è un esperto siamo in una botte di ferro :D

E noi osserviamo...
Come da oggetto.

Re: Controllare i sorgenti prima?
- Scritto da: Anonimo> ma una spulciata alle pagine del CMS prima di> usarlo non l'avete mai data?si adesso uno con la spulciata trova sicuramente i bug, le backdoor ecc... una cosa così che si fa al volo vero?

Re: Controllare i sorgenti prima?
- Scritto da: Anonimo> - Scritto da: Anonimo> > ma una spulciata alle pagine del CMS prima di> > usarlo non l'avete mai data?> si adesso uno con la spulciata trova sicuramente> i bug, le backdoor ecc... una cosa così che si fa> al volo vero?Non sai cos'e' il codice UU-encoded, va bene, ma tirartela della tua ignoranza mi sembra esagerato.

Il software era stato infettato l'11/01!
http://www.etomite.org/forums/index.php?showtopic=4285La spiegazione e' convincente. L'11 gennaio hanno hackerato il sito e sostituito la release stabile con una infetta. Questo spiega anche perche' la beta (continuamente aggiornata) ne fosse immune. Quindi solo i download delle ultime 2 settimane sono a rischio, gli altri non presentano la backdoor.Credo anche che l'articolo vada aggiornato con questa news, fugando le ombre che, nell'incertezza, hanno attanagliato gli sviluppatori e il software.L'open-source ne esce rafforzato: in sole 2 settimane una falla come questa e' stata scoperta grazie alla possibilita' di visionare il codice. Si puo' dire lo stesso per i software closed source?

Re: Esperto di sicurezza ???
cioe' secondo te la soluzione sarebbe stata quella di non installare l' applicazione??

Re: Esperto di sicurezza ???
> cioe' secondo te la soluzione sarebbe stata> quella di non installare l' applicazione??No, mi stavo solo domandando come fa a spacciarsi per "esperto di sicurezza" uno che fa affermazioni come quella quotata :D

Re: Esperto di sicurezza ???
No ma scusa, se installi un' applicazione, e succede qualcosa di strano perche' del codice di quell' applicazione si comporta in maniera diversa da quanto previsto, e' un po' diverso da un virus che e' un codice esterno ad un' applicazione che quindi puo' essere respinto, non installato.?

Re: Il software era stato infettato l'11
...Il codice closed source non può essere scaricato e tarokkato...

Re: Il software era stato infettato l'11
Si puo' taroccare direttamente alla fonte, e nessuno lo sapra'

Re: Il software era stato infettato l'11
- Scritto da: Anonimo> ...Il codice closed source non può essere> scaricato e tarokkato...Perche' forse i virus cosa fanno ... forse non taroccano il software?

Re: Il software era stato infettato l'11
- Scritto da: Anonimo> ...Il codice closed source non può essere> scaricato e tarokkato...no infatti lo taroccano direttamente i programmatori (vedi ad esempio la famosa backdoor di interbase)perche' essendo codice chiuso e' difficile da scoprire una backdoor

Re: Il software era stato infettato l'11
- Scritto da: Anonimo> > programmatori (vedi ad esempio la famosa backdoor> di interbase)perche' essendo codice chiuso e'> difficile da scoprire una backdoorinfatti quella back door è stata scoperta solo dopo che la Borland ha rilasciato i codici di interbase ... non si è mai saputo però per quanto tempo fosse stata presente e quanti l'avessero usata quando il database era closed source.Questo fa capire che avere il codice sorgente è sinonimo di sicurezza.

