RSA , divisione di EMC Corporation specializzata in sicurezza informatica, è caduta vittima della più classica delle regole del contrappasso: la società denuncia di aver subito un attacco telematico a opera di ignoti , in conseguenza del quale il suo token di autenticazione SecurID potrebbe essere a rischio e i suoi utenti con esso.
Nel comunicare l’esistenza del problema, il presidente esecutivo di RSA Art Coviello sceglie di lesinare sui particolari: gli ignoti cracker sono penetrati nel network interno dell’azienda e hanno ottenuto informazioni confidenziali sulla tecnologia di SecurID, dice Coviello.
La società dice di confidare nel fatto che tali informazioni non permettano di portare a termine con successo “un attacco diretto” contro il token , suggerendo piuttosto l’esistenza di “un piano di attacco più ampio” entro il quale le informazioni rubate potrebbero servire per “ridurre l’efficacia di una implementazione di autenticazione a doppio fattore” attualmente impiegata da SecurID.
Le indicazioni vaghe di Coviello e le “raccomandazioni” ai clienti sul comportamento da tenere lasciano perplessi gli esperti di sicurezza, concordi nel chiedere una disamina più dettagliata dell’attacco e nel fare affidamento sulla corretta implementazione degli standard di cifratura come fattore mitigante dell’incidente.
Alfonso Maruccia
-
Bene
Io ci leggo che , dopo l'aggiornamento alla versione 4.3, Safari é piu' veloce di 2-2,5 volte, ed ora gli tocca correggere il problema delle webapps. Tutto qui! In fondo sono veloci tanto quanto prima, é Safari ad aver fatto un passo avanti.Non vorrete mica pensare sia una cospirazione spero ?!mkvRe: Bene
Non ci stupiremmo di certo se fosse una delle tante "cospirazioni" di apple :DP.S. Che Safari sia veloce è una barzelletta, vedi http://www.telefonino.net/Apple/Notizie/n26572/Il-browser-Android-veloce-di-Safari-iPhone.htmlhttp://www.blaze.io/uncategorized/mobile/iphone-vs-android-45000-tests-prove-whose-browser-is-faster/Ovvero viene surclassato dal browser di Android su tutta la linea...the_mRe: Bene
Ma non diciamo fesserie: il browser di iOS è in assoluto il migliore del mondo. Ho qui sottomano alcune decine di migliaia di link che lo provano. Li volete? Sono tutti i post di FinalCut, Ruppolo e Mex.informoRe: Bene
- Scritto da: informo> Ma non diciamo fesserie: il browser di iOS è in> assoluto il migliore del mondo. Ho qui sottomano> alcune decine di migliaia di link che lo provano.> Li volete? Sono tutti i post di FinalCut, Ruppolo> e> Mex.lasciali stare è un periodaccio per loro, sono impegnati in riunioni di preghiera per via della malattia di jobs, parlano di sacrificare i primogeniti per salvarlo, ruppolo non ha neanche atteso il benestare della apple che ha già sacrificato qualcuno senza nometeribbileRe: Bene
no quello che dicono quegli articoli e quei test sono FALSIhanno messo a confronto non l'usabilità e la velocità di safari mobile e del browser di android hammo messo a confronto i sottosistemi che consentono alle app di terze parti di renderizzare html.Blaze Software ha fatto retromarcia e si è praticamente scusata e ha palesato l'incompetenza e la leggerezza dimostrate se non la malafede.Safari mobile è uno se non il più veloce browser mobile disponibile solo chi è in malafede può affermare il contrario.e per chiosare ovvero ti sei sbagliato su tutta la linea.123456Re: Bene
- Scritto da: 123456> Blaze Software ha fatto retromarcia e si è> praticamente scusata e ha palesato l'incompetenza> e la leggerezza dimostrate se non la> malafede.Citation needed.Valerenma come funziona st'affare?
Sulla mia interfaccia Sense, anche io posso inserire un'icona nella pagina iniziale, che non punta ad un'applicazione, ma ad un URL, lanciando quindi il browser.Su ios non è così, ma viene lanciato un "subclient" che ha funzioni ridotte rispetto a safari? Mah.ephestioneRe: ma come funziona st'affare?
- Scritto da: ephestione> Sulla mia interfaccia Sense, anche io posso> inserire un'icona nella pagina iniziale, che non> punta ad un'applicazione, ma ad un URL, lanciando> quindi il> browser.> Su ios non è così, ma viene lanciato un> "subclient" che ha funzioni ridotte rispetto a> safari?> Mah.Su iOS è come sulla tua interfaccia, stessa cosa.È Punto Informatico che ha capito fischi per fiaschi. Una web app non è un link a forma di icona che che apre Safari su una pagina, ma una pagina con codice specifico per iPhone (o per altri sistemi) che fa funzionare una pagina HTML come fosse una app (con delle ovvie limitazioni, naturalmente). Che poi si apra da un bookmark piuttosto che da una icona o indirizzo scritto a mano ogni volta, è irrilevante.ruppoloRe: ma come funziona st'affare?
