Sicurezza, c'è chi accusa Google

Le falle trovate la scorsa settimana secondo qualche esperto non sono da condonare al gigante della ricerca. Ecco di che si tratta


Roma – Alla cosa pochi han dato importanza perché, sebbene si tratti di vulnerabilità presenti su Google, sono cose in parte già viste altrove e in parte considerate poco pericolose. Non la pensa così però il bug hunter che per primo le ha scovate e che si lamenta di non aver ricevuto da Google alcun genere di comunicazione che non fosse automatica e precotta, come sono tipicamente le risposte di Google quando si invia una email ai suoi indirizzi di segnalazione.

Nello specifico, l’informatico britannico Jim Ley aveva individuato un modo in cui Google può essere sfruttato per condurre “attività di phishing”, come vengono ormai denominate tutte le operazioni in rete volte ad ingannare l’utente per farsi consegnare dati preziosi, informazioni sensibili e magari anche finanziarie.

Ley aveva dimostrato, con un proprio programmino, come fosse possibile sfruttare una vulnerabilità Javascript per realizzare un form capace di modificare la pagina dei risultati della ricerca di Google, avvertire che presto il servizio sarà a pagamento e raccogliere i dati di carta di credito degli utenti eventualmente caduti nella trappola. Secondo l’esperto inglese, con l’avvio del Google Desktop Search le vulnerabilità di Google potrebbero diventare questione assai più scottante di quanto non siano oggi.

Ma ciò che secondo Ley è imperdonabile è il fatto che per due anni il bug hunter avrebbe tentato di far arrivare a Google la segnalazione della falla, senza ottenere altro se non, come accennato, risposte automatiche. “Ogni sito online ha i suoi problemi – ha dichiarato a Newsfactor lo stesso Ley – non è realistico pensare che non ve ne siano. Non credo che Google sia molto peggio di altri in questo senso”. Ma, ha dichiarato Ley, Google si è dimostrato talmente poco interessato al problema da far sospettare con ogni probabilità l’assenza di un sistema strutturato di gestione della sicurezza: “Hanno mostrato pochissima preoccupazione per la falla. Erano più preoccupati dal fatto che potesse essere discussa in pubblico”.

Va detto, ad ogni buon conto, che dopo numerose notizie riportate dalla stampa, Google ha fatto sapere che a breve il buco sarà tappato. Con buona pace di Ley.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Produttività....
    "senza contare i costi per la perdita di produttività, ossia per la "distrazione" dell'utente nel compiere le sue operazioni extra sfruttando i mezzi aziendali"Allora quando leggo PI è una perdita di produttività, una "distrazione" sfruttando i mezzi aziendali.....ODDIO!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    • Anonimo scrive:
      Re: Produttività....

      Allora quando leggo PI è una perdita
      di produttività, una "distrazione"
      sfruttando i mezzi aziendali.....
      ODDIO!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Fortunatamente pe il mondo, con la testa che ti ritrovi non ricoprirai mai alcun ruolo degno di essere notato.Se un giorno vincessi all'enalotto, allora prova ad immaginarti un tuo dipendente, cui affidi l'auto aziendale per fare delle consegne, che la usa per portare al lago la morosa facendoti pagare il suo tempo e la benzina.Poi lo vedrai anche postare sui forum frasi del genere, e capirai di che "uomo" si tratta.
      • Anonimo scrive:
        Re: Produttività....
        ODDIO eccone un altro!!!!!!!!!!!!!!!!!!!!!!ritorna a lavorare schiavo!!!!!!!!!!!!!!!!!!!!!
      • Anonimo scrive:
        Re: Produttività....
        - Scritto da: Anonimo


        Allora quando leggo PI è una
        perdita

        di produttività, una
        "distrazione"

        sfruttando i mezzi aziendali.....