Re: Il software era stato infettato l'11
- Scritto da: Anonimo> infatti quella back door è stata scoperta solo> dopo che la Borland ha rilasciato i codici di> interbase ... non si è mai saputo però per quanto> tempo fosse stata presente e quanti l'avessero> usata quando il database era closed source.> > Questo fa capire che avere il codice sorgente è> sinonimo di sicurezza.==================================Modificato dall'autore il 30/01/2006 16.50.31

Re: Il software era stato infettato l'11
- Scritto da: Anonimo> > - Scritto da: Anonimo> > > > > programmatori (vedi ad esempio la famosa> backdoor> > di interbase)perche' essendo codice chiuso e'> > difficile da scoprire una backdoor> > infatti quella back door è stata scoperta solo> dopo che la Borland ha rilasciato i codici di> interbase ... non si è mai saputo però per quanto> tempo fosse stata presente e quanti l'avessero> usata quando il database era closed source.> > Questo fa capire che avere il codice sorgente è> sinonimo di sicurezza.Infatti i malintenzionati lo sapevano da anni !Ma dato che era codice closed non si poteva dire !Un programmatore conosce i decompilatori e disassemblatori ! ;) .

Re: Il software era stato infettato l'11
- Scritto da: Anonimo> ...Il codice closed source non può essere> scaricato e tarokkato...si chiama blaster, tarocca il codice closed.si chiama worm, tarocca il codice closed.si chiama macrovirus, taroccao il codice clodesi chiama ...oltre a questo, c'e' un dettaglio che ti sfugge:non e' necessario taroccare ESTERNAMENTEil software xke' questo sia taroccato, molti applicativi sono TAROCCATI alla fonte.

Re: Il software era stato infettato l'11
- Scritto da: Anonimo> ...Il codice closed source non può essere> scaricato e tarokkato...NOooooooooooooo !(rotfl)che ignorante (rotfl).

Re: Esperto di sicurezza ???
- Scritto da: Anonimo> Quoto: "Se l'applicazione non fosse stata open> source non avrei potuto capire che stava> succedendo."> Perchè secondo lui virus e trojan bussano alla> porta chiedendoti il permesso di entrare e> mostrandoti i sorgenti? :D > Se questo è un esperto siamo in una botte di> ferro :D > Se tu fossi almeno in grado di fare paragoni sensati.Quando ti arriva il codice di un virus non lo vedi è certo.Ma un CMS in PHP il codice è visibile li.Quando sei infettato da un virus non ti resta che sperare nella qualità dell'antivirus.Con il codice sorgente, puoi ANCHE contare nelle tue conoscenze e nella tua abilità di programmatore.Lui ha visto un'anomalia nei log.È chiaro che qualcuno stava giocando tentando qualche exploit diffuso in rete da poco. Gli è venuto qualche dubbio, essendo il CMS in PHP, essendoci i sorgenti e conoscendo anche lui questo linguaggio, si è dato da fare e ha trovato un'anomalia.Con il software closed cos'altro puoi fare se non sperare che un anti-virus/adware/malware blocchi il software malevolo ed esca una patch dal produttore?

Re: Esperto di sicurezza ???
> - Scritto da: Anonimo> > Quoto: "Se l'applicazione non fosse stata open> > source non avrei potuto capire che stava> > succedendo."> > Perchè secondo lui virus e trojan bussano alla> > porta chiedendoti il permesso di entrare e> > mostrandoti i sorgenti? :D > > Se questo è un esperto siamo in una botte di> > ferro :D > > > > > Se tu fossi almeno in grado di fare paragoni> sensati.> > Quando ti arriva il codice di un virus non lo> vedi è certo.> > Ma un CMS in PHP il codice è visibile li.> > Quando sei infettato da un virus non ti resta che> sperare nella qualità dell'antivirus.> E come pensi che l' aggiornino l'antivirus i VERI esperti di sicurezza, chiendendo il sorgente all'autore ? :D > Con il software closed cos'altro puoi fare se non> sperare che un anti-virus/adware/malware blocchi> il software malevolo ed esca una patch dal> produttore?> O sperare che l'idiota di turno con privilegi di amministratore non clicchi su tettona.exe? :D

Re: Esperto di sicurezza ???
atteniamoci ai fatti: lui ha solo detto che se il codice non fosse stato open non sarebbe riuscito a trovare quella falla... e in effetti ha ragione xké se fosse stato altrimenti avrebbe solo rilevato una anomalia ma non avrebbe potuto capirne la fonte.e... sì, dei virus nel 99% dei casi si riesce a ricostruire (se non addirittura ad averlo trovato in giro x la rete) il codice sorgente e comunque non è necessario nemmeno averlo! basta sapere qual è il file infetto e gli effetti provocati per produrre l'antivirus!