- Scritto da: ruppolo> - Scritto da: ephestione> > Sulla mia interfaccia Sense, anche io posso> > inserire un'icona nella pagina iniziale, che non> > punta ad un'applicazione, ma ad un URL,> lanciando> > quindi il> > browser.> > Su ios non è così, ma viene lanciato un> > "subclient" che ha funzioni ridotte rispetto a> > safari?> > Mah.> > Su iOS è come sulla tua interfaccia, stessa cosa.> È Punto Informatico che ha capito fischi per> fiaschi. Una web app non è un link a forma di> icona che che apre Safari su una pagina, ma una> pagina con codice specifico per iPhone (o per> altri sistemi) che fa funzionare una pagina HTML> come fosse una app (con delle ovvie limitazioni,> naturalmente). Che poi si apra da un bookmark> piuttosto che da una icona o indirizzo scritto a> mano ogni volta, è> irrilevante.è molto piu rilevante che apple non consenta l'utilizzo delle tecnologie di velocizzazione della navigazione anche per le webapp, come al solito dietro ogni aggiornamento di apple ci sta la fregatura per i clienti ma tanto non se ne rendono conto limitati come sonoteribbileRe: ma come funziona st'affare?
- Scritto da: teribbile> è molto piu rilevante che apple non consenta> l'utilizzo delle tecnologie di velocizzazione> della navigazione anche per le webapp, come al> solito dietro ogni aggiornamento di apple ci sta> la fregatura per i clienti ma tanto non se ne> rendono conto limitati come sonoMa quante belle razzate!FDGRe: ma come funziona st'affare?
in pratica ci stai dicendo che safari è più lento di, che so, chrome?vabbè sono sciocchezze alla fine, il vero problema di apple si presenterà tra qualche settimana quando le proposte per l'indecenza dei macbook pro sandy bridge che scaldano come forni a microonde raggiungerà proporzioni ragguardevolicollioneRe: ma come funziona st'affare?
- Scritto da: collione> vabbè sono sciocchezze alla fine, il vero> problema di apple si presenterà tra qualche> settimana quando le proposte per l'indecenza dei> macbook pro sandy bridge che scaldano come forni> a microonde raggiungerà proporzioni> ragguardevoliMa sei sicuro? Ho letto da qualche parte che scaldano meno dei modelli precedenti. Comunque un bel PC con Windows 7 costa di meno e fa di più.Zucca VuotaRe: ma come funziona st'affare?
- Scritto da: collione> in pratica ci stai dicendo che safari è più lento> di, che so, chrome?Safari su iOS è più lento di WebKit per Android, questo è noto.> vabbè sono sciocchezze alla fine...E meno male che ci se ne rende conto.Però mi pare che dietro a questa tendenza a creare il caso ci sia un po' d'antipatia verso le mele... sbaglio? :)FDGRe: ma come funziona st'affare?
Perdonami Ruppolo, ma non è del tutto esatto.Le WebApp ( codice specifico: ) hanno un comportamento diverso se aperte dentro safari o dal bookmark sulla home screen ( non il bookmark dentro safari )Il bookmark dallla home screen apre un proXXXXX separato da Safari con dentro una UIWebView ( che ha causa di un errato collegamento, carica il framework sbagliato del motore JS ).Puoi verificare il fatto che il proXXXXX separato tornanto alla home e visualizzando la barra del multitasking, noterai l'icona della webapp.Ad ogni modo è solo un bug, che verrà corretto con la prossima release di iOS.AmedeoRe: ma come funziona st'affare?