        ODDIO!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

        Fortunatamente pe il mondo, con la testa che
        ti ritrovi non ricoprirai mai alcun ruolo
        degno di essere notato.
        Se un giorno vincessi all'enalotto, allora
        prova ad immaginarti un tuo dipendente, cui
        affidi l'auto aziendale per fare delle
        consegne, che la usa per portare al lago la
        morosa facendoti pagare il suo tempo e la
        benzina.
        Poi lo vedrai anche postare sui forum frasi
        del genere, e capirai di che "uomo" si
        tratta.Papà, sono tuo figlio!!!!!Invece di stare con la mamma stai a scrivere stronzate nel forum!!!Ecco perchè hai divorziato e ti ha messo le corna!!!!!!
    • Anonimo scrive:
      Re: Produttività....
      - Scritto da: Anonimo
      "senza contare i costi per la perdita di
      produttività, ossia per la
      "distrazione" dell'utente nel compiere le
      sue operazioni extra sfruttando i mezzi
      aziendali"

      Allora quando leggo PI è una perdita
      di produttività, una "distrazione"
      sfruttando i mezzi aziendali.....

      ODDIO!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!C'è modo e modo direi.La maggior parte di chi lavora al pc, dagli impiegati ai sistemisti magari si prendono un attimo di pausa per leggere la posta o magari scrivere qui o lì.Inoltre la legge dice che abbiamo (o avremmo) diritto ad un quarto d'ora di pausa ogni due ore di lavoro.Il che è ben diverso, scusa, dal succhiare banda a go-go a chi ti da lavoro: chi lo fa sa che è scorretto, a prescindere da tutto quello che si dice o si fa riguardo il p2p. La banda non la paghi tu.
  • Anonimo scrive:
    Non sanno più cosa inventare
    per impedire alla gente di scaricare.Hanno criminalizzato gli scaricatori creando leggi assurde al punto che l'omicidio costa meno.Hanno detto che danneggia l'economia.Hanno detto che crea disoccupazione.Hanno detto che favorisce la criminalità organizzata....Tra poco si scoprirà che scaricare MP3 è dannoso per la salute e che costa alla sanità N miliardi di euro.Per intanto provano a ridurre il traffico convincendo le ditte che spendono inutilmente soldi per scaricare.Ma io vorrei sapere quale ditta non ha una rete sovradimensionata.Calcoliamo un attimo, supponiamo di lavorare per una ditta che necessita di scaricare 1GB di dati al giorno (e-mail, documenti, ...), una linea ADSL da 128Kbps sarebbe sufficiente, visto che con una linea del genere si scaricano 1.1GB al giorno.Ma chi ha voglia di aspettare ore per un'e-mail, visto che non si lavora ininterrottamente per 24h al giorno?Questa ditta prenderà più probabilmente una linea da 512Kbps o 1024Kbps, cioè una linea da 4 a 8 volte più rapida di quello che sarebbe realmente necessario.Cosa si fa di tutta questa banda supplementare? posso azzardare una risposta? nulla!Il download a questo punto diventa solo uno sfruttamento logico di una banda inutilizzata, un modo diverso di ammortizzare i costi.
  • Anonimo scrive:
    Allora non e' scopo di lucro!
    Visto che hanno dimostrato che lo scaricare MP3 dalla rete rappresenta un costo non indifferente, viene meno questo fantomatico "scopo di lucro" tanto sbandierato dalle major che hanno dettato il testo della legge al ministro.Fatela finita e lasciateci lavorare in pace!
    • Anonimo scrive:
      bravo, lo dico pure io
      Da quando ho l'adsl ho dovuto spendere una fortuna per comprare nuovi hard disk, cd vergini, masterizzatori (uno si è bruciato per il troppo uso), corrente elettrica (un pc con due HD da 250 GB consuma parecchio a tenerlo acceso giorno e notte).Senza contare il tempo perso, inoltre mi è anche venuta la passione per il cinema così adesso vado al cinema 2 volte la settimana mentre prima non ci andavo quasi mai.E poi non mi avanza il tempo per vedere le cose che scarico.Insomma per me è un costo, non un profitto.Reggerà in tribunale?
      Visto che hanno dimostrato che lo scaricare
      MP3 dalla rete rappresenta un costo non
      indifferente, viene meno questo fantomatico
      "scopo di lucro" tanto sbandierato dalle
      major che hanno dettato il testo della legge
      al ministro.