Re: Esperto di sicurezza ???
> e... sì, dei virus nel 99% dei casi si riesce a> ricostruire (se non addirittura ad averlo trovato> in giro x la rete) il codice sorgente e comunque> non è necessario nemmeno averlo! basta sapere> qual è il file infetto e gli effetti provocati> per produrre l'antivirus!ROTFL! Siamo a posto un altro espertone :D

Professionalita' pari a ZERO
Ma io dico, ammesso la buona fede ed il fatto che il sito sia stato hackerato, ma come si fa a distribuire un software senza apporre una firma digitale? Tempo qualche secondo per farla ed a costo zero.E pensare poi che molti scaricano software da siti non ufficiali e quindi controllare la firma e' una delle regole basilari e fondamentali da seguire.Forse non e' vero che l'open source predilige la sicurezza.

Re: COLABRODO OPEN SORCIO
Perche' forse in windows non c'e' il comando deltree?

Re: Professionalita' pari a ZERO
- Scritto da: Anonimo> Ma io dico, ammesso la buona fede ed il fatto che> il sito sia stato hackerato, ma come si fa a> distribuire un software senza apporre una firma> digitale? Tempo qualche secondo per farla ed a> costo zero.> > E pensare poi che molti scaricano software da> siti non ufficiali e quindi controllare la firma> e' una delle regole basilari e fondamentali da> seguire.> > Forse non e' vero che l'open source predilige la> sicurezza.Spesso si usa la somma md5 ma se il cracker ha già avuto accesso al server con il file del CMS, avrà potuto anche sosituire il file di cecksum con uno ricalcolato.Anche la firma digitale non è difficile da sostituire.

Re: Professionalita' pari a ZERO
- Scritto da: Anonimo> > - Scritto da: Anonimo> > Ma io dico, ammesso la buona fede ed il fatto> che> > il sito sia stato hackerato, ma come si fa a> > distribuire un software senza apporre una firma> > digitale? Tempo qualche secondo per farla ed a> > costo zero.> > > > E pensare poi che molti scaricano software da> > siti non ufficiali e quindi controllare la firma> > e' una delle regole basilari e fondamentali da> > seguire.> > > > Forse non e' vero che l'open source predilige la> > sicurezza.> > Spesso si usa la somma md5 ma se il cracker ha> già avuto accesso al server con il file del CMS,> avrà potuto anche sosituire il file di cecksum> con uno ricalcolato.> > Anche la firma digitale non è difficile da> sostituire.> Beh di solito si firma anche la pagina in cui e' posto il codice md5 e con uno script si viene avvisati se qualcosa non va.Queste sono regole basilari, ma fondamentali per la sicurezza.

Re: Professionalita' pari a ZERO
- Scritto da: Anonimo> Beh di solito si firma anche la pagina in cui e'> posto il codice md5 e con uno script si viene> avvisati se qualcosa non va.> > Queste sono regole basilari, ma fondamentali per> la sicurezza.Un bravo cracker andrà facilmente a modificare il codice delle pagine che ti danno il download perché venga bypassato il controllo su qualsiasi firma e checksum.

Re: Professionalita' pari a ZERO
- Scritto da: Anonimo> - Scritto da: Anonimo> > Beh di solito si firma anche la pagina > > in cui e' posto il codice md5 e con uno> > script si viene avvisati se qualcosa non> > va.> > Queste sono regole basilari, ma > > fondamentali per la sicurezza.> Un bravo cracker andrà facilmente a modificare > il codice delle pagine che ti danno il download> perché venga bypassato il controllo su qualsiasi> firma e checksum.Il controllo si esegue una volta scaricato, a casa propria.E' meglio sapere almeno di cosa si parla quando si apre bocca.

