VMware Fusion 2.0 mostra le sue novità

Rilasciata la prima beta pubblica della nuova versione di un giovane software di virtualizzazione capace di far girare Windows sotto Mac OS X x86. Ecco le principali novità

Palo Alto (USA) – Sono trascorsi ormai sette mesi dal rilascio dell’ultima versione di VMware Fusion, la 1.1 , e per il giovane software di virtualizzazione per Mac è ora giunto il momento di mostrare al pubblico le novità della prossima major release.

La prima beta pubblica di Fusion 2.0, scaricabile da qui previa registrazione gratuita, migliora ulteriormente il supporto alla grafica 3D e alle librerie DirectX 9.0, che ora è in grado di utilizzare in accoppiata alla specifica Shader Model 2 . L’attuale versione 1.1 manca invece del supporto ai pixel shader, una caratteristica che limita pesantemente la compatibilità di Fusion con i giochi basati su DirectX 9.

VMware avverte tuttavia che il supporto agli shader è ancora sperimentale, e potrebbe fornire performance piuttosto scarse, spesso con hardware non al top.

Una novità senz’altro apprezzata da grafici, progettisti e power user è il supporto di Fusion 2.0 a più display : ora è infatti possibile gestire da una macchina virtuale tutti i monitor connessi ad un Mac (fino a 10), consentendo di trascinare le finestre da uno schermo all’altro o di visualizzare la macchina virtuale in modalità full screen su entrambi i monitor.

Fusion 2.0 permette anche di importare le macchine virtuali create con Parallels Desktop e Microsoft Virtual PC nonché le partizioni di Boot Camp, che il software è in grado di convertire in vere e proprie macchine virtuali.

La nuova release di Fusion migliora infine la stampa da Windows (è infatti in grado di rilevare e configurare tutte le stampanti connesse al Mac), il supporto alle periferiche USB, il networking, la gestione di mouse e tastiera, e l’interfaccia grafica del software, ora maggiormente integrata con quella di Mac OS X. Per i dettagli si vedano le note di rilascio .

VMware ha fatto sapere che la versione finale di Fusion 2.0, prevista per il prossimo autunno, potrà essere scaricata come aggiornamento gratuito da tutti gli attuali possessori della versione 1.x.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • riphukio scrive:
    mmhhh
    Allora:"Attraverso questo attacco, è possibile che Tizio firmi un contratto elettronico in formato ritenuto assolutamente sicuro (ad esempio unimmagine bitmap) di valore pari a 1.000 Euro, e che poi il documento firmato appaia al destinatario come un contratto di valore pari a 100.000 Euro, così come la stampa che del documento si potrà fare, semplicemente perché il nome del file firmato (di quello che tecnicamente prende il nome della busta crittografica) viene a posteriori modificato.E' possibile scaricare qui un file di esempio dell'attacco, chiamato "contratto.bmp", il cui contenuto cambia in funzione dell'estensione (provare salvando il file in locale e rinominandolo in "contratto.htm")."Se questo è lo stralcio dell'articolo, allora vista la vaghezza (dello stralcio) mi permetto di essere altrettanto vago.Ammettiamo ci sia una busta crittografica che contiene il documento firmato. Diciamo un p7m. Perfetto, sempre se intuisco la vostra ricerca, il programma di verifica e salvataggio del file firmato, deduce dal nome del file miofile.ext.p7m, l'estensione (ext) e salva il file firmato, dopo la verifica con il nome miofile.ext. Quindi modifico il nome del file da miofile.ext.p7m in miofile.ext1.p7m, apro il file miofile.ext1 che se è polimorfo visualizza una cosa diversa da quello che ha visto chi lo ha firmato. Visualizza infatti il formato ext1 invece che ext.Corretto?Per essere ancora più chiari:Firmo un bel file BMP polimorfo (non mi accorgo di firmare un file polimorfo), poi lo mando a Bill, ma a Bill non ariva miofile.bmp.p7m, ma miofile.html.p7m. A questo punto Bill apre il file e, sorpresa, legge il valore cambiato perché di fatto apre la parte HTML.Giusto?Allora il problema qui non è della firma digitale. La firma digitale esegue un hash di TUTTO il file e lo cifra con la chiave privata del firmatario a cui è associato un certificato pubblico.Il problema qui è di come viene visualizzato un firmato binario complesso e dal firmatario, e dal verificatore della firma.Quindi la domanda è la seguente:Io che firmo, mi fido del viewer di Windows per i BMP?Spero proprio di no e che si utilizzi un viewer "certificato". Tipicamente le CA danno dei loro kit per la firma di file che potrebbero fare delle verifiche sul formato firmato (il fatto che non lo facciano non depone a suo favore).E anche chi visualizza il file si fida del suo visualizzatore sul suo PC?Siamo d'accordo che il problema è di come il file firmato venga "visualizzato" all'utente e non nell'algoritmo di firma?Mi pare che questo sia incontrovertibile.Certo potremmo obbligare il formato p7m a memorizzare anche i metadati di formato associati al file. Ma chi verifica che il metadato associato sia effettivamente valido?Il visualizzatore all'atto della verifica della firma, verificherebbe non solo che la firma sia valida ma anche che il formato del file è effettivamente quello dichiarato.Quindi a questo punto non basterebbe utilizzare dei visualizzatori accreditati che verifichino i formati non solo dalle estensioni?Se fosse possibile sarebbe meglio mettere a disposizione della collettività un TR che esplichi un pò meglio l'originalità della vostra ricerca.Oppure dobbiamo comprarci gli atti del congresso non appena l'articolo sarà pubblicato?Potreste sprecare meno tempo a polemizzare con Cammarata e Giustozzi (che non sono proprio gli utlimi infatto di firma digitale) e fare un sito che esplica più in dettaglio la vostra "scoperta".Saluti
    • re_mmhhh scrive:
      Re: mmhhh