- Scritto da: FDG> Vorrei sottolineare che l'aggiornamento> include un just-in-time compiler, che in pratica> fa si che sul sistema sia eseguito codice nativo> scaricato in remoto. Questa cosa è potenzialmente> a rischio di exploit. Per cui, fuori da una> sandbox è una pratica> rischiosa.Quello che descrivi non è un jit compiler. Che sia un potenziale vettore di exploit è palese.ThescareSpiegazione tecnica del problema
(no, non c'è nessuna malignità nelle diverse prestazioni di UIWebKit e Safari)http://daringfireball.net/2011/03/nitro_ios_43MacBoyRe: Spiegazione tecnica del problema
- Scritto da: MacBoy> (no, non c'è nessuna malignità nelle diverse> prestazioni di UIWebKit e> Safari)> http://daringfireball.net/2011/03/nitro_ios_43e magari credi davvero a quello che hai scritto, perchè la apple si sa queste cose non le fateribbileRe: Spiegazione tecnica del problema
- Scritto da: teribbile> - Scritto da: MacBoy> > (no, non c'è nessuna malignità nelle diverse> > prestazioni di UIWebKit e> > Safari)> > http://daringfireball.net/2011/03/nitro_ios_43> > e magari credi davvero a quello che hai scritto,> perchè la apple si sa queste cose non le faL'hai letta la spiegazione?Comunque è probabile che risolvano prima o poi anche sulla UIWebKit, ma la cosa è meno semplice di quanto possa sembrare se non vogliono inficiare tutti i sistemi di sicurezza che hanno messo su.MacBoyRe: Spiegazione tecnica del problema
- Scritto da: teribbile> - Scritto da: MacBoy> > (no, non c'è nessuna malignità nelle diverse> > prestazioni di UIWebKit e> > Safari)> > http://daringfireball.net/2011/03/nitro_ios_43> > e magari credi davvero a quello che hai scritto,> perchè la apple si sa queste cose non le faPrima di fare certe affermazioni bisognerebbe conoscere un po' di più OS X/iOS, a partire da come funzionano i framework.I framework usati da una certa applicazione possono essere piazzati nel bundle dell'applicazione o tra i framework di sistema, o in /System/Library o in /Library. Quindi la stessa libreria la puoi trovare in due versioni differenti: una vista da tutte le applicazioni, un'altra dall'applicazione che la contiene. Ad esempio, io su OS X continuo a scaricarmi le nightly build di WebKit.app, che contengono i framework di webkit in versione aggiornata (e instabile), mentre il resto del sistema continua a vedere la versione più vecchia (e stabile).Quello che hanno fatto su iOS non è rallentare js per le applicazioni terze parti, ma lasciare la versione vecchia per tutte le applicazioni, e di mettere quella nuova sul nuovo Safari. Cioè, le webapp continuano a funzionare alla velocità a cui funzionavano prima. Safari è più veloce. L'ottimizzazione introdotta in safari è un just-in-time compiler. Avevo già visto dei post su twitter in proposito. La questione è che non è tanto bello dal punto di vista della sicurezza mettere sulle applicazioni terze parti la possibilità di eseguire codice nativo in remoto se questo non viene eseguito in una sandbox. Nel momento in cui la sandbox sarà disponibile in tutte le applicazioni, se ne potrà riparlare.FDGStupidità
Avendo già le informazioni tecniche necessarie per valutare la questione, non mi viene in mente che una parola: "stupidità". Riferita a chi ha voluto creare il caso (o a chi lo alimenta). Anzi, direi pure ignoranti. O forse non ci sono, ma ci fanno.Attenzione, qui non si tratta di santificare Apple e lodare incondizionatamente iOS. Si tratta di banali questioni tecniche. Se da security policy su iOS nessuna applicazione che viene installata ha il permesso di settare l'execute bit su proprie pagine di memoria su cui sono stati scritti dati, per evidenti questioni di sicurezza, è normale che un just-in-time compiler abbia qualche problema funzionare dentro una di queste applicazioni. Quindi, a meno che l'applicazione non giri in una sandbox, come Safari, non vedremo in opera il just-in-time compiler.Ma a troppi giornalisti purtroppo non interessa raccontare storie noiose. Anche se è una panzana, l'importante è che faccia rumore.FDGRe: Stupidità
- Scritto da: FDG> Avendo già le informazioni tecniche necessarie> per valutare la questione, non mi viene in mente> che una parola: "stupidità". Riferita a chi ha> voluto creare il caso (o a chi lo alimenta).> Anzi, direi pure ignoranti. O forse non ci sono,> ma ci> fanno.> > Attenzione, qui non si tratta di santificare> Apple e lodare incondizionatamente iOS. Si tratta> di banali questioni tecniche. Se da security> policy su iOS nessuna applicazione che viene> installata ha il permesso di settare l'execute> bit su proprie pagine di memoria su cui sono> stati scritti dati, per evidenti questioni di> sicurezza, è normale che un just-in-time compiler> abbia qualche problema funzionare dentro una di> queste applicazioni. Quindi, a meno che> l'applicazione non giri in una sandbox, come> Safari, non vedremo in opera il just-in-time> compiler.