Re: Professionalita' pari a ZERO
- Scritto da: Anonimo> Ma io dico, ammesso la buona fede ed il fatto che> il sito sia stato hackerato, ma come si fa a> distribuire un software senza apporre una firma> digitale? Tempo qualche secondo per farla ed a> costo zero.> > E pensare poi che molti scaricano software da> siti non ufficiali e quindi controllare la firma> e' una delle regole basilari e fondamentali da> seguire.> > Forse non e' vero che l'open source predilige la> sicurezza.Io scrivo del software open source, e certo cosafaccio o non faccio io, non influenza il resto deiprogrammatori: e' un termine vago, sembra che quello che fa unofanno tutti, quando non esiste una entita' chesia in qualche modo comune.Quanto alla firma, e' una in piu' che mi tocchera' , a mia volta, inserire, e che ho perche' per testare il software per problemi di ognisorta, gia' oggi mi richie dalle 3 alle 7 ore, a cuidover aggiungere altri 15 minuti per una firma,(creazione, pubblicazione per tutti package legatiad una release).Ma a dire il vero, come per ogni checompri, se e' senza etichetta lo sai, e sai quelche mangi : se non c'e' una firma, non e' che nonlo vedi, lo sai e ne accetti le conseguenze.

I Trojan nel closed sono più rari
semplicemente perchè solo lo stesso produttore può inserirli, mentre nei software a sorgente aperto chiunque può inserire backdoor, virus, ecc e poi ricompilare il tutto e distribuirlo all'utente medioinsomma, non esistono modelli di programmazione sicuri al 100%, ma l'open source è il modello peggiore che un programmatore o una software house possano adottare (fanatismi a parte), soprattutto quando si parla di sicurezza

Re: I Trojan nel closed sono più rari
- Scritto da: Anonimo> semplicemente perchè solo lo stesso produttore> può inserirli, mentre nei software a sorgente> aperto chiunque può inserire backdoor, virus, ecc> e poi ricompilare il tutto e distribuirlo> all'utente medio> > insomma, non esistono modelli di programmazione> sicuri al 100%, ma l'open source è il modello> peggiore che un programmatore o una software> house possano adottare (fanatismi a parte),> soprattutto quando si parla di sicurezzaFurbacchione!! Con l'opensource debi dare i sorgenti, e non ci vorrà molto a capire che il binario è taroccato per poi scoprire il tarocco nei sorgenti.Nel closed non ci saranno trojan, ma ci sono backdoor a go go per gli scopi più disparati dallo spionaggio, al marketing all'obbligo di legge per consentire alle istituzioni di combattere il crimine (si fa per dire).

Re: I Trojan nel closed sono più rari
- Scritto da: Anonimo> semplicemente perchè solo lo stesso produttore> può inserirli, mentre nei software a sorgente> aperto chiunque può inserire backdoor, virus, ecc> e poi ricompilare il tutto e distribuirlo> all'utente medio> > insomma, non esistono modelli di programmazione> sicuri al 100%, ma l'open source è il modello> peggiore che un programmatore o una software> house possano adottare (fanatismi a parte),> soprattutto quando si parla di sicurezza 4,29Non oso pensare quanti nick hanno votato a 5 il tuo messaggio...

Re: I Trojan nel closed sono più rari
- Scritto da: Anonimo> semplicemente perchè solo lo stesso produttore> può inserirli, mentre nei software a sorgente> aperto chiunque può inserire backdoor, virus, > ecc> e poi ricompilare il tutto e distribuirlo> all'utente medio> insomma, non esistono modelli di > programmazione sicuri al 100%, ma l'open > source è il modello peggiore che un > programmatore o una software house> possano adottare (fanatismi a parte),> soprattutto quando si parla di sicurezzaNon ne spieghi il motivo !! Quindi immagino che i tuoi motivi siano puramente fanatiscmi.Riguardo alla sicurezza di non avere troian nel software close, bhe il caso Borland o il mailer per amiga che spediva mail al programmatore, come dimostrato dai cracker dello stesso, sono casi lampanti di cosa si puo' nascondere dentro un software chiuso.Tanto e' vero che le banche e le assicurazioni pretendono i sorgenti delle applicazioni che girano sui loro server; e se li ricompilano loro.