      Mi perdoni ma, non avendo letto ancora il suo
      articolo, mi sembra che attualmente il merito sia
      stato quello di risollevare il problema.

      adesso c'e' qualcosa in piu' sul sito

      www.unirc.it/firma

      Mi scusi ma non riesco a trovarla...sarebbe così
      gentile da darci qualche riferimento più
      preciso?Se l'inglese non è un problema puoi trovare qualche dettaglio in più sull'attacco andando nella versione inglese del sito ( http://www.unirc.it/firma/en/attack_en.html )
      • hukio scrive:
        Re: mmhhh
        Ahhhh...finalmente :-)Thanks a lotSono due giorni che chiedo al Prof qualche info più precisa....grazie mille :-)
  • hukio scrive:
    No...fatemi capire
    1) Dov'è l'articolo in inglese pubblicato?2) L'articolo si baserebbe sul fatto che il visualizzatore utilizzato prima di apporre la firma è diverso dal visualizzatore utilizzato per la verifica DOPO la firma?E quindi se costruisco un file polimorfo che cambia la sua visualizzazione a seconda di quale programma viene utilizzato allora questa sarebbe una vulnerabilità della firma digitale?Sarebbe questa la scoperta?Se così fosse, questa sarebbe unicamente la scoperta dell'acqua calda. Il formato binario firmato digitalmente viene sempre interpretato per essere visualizzato in una forma intellegibile da un umano. Anche il visualizzatore quindi deve avere delle caratteristiche di sicurezza che almeno garantiscano l'eguale interpretazione del formato prima e dopo la firma. E i due peer devono essere concordi su questo.Tutto questo se la mia considerazione al p.to 2 è corretta...
    • Francesco Buccafurri scrive:
      Re: No...fatemi capire
      no, credo che non abbia compreso bene le cose.Provi a leggere quanto pubblicato sul sitowww.unirc.it/firma (c'e' anche uno stralcio dell'articolo).Vedrà che il visualizzatore non c'entra nulla,è stato erroneamente considerato nell'articolo di Zanga,ma non ha ruolo. Funziona alla perfezione. E anche il sistema operativo funziona alla perfezione. E' il file che è corrotto. Il problema è li. Si accerti prima di cooscere gli elementi di base relativi al meccanismo della firma digitale.Buon lavoro.
    • Diego scrive:
      Re: No...fatemi capire
      - Scritto da: hukio
      1) Dov'è l'articolo in inglese pubblicato?Non c'e' un articolo in inglese, c'e' una ricerca pubblicata dall'Ing. Buccafurri, a cui si puo' accedere da questa pagina www.unirc.it/firma, come riportato dal link nell'articolo.La ricerca e' un lavoro frutto di Buccafurri ed altri due ingegneri. E' una ricerca scientifica, che e' stata tra l'altro segnalata al CNIPA, perche' evidenzia un problema sulla firma digitale: problema che il CNIPA non conosceva, ma che tramite un confronto con il FESA e' stato riconosciuto come noto, nello specifico un problema scoperto da Peter Rybar, un problema ahime non previsto dalla ns. regole tecniche sulla firma digitale(che ora verranno adeguate).Il problema in questione ha una valenza che e' stata riportata su qualche articolo come particolarmente grave perche' permette di falsificare la firma: le considerazioni su QUANTO e' pericoloso il problema, a parere CNIPA, esperti del settore, FESA etc, e' diverso :-)E' anche diversa la considerazione sul TIPO di problema: non un mezzo per falsificare la firma, ma un .
      2) L'articolo si baserebbe sul fatto che il
      visualizzatore utilizzato prima di apporre la
      firma è diverso dal visualizzatore utilizzato per
      la verifica DOPO la firma?Quando apri un documento, in base all'estensione viene associato un programma con cui visualizzarlo(se possibile):se prendi un file a caso e gli cambi estensione, vedi un file HTML, e ci metti BMP, il file non viene mostrato dal visualizzatore.Se pero' il documento viene opportunamente scritto, sfruttando delle lacune nel formato html e bmp, perhce' il documento possa avere DUE possibili visualizzazioni, questo UNICO file puo'essere visualizzato una volta come file BMP senza che vengano "segnalati errori" per il contenuto aggiuntivo, ed una volta come file HTML senza che ne vengano La truffa che cosi' puoi organizzare e' semplice: fai firmare un DOCUMENTO con ESTNSIONE BMP che mostra un testo. Dato che nel FILE c'e' anche un documento HTML, la firma viene apposta su TUTTO il testo ed e' VALIDA su TUTTO IL TESTO. Se cambi l'estensione, in automatico il documento viene visualizzato come file HTML e non piu' BMP.Ovviamente dato che stai organizzando una truffa, nel file BMP magari ci scrivi , e nell'altra versione, . In questo modo, un utente poco accorto, che verifichi la firma, sapra' che la firma e' VALIDA e che la casa e' stata comprata per 2 euro.Perche' e' un trucco poco pericoloso: perche' se ricambi l'estensione o verifichi il file, ti accorgi che il documento e' "taroccato", cioe' contiene due tipi di documenti che dicono due cose diverse.Quindi se fai una truffa di questo tipo, la prova della truffa rimane sempre li a portata di mano etc etc (la lista delle considerazioni e' mooolto lunga :OP