> > Ma a troppi giornalisti purtroppo non interessa> raccontare storie noiose. Anche se è una panzana,> l'importante è che faccia> rumore.apple non permette che le app girino su una sandbox per cui discorso chiuso, se poi non volevi lodare apple facendo riferimento ad una presunta sicurezza beh, apple non è mai stata brava con la sicurezza informatica e lo ha sempre dimostrato di anno in anno e di upgrade in upgrade sia su ios che su osx, è un problema per un attacker evitare la sendbox per attaccare direttamente safari od una delle millemila app se proprio si deve violare il sistema ios? o su osx è un problema continuare ad inviare invitiche tanto gli utenti apple sono talmente ingenui ed infarciti di senso di sicurezza per il loro sistema da cliccare a caso che tanto non prendono virus? l'importante è difendere apple vero FDG? String.from CharCodeRe: Stupidità
- Scritto da: String.from CharCode> apple non permette che le app girino su una> sandbox...Ok, per te se una cosa manca al software questo vuol dire che il suo sviluppatore non la permette? :DUna cosa che sicuramente non è consentita a un proXXXXX utente su iOS è modificare l'execute bit.> per cui discorso chiuso, se poi non> volevi lodare apple facendo riferimento ad una> presunta sicurezza beh, apple non è mai stata> brava con la sicurezza informatica...No, no, anzi, l'hanno pure diminuita consentendo a Safari di farlo. Ma non credo che sia questo il problema.Una soluzione sarebbe mettere le web view dentro un proXXXXX separato con pochi privilegi. Penso che per fare questo servirebbe almeno il webkit 2, la cui introduzione è prevista con OS X 10.7.FDGRe: Stupidità
- Scritto da: FDG> - Scritto da: String.from CharCode> > > apple non permette che le app girino su una> > sandbox...> > Ok, per te se una cosa manca al software questo> vuol dire che il suo sviluppatore non la> permette?ma quale senso ha che il codice dinamico venga eseguito con nitro e safari in una sandbox, tu mi hai detto per sicurezza, ma questa perde completamente senso quando il codice viene eseguito dal programma web sempre all'interno di ios senza che questo venga boxato, l'unico motivo realistico è che apple privilegia la velocizzazione di tutto cio che passa per il suo wallet garden> > :D> > Una cosa che sicuramente non è consentita a un> proXXXXX utente su iOS è modificare l'execute> bit.> > > per cui discorso chiuso, se poi non> > volevi lodare apple facendo riferimento ad una> > presunta sicurezza beh, apple non è mai stata> > brava con la sicurezza informatica...> > No, no, anzi, l'hanno pure diminuita consentendo> a Safari di farlo. Ma non credo che sia questo il> problema.> > Una soluzione sarebbe mettere le web view dentro> un proXXXXX separato con pochi privilegi. Penso> che per fare questo servirebbe almeno il webkit> 2, la cui introduzione è prevista con OS X> 10.7.poteva inserire fin da subito lo split processing senza fare sta figura di XXXXX e magari anche arginare l'emorragia di sviluppatori che si stanno stufando di apple e della mentalita chiusa di jobsString.from CharCodeRe: Stupidità
apple non è mai stata> brava con la sicurezza informatica e lo ha sempre> dimostrato di anno in anno e di upgrade in> upgrade sia su ios che su osx***************************************************gli altri OS negli anni invece sono tutti rimasti alla V1.0 giusto?deactiveSpiegazioni omesse nell'articolo...
Considerando che la "notizia" e' ormai in giro dagli inizi di settimana scorsa, potreste anche sforzarvi di informarvi un po' meglio.1) Nitro e' stato introdotto con iOS 4.3, Nitro e' piu' veloce del vecchio engine ed e' disponibile solo in Safari, tutto questo e' vero... ma se ragionate un secondo significa che dal 4.3 javascript e' piu' veloce in Safari RISPETTO LA VERSIONE PRECEDENTE. Cio' significa che le WebApp non sono piu' lente... semplicemente vanno alla stessa velocita' che sono sempre andate in precedenza. Per cui in 4.3, Safari va piu' veloce, il resto va come sempre e' andato... le WebApp non vanno "piu' lente", vanno come sono sempre andate.2) Il motivo di questa scelta e' probabilmente legato a questioni di sicurezza. Vi rimando a questo articolo apparso su DaringFireball per una possibile spiegazione: http://daringfireball.net/2011/03/nitro_ios_43In sostanza e' molto probabile che in uno dei prossimi aggiornamenti di iOS, Nitro venga reso disponibile anche per le WebApp funzionanti in fullscreen.AndreaRe: Spiegazioni omesse nell'articolo...
- Scritto da: Andrea> 2) Il motivo di questa scelta e' probabilmente> legato a questioni di sicurezza...È una conseguenza di scelte legate alla sicurezza.FDGGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiPubblicato il 21 mar 2011Ti potrebbe interessare