      Fatela finita e lasciateci lavorare in pace!
  • Anonimo scrive:
    Appunto...
    ...come continuo a ripetere non c'è da criminalizzare il mezzo (mp3) ma, semmai il suo uso. Perché non ottimizzare per i bassi bitrates ? Perché non obbligare a mettere i brani in mono ? E perché non far usare applicativi come BitTorrent (che risparmiano banda) ?Svegliamoci, TUTTI !Marco Radossevich( patchwork @ libero . it )
    • Anonimo scrive:
      e non obbligare?

      Perché non
      obbligare a mettere i brani in mono ? Perchè non obbligare a non obbligare ?Ma obbligati da solo e lascia liberi gli altri...
  • Anonimo scrive:
    Re: pausa mp3!
    L'azienda dove lavoro fornisce ai propri dipendenti una 10Mbit ma che stranamente funziona come un fosse 56k su ogni postazione. Motivo? I capi tengono più programmi di p2p attivi 24h su 24. Mentre noi stiamo a lumacare per aprire una semplice sito web senza troppe immagini o animazioni.Ah ... noi la pausa in 8 ore la facciamo di 15minuti, in un parcheggio dove ti devi portare il cibo e l'acqua da casa!Questo per 355 giorni all'anno.L'azienda non ci da neppure dei buonipasto, quando abbiamo chiesto hanno risposto: vi diamo già lo stipendio ogni mese. (600?)
    • Locke scrive:
      Re: pausa mp3!
      - Scritto da: Anonimo

      L'azienda non ci da neppure dei buonipasto,
      quando abbiamo chiesto hanno risposto: vi
      diamo già lo stipendio ogni mese.
      (600?)E tu che ci fai ancora in quell'azienda?Scappa appena puoi...
    • CountZero scrive:
      Re: pausa mp3!
      certo, certo...e magari siete anche ai remi...countzero- Scritto da: Anonimo
      L'azienda dove lavoro fornisce ai propri
      dipendenti una 10Mbit ma che stranamente
      funziona come un fosse 56k su ogni
      postazione.
      Motivo?
      I capi tengono più programmi di p2p
      attivi 24h su 24.
      Mentre noi stiamo a lumacare per aprire una
      semplice sito web senza troppe immagini o
      animazioni.

      Ah ... noi la pausa in 8 ore la facciamo di
      15minuti, in un parcheggio dove ti devi
      portare il cibo e l'acqua da casa!
      Questo per 355 giorni all'anno.

      L'azienda non ci da neppure dei buonipasto,
      quando abbiamo chiesto hanno risposto: vi
      diamo già lo stipendio ogni mese.
      (600?)
    • Anonimo scrive:
      Re: pausa mp3!
      e che volete pure da mangiare?oltre che vi fanno il favore di farvi lavorare
  • Anonimo scrive:
    io credo che ...
    se il dipendente fà il proprio dovere quando deve , non penso che il datore di lavoro rompa troppo le scatole se un suo dipendente si distrae un pò.Alcuni discorso li vedo sempre estremisti , o tutto o nulla .Secondo me , manca molta fiducia e rispetto tra le persone , non è questione di internet o no.
  • Anonimo scrive:
    Re: pausa mp3!

    non credo che spremendo a più non
    posso si ottenga di più in
    qualità...perchè alla fine il
    tartassato in qualche modo trova ugualmente
    il modo di difendersi.Non sei un tartassato. Se il collegamento a internet non fa parte dei benefit concessi ma è uno strumento di lavoro, allora stai rubando soldi ad altri.
  • Anonimo scrive:
    Ok, tenere d'occhio, ma ...
    «Oltre ad avvertire le imprese di tenere d'occhio i player mp3 degli impiegati ("oggi possono archiviare decine di gigabyte di musica e uccidere la tua connettività"), i ricercatori hanno sottolineato come il ricorso sempre più massiccio alla banda larga e la penetrazione della rete sempre più distribuita negli uffici e nelle imprese stia aumentando progressivamente questo genere di utilizzo di Internet.»L'importante è che se vogliono mettere sotto controllo ciò che scaricano gli utenti, lo facciano rispettando la legge.L'uso di strumenti come questi e' estremamente utile ma richiede anche alcune cautele, in quanto si rischia di violare diverse norme in tema di intercettazione abusiva (codice penale), trattamento dei dati personali (L 675/96) e statuto dei lavoratori (L 300/70).
    • Anonimo scrive:
      Re: Ok, tenere d'occhio, ma ...
      - Scritto da: Anonimo
      L'uso di strumenti come questi e'
      estremamente utile ma richiede anche alcune
      cautele, in quanto si rischia di violare
      diverse norme in tema di intercettazione
      abusiva (codice penale), trattamento dei
      dati personali (L 675/96) e statuto dei
      lavoratori (L 300/70).Intercettazione abusiva? Qui l'unico abuso è da parte di chi utilizza i pc dell'azienda per scopi personali
      • Anonimo scrive:
        Re: Ok, tenere d'occhio, ma ...
        - Scritto da: Anonimo