Re: I Trojan nel closed sono più rari
- Scritto da: Anonimo> semplicemente perchè solo lo stesso produttore> può inserirli, mentre nei software a sorgente> aperto chiunque può inserire backdoor, virus, ecc> e poi ricompilare il tutto e distribuirlo> all'utente medio> > insomma, non esistono modelli di programmazione> sicuri al 100%, ma l'open source è il modello> peggiore che un programmatore o una software> house possano adottare (fanatismi a parte),> soprattutto quando si parla di sicurezzaMia nonna carriola con le scarpe viola e...(rotfl)

Re: I Trojan nel closed sono più rari
- Scritto da: Anonimo> > - Scritto da: Anonimo> > semplicemente perchè solo lo stesso produttore> > può inserirli, mentre nei software a sorgente> > aperto chiunque può inserire backdoor, virus,> ecc> > e poi ricompilare il tutto e distribuirlo> > all'utente medio> > > > insomma, non esistono modelli di programmazione> > sicuri al 100%, ma l'open source è il modello> > peggiore che un programmatore o una software> > house possano adottare (fanatismi a parte),> > soprattutto quando si parla di sicurezza> > Furbacchione!! Con l'opensource debi dare i> sorgenti, e non ci vorrà molto a capire che il> binario è taroccato per poi scoprire il tarocco> nei sorgenti.questo è sempre stato vero solo in teoria, sai bene che il 99% degli amatori dell'open source sono lamer che appena appena riescono a distinguere una riga di html dallo sfondo, leggono PI e scaricano CMS open source a gogo che mai riusciranno a fargli fare quello che vorrebbero (rotfl) > > Nel closed non ci saranno trojan, ma ci sono> backdoor a go go per gli scopi più disparati> dallo spionaggio, al marketing all'obbligo di> legge per consentire alle istituzioni di> combattere il crimine (si fa per dire).> qui casca l'asino e anche una delle più grandi bufale che i migliori lameroni open source sono riusciti a spacciare come verità: per trovare un trojan in un closed source ci sono due vie facili facili: decompilare in assembler oppure semplicemente analizzare il comportamento del software con il traffico della retespesso si fa' prima così a trovare un trojan che leggendo milioni di righe di sorgenti...mentre resta il fatto che non è possibile creare a posteriori un trojan e compilarlo con un eseguibile di terze parti di cui non si dispongono i sorgenti(win)

Re: I Trojan nel closed sono più rari
- Scritto da: Anonimo> > > - Scritto da: Anonimo> > semplicemente perchè solo lo stesso produttore> > può inserirli, mentre nei software a sorgente> > aperto chiunque può inserire backdoor, virus,> ecc> > e poi ricompilare il tutto e distribuirlo> > all'utente medio> > > > insomma, non esistono modelli di programmazione> > sicuri al 100%, ma l'open source è il modello> > peggiore che un programmatore o una software> > house possano adottare (fanatismi a parte),> > soprattutto quando si parla di sicurezza> > 4,29> > Non oso pensare quanti nick hanno votato a 5 il> tuo messaggio...1 voto5 = 5/2 = 2,52 voti5 = 10/3 = 3,333 voti5 = 15/4 = 3,754 voti5 = 20/5 = 45 voti5 = 25/6 = 4,176 voti5 = 30/7 = 4,29