      E quindi se costruisco un file polimorfo che
      cambia la sua visualizzazione a seconda di quale
      programma viene utilizzato allora questa sarebbe
      una vulnerabilità della firma
      digitale?il contenuto e' FISSO non c'e' alcun CAMBIAMENTO, infatti e' per questo che per quanto la ricerca abbia un valore scientifico in termini pratici la truffa che ci puoi costruire sopra non ha un "gran valore"
      Sarebbe questa la scoperta?
      Se così fosse, questa sarebbe unicamente la
      scoperta dell'acqua calda. Il formato binario
      firmato digitalmente viene sempre interpretato
      per essere visualizzato in una forma
      intellegibile da un umano.beh, in un certo senso lo e': e' un "uovo" di colombo, ed e' interessante perche' da un lato FESA etc si sono "dimenticati" che simili problemi vanno documentati(cosi' da scoprirli una volta sola)Il tuo ragionamento in un certo senso e' ineccepibile :OP
      Anche il visualizzatore quindi deve avere delle
      caratteristiche di sicurezza che almeno
      garantiscano l'eguale interpretazione del formato
      prima e dopo la firma. E i due peer devono essere
      concordi su
      questo.il visualizzatore tipico di windows si basa sul in base all'estensione, quello tipico di *nix, in base ad un marker che identifica il tipo di file, posto all'inizio del file -
      il file ha un solo inizio, quindi un solo marker valido. Il termine esatto credo sia magic number http://it.wikipedia.org/wiki/Magic_numberIn questo caso quindi la mancanza di sicurezza la puoi considerare implicita, nell'approccio a come identificare il contenuto di un file
      • riphukio scrive:
        Re: No...fatemi capire
        Ti ringrazio per la spiegazione esaustiva. In effetti è quello a cui ero arrivato anche io. Mi permetto solo di dire che la validità scientifica di questo mi sembra un pò debole...generalizzando il problema è attribuibile al fatto che quando si "verifica" una firma digitale non si "legge" il formato binario, ma una sua rappresentazione attraverso uno strumento che può essere sovvertito e che può avere malfunzionamenti.L'ambivalenza del file crea problemi unicamente perché i visualizzatori non effettuano gli adeguati controlli..Per dirla brevemente. Questa ricerca mi sa di specchietto per le allodole per farsi pubblicità. Mi meraviglio di come l'abbiano accettata ad una conference IEEE..Grazie ancora per la spiegazione.Ciao
        • Diego scrive:
          Re: No...fatemi capire
          - Scritto da: riphukio
          Ti ringrazio per la spiegazione esaustiva. In
          effetti è quello a cui ero arrivato anche io. Mi
          permetto solo di dire che la validità scientifica
          di questo mi sembra un pò
          debole...generalizzando il problema èIl problema e' applicato ai formati di file attuali: nulla toglie al fatto che ogni giorno ne inventano di nuovi, quindi l'applicabilita' del trucco potrebbe aumentare, cosi' come la diffusione per della firma in campi diversi e potrebbe aumentarne la pericolosita'.E' anche vero che se il documento firmato fosse un piano regolatore(superando lo schema html/bmp), far passare la truffa sarebbe piu' semplice etc.
          Per dirla brevemente. Questa ricerca mi sa di
          specchietto per le allodole per farsi pubblicità.
          Mi meraviglio di come l'abbiano accettata ad una
          conference IEEE..E' una ricerca e dal punto di vista scientifico e' anche gia' stata valutata. Detto questo, il CNIPA correggera' il regolamento, ma la cosa viene considerata , non un mezzo per .
      • Francesco Buccafurri scrive:
        Re: No...fatemi capire
        -
        Non c'e' un articolo in inglese, c'e' una ricerca
        pubblicata dall'Ing. Buccafurri, a cui si puo'
        accedere da questa pagina www.unirc.it/firma,
        come riportato dal link
        nell'articolo.ora c'e' piu' materiale sul sito

        La ricerca e' un lavoro frutto di Buccafurri ed
        altri due ingegneri. E' una ricerca scientifica,
        che e' stata tra l'altro segnalata al CNIPA,
        perche' evidenzia un