        - Scritto da: Anonimo


        L'uso di strumenti come questi e'

        estremamente utile ma richiede anche
        alcune

        cautele, in quanto si rischia di violare

        diverse norme in tema di intercettazione

        abusiva (codice penale), trattamento dei

        dati personali (L 675/96) e statuto dei

        lavoratori (L 300/70).

        Intercettazione abusiva? Qui l'unico abuso
        è da parte di chi utilizza i pc
        dell'azienda per scopi personaliQuesto non ti da' il diritto di violare norme del codice penale.Se hai il sospetto che un tuo dipendente commetta un illecito, non puoi agire a sua insaputa senza che lui abbia mai firmato alcun NDA.
        • Anonimo scrive:
          Re: Ok, tenere d'occhio, ma ...
          - Scritto da: Anonimo

          - Scritto da: Anonimo



          - Scritto da: Anonimo




          L'uso di strumenti come questi e'


          estremamente utile ma richiede
          anche

          alcune


          cautele, in quanto si rischia di
          violare


          diverse norme in tema di
          intercettazione


          abusiva (codice penale),
          trattamento dei


          dati personali (L 675/96) e
          statuto dei


          lavoratori (L 300/70).



          Intercettazione abusiva? Qui l'unico
          abuso

          è da parte di chi utilizza i pc

          dell'azienda per scopi personali

          Questo non ti da' il diritto di violare
          norme del codice penale.
          Se hai il sospetto che un tuo dipendente
          commetta un illecito, non puoi agire a sua
          insaputa senza che lui abbia mai firmato
          alcun NDA.Fino a prova contraria il dipendete utilizza proprietà del datore di lavoro, sia esso una persona fisica o un'azienda anche enorme come una multinazionale.
          • Anonimo scrive:
            Re: Ok, tenere d'occhio, ma ...
            Infatti, sono tutti strumenti che appartengono al datore di lavoro. In quanto strumenti che appartengono al datore di lavoro, quest'ultimo sui suoi strumenti può fare tutti i controlli che vuole quando vuole.Quella dell'NDA (Non Disclosure Agreement) è poi esilarante !!!
          • Anonimo scrive:
            Re: Ok, tenere d'occhio, ma ...
            Spiacente ma non è esattamente così! Spiare un PC anche se è tuo può costituire reato. Tanto come non si può mettere una telecamera che inquadri l'operato di un cassiere, così non si può tener traccia di quello che c'è sul PC di un dipendente. Questo naturalmente in teoria. In realtà la scusa utilizzata per il cassiere è l'inquadrare l'ingresso del negozio e per il PC tenere traccia dei traffici di rete per ottimizzare le prestazioni. L'utilizzo comunque delle informazioni acquisite deve comunque avvenire per vie traverse: non potranno dire: "scarichi mp3 perchè la sonda dice che è così", dovranno trovare dei modi alternativi, che comunque trovano.
          • Anonimo scrive:
            Re: Ok, tenere d'occhio, ma ...
            Infatti, non serve controllare i singoli PC, se mai basta controllare i log del firewall, per avere le prove, e se si vuole risolvere il problema alla radice basta consentire in uscita solo la navigazione su porta 80, la posta solo sul server aziendale, e il resto niente.E non ditemi che tutti sono in grado di fare TCP-Tunnel.
          • Anonimo scrive:
            HELP, please