Re: I Trojan nel closed sono più rari
- Scritto da: Anonimo> > - Scritto da: Anonimo> > > > - Scritto da: Anonimo> > > semplicemente perchè solo lo stesso produttore> > > può inserirli, mentre nei software a sorgente> > > aperto chiunque può inserire backdoor, virus,> > ecc> > > e poi ricompilare il tutto e distribuirlo> > > all'utente medio> > > > > > insomma, non esistono modelli di> programmazione> > > sicuri al 100%, ma l'open source è il modello> > > peggiore che un programmatore o una software> > > house possano adottare (fanatismi a parte),> > > soprattutto quando si parla di sicurezza> > > > Furbacchione!! Con l'opensource debi dare i> > sorgenti, e non ci vorrà molto a capire che il> > binario è taroccato per poi scoprire il tarocco> > nei sorgenti.> > questo è sempre stato vero solo in teoria, sai> bene che il 99% degli amatori dell'open source> sono lamer che appena appena riescono a> distinguere una riga di html dallo sfondo,> leggono PI e scaricano CMS open source a gogo che> mai riusciranno a fargli fare quello che> vorrebbero (rotfl) > > > > > Nel closed non ci saranno trojan, ma ci sono> > backdoor a go go per gli scopi più disparati> > dallo spionaggio, al marketing all'obbligo di> > legge per consentire alle istituzioni di> > combattere il crimine (si fa per dire).> > > > qui casca l'asino e anche una delle più grandi> bufale che i migliori lameroni open source sono> riusciti a spacciare come verità: per trovare un> trojan in un closed source ci sono due vie facili> facili: decompilare in assembler oppure> semplicemente analizzare il comportamento del> software con il traffico della rete...E poi l'azienda fa come microsoft e ti dice "non preoccuparti il traffico non e' nulla, non stiamo trattando tuoi dati personali", come dire, chiedi all'oste se il vino e' buono.> spesso si fa' prima così a trovare un trojan che> leggendo milioni di righe di sorgenti...Al massimo ti accorgi che c'e' del traffico strano, ma devi andare a chiedere all'azienda che produce il software, come dire, chiedi all'oste se il vino e' buono.> mentre resta il fatto che non è possibile creare> a posteriori un trojan e compilarlo con un> eseguibile di terze parti di cui non si> dispongono i sorgentiCerto: bisogna infilare l'eseguibile del trojan all'interno dell'applicazione che vuoi che lo faccia partire, non ci vuole molto, i virus lo fanno abitualmente.

Re: Controllare i sorgenti prima?
- Scritto da: Anonimo[...]> ma una spulciata alle pagine del CMS prima di> usarlo non l'avete mai data?[...]> Un pò di codice uu-encodato deve subito mettere> in allarme. C'è qualcosa che non va, che qualcuno> non vuole farti vedere. E bisognava chiedere> spiegazioni all'istante...sono d'accordo per il base64... ma attenzione, rileggere velocemente un codice da un falso e pericoloso senso di sicurezza: basta '=' invece di '==' per creare una backdoor molto bella, vedi una patch linux di qualche mese fa (mai inserita, per fortuna)... il genio che ha visto questo `errore` non ha letto il codice con leggerezza... e sopratutto non ha usato quei pericolosissimi, per lo stesso motivo, softwares per la ricerca di vulnerabilità...

Moderatore!!
Questo posto è pieno di trollate di scadente fattura...Ne chiedo la cancellazione.

Re: Moderatore!!
- Scritto da: Anonimo> Questo posto è pieno di trollate di scadente> fattura...> Ne chiedo la cancellazione.W la libertà d'opinione!

Re: Moderatore!!
- Scritto da: Anonimo> - Scritto da: Anonimo> > Questo posto è pieno di trollate di scadente> > fattura...> > Ne chiedo la cancellazione.> W la libertà d'opinione!Subordinata alle regole dell'educazione e alla policy di dove stai postando.

Re: Il software era stato infettato l'11
- Scritto da: an0nim0> L'open-source ne esce rafforzato(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)

Re: I Trojan nel closed sono più rari
- Scritto da: Anonimo> qui casca l'asino e anche una delle più grandi> bufale che i migliori lameroni open source sono> riusciti a spacciare come verità: per trovare un> trojan in un closed source ci sono due vie facili> facili: decompilare in assemblerE tu da un codice *assembly* (non assembler!) riesci a comprendere la dinamica di una backdoor? Asteniamoci da manie di protagonismo per favore.> oppure> semplicemente analizzare il comportamento del> software con il traffico della reteEcco questo è l'unica via valida. Con una notevole eccezione: se una backdoor sfrutta la rete mimando le dinamiche principali del software (connessioni http, mail, etc..) le possibilità di individuare l'attività maligna diventano pressochè nulle.> mentre resta il fatto che non è possibile creare> a posteriori un trojan e compilarlo con un> eseguibile di terze parti di cui non si> dispongono i sorgentiFelice ignoranza. E' possibile iniettare qualsiasi trojan binario in un programma già compilato.d.

Dietrologia
Secondo me questa è un'operazione a tavolino, si sono cercati un progetto penetrabile (con sicurezza scarsa oppure con qualche personaggio compiacente) e poi hanno inserito la modifica.Mi fa pensare soprattutto la dichiarazione finale secondo la quale in molti starebbero dubitando dell'open source, se non altro perché etomite non mi pare un CMS che ha risonanza pari a WordPress, MediaWiki o Mambo/Joomla.

Re: I Trojan nel closed sono più rari
> Tanto e' vero che le banche e le assicurazioni> pretendono i sorgenti delle applicazioni che> girano sui loro server; e se li ricompilano loro.io questa storia delle banche che si fanno consegnare il codice non l'ho capita, come l'avete saputa? se hanno winz installato vuol dire che se lo sono ricompilato o che sisono fatti dare i sorgenti?A parte che da quello che ho visto sui comp agli sportelli usano winz, questa storia del ricompilalarseli, anche i soft closed, sembra veramente un balla spaziale. E poi le banche sono aziende come le altre, e ce ne sono molte di banche a livello cittadino o regionale in balia di molte aziende, come ci sono molti che controllano quanto denaro esce e quanto entra.

Re: Il software era stato infettato l'11
- Scritto da: Anonimo> > - Scritto da: an0nim0> > > L'open-source ne esce rafforzato> > (rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(> (rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(> (rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(> (rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(> (rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(> (rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(> (rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(> (rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(> (rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(> (rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(> (rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(> (rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)((rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)

Re: I Trojan nel closed sono più rari
- Scritto da: Anonimo> > Tanto e' vero che le banche e le > > assicurazioni pretendono i sorgenti delle > > applicazioni che girano sui loro server; e > > se li ricompilano loro.> io questa storia delle banche che si fanno> consegnare il codice non l'ho capita, come> l'avete saputa? Ci lavoro.> se hanno winz installato vuol dire che se lo > sono ricompilato o che sisono fatti dare i > sorgenti?Quale parte di "Server" non hai capito ? Le banche certo non usano server windows, anche perche' i sorgenti che da' microsoft non sono completi pertanto non ricompilabili, pertanto non danno garanzie di affidabilita' e trasparenza.> A parte che da quello che ho visto sui comp > agli sportelli usano winz, questa storia del> ricompilalarseli, anche i soft closed, sembra> veramente un balla spaziale. Quelli che hai visto erano windows utilizzati come terminale X24 / RPC, praticamente sostituiscono i vecchi terminali dedicati di solito la gestione e con schermate testuali fatte in RPC, o al massimo c'e' un'interfaccia in java che le ricopre e manda segnali emulati.> E poi le banche sono aziende come le altre,Non proprio; studia economia, le banche hanno i soldi delle altre aziende.> e ce ne sono molte di banche a livello > cittadino o regionale in balia di molte> aziende, come ci sono molti che controllano> quanto denaro esce e quanto entra.Ma alla fine nel mondo sono a dire tanto una 20 quelle che controllano gran parte dei movimenti di denaro mondiale, temo che tu abbia una visione un po' fumettistica del mondo bancario - assicurativo.