            E non ditemi che tutti sono in grado di fare
            TCP-Tunnel.Qualche suggerimento per fare del TCP-Tunnel facile e sicuro?Grazie
          • Anonimo scrive:
            Re: HELP, please
            LAVORA! :@
          • Anonimo scrive:
            mi serve davvero
            - Scritto da: Anonimo
            LAVORA! :@eddai, da qui non posso neanche scaricare le patch e i crack per sproteggere i programmi...Aiutatemi!!!!
          • Anonimo scrive:
            Re: HELP, please
            - Scritto da: Anonimo
            LAVORA! :@Tu sei furbo!Lasciami connettere facilmente dove voglio io che cosi', mentre il PC scarica, io lavoro.Se ti metti a chiudere porte e inibire accessi, mi costringi a perdere tempo per bypassare le tue protezioni in uscita, a discapito della produttivita'.Quando poi il problema e' la banda, l'azienda fa prima a far scaricare i divx dagli amministratori di rete e poi consegnare il CD gia' masterizzato a chiunque ne faccia richiesta: in questo modo sono tutti contenti, la rete non si intasa, i dischi di rete non sono riempiti con 50 copie dello stesso divx rinominato nei modi piu' assurdi per non farlo scoprire, etc...
          • Anonimo scrive:
            Re: HELP, please

            Se ti metti a chiudere porte e inibire
            accessi, mi costringi a perdere tempo per
            bypassare le tue protezioni in uscita, a
            discapito della produttivita'.Ti e' mai passato per la testa che il luogo di lavoro si chiama cosi' per un buon motivo?Ah gia', all'asilo non si lavora, almeno in Italia
          • Anonimo scrive:
            Re: HELP, please

            Lasciami connettere facilmente dove voglio
            io che cosi', mentre il PC scarica, io
            lavoro.
            Se ti metti a chiudere porte e inibire
            accessi, mi costringi a perdere tempo per
            bypassare le tue protezioni in uscita, a
            discapito della produttivita'....
            l'azienda fa prima a far scaricare i divx
            dagli amministratori di rete e poi
            consegnare il CD gia' masterizzato a
            chiunque ne faccia richiesta...Be, non c'è bisogno di fare tutto questo baccano per nulla, se vai su Giochi Di Fantasia.it trovi da scaricare tutto quello che vuoi, suonerie, mp3, divx, dvd, senza problemi di banda o porte o protocolli inibiti o programmi p2p da installare e configurare...Ah, stavo quasi per dimenticarmi di darti l'indirizzo di Giochi Di Fantasia.it: www.gdf.itEnjoy!
          • Anonimo scrive:
            Re: Ok, tenere d'occhio, ma ...
            Così risolvi solo contro chi usa p2p... e chi scarica da web ?Il problema è differente, ragazzi.Svegliamoci, TUTTI !Marco Radossevich(patchwork @ libero . it)
          • Anonimo scrive:
            Re: Ok, tenere d'occhio, ma ...
            Chi scarica dal web cosa...se imposti un buon filtro blocchi dal web sia le email, che i download di exe, mp3, ecc.e mal che vada invece di avere 100 utenti che scaricano ne avrai 2 o 3, che puoi sempre ammonire avendo i log.
        • Anonimo scrive:
          Re: Ok, tenere d'occhio, ma ...

          Questo non ti da' il diritto di violare
          norme del codice penale.
          Se hai il sospetto che un tuo dipendente
          commetta un illecito, non puoi agire a sua
          insaputa senza che lui abbia mai firmato
          alcun NDA.Fa molto fico cacciare acronimi a vanvera, ma qui NDA non c'entra proprio nulla.Se poi, caro il mio comunistello, vuoi fare la fighetta acida, saprai che nemmeno di tua volonta' puoi rinunciare ad alcuna liberta' civile, come sembra essere secondo te il rubare la connettivita' ad altri.
    • Anonimo scrive:
      Re: Ok, tenere d'occhio, ma ...

      trattamento dei
      dati personali (L 675/96) Giusto per informarti che da un anno abbiamo la 196/03.Se poi lo statuto dei lavoratori viene tirato in ballo solo per giustificare dei ladri, allora credo che ci siamo giocati 50 anni di lotta.
Chiudi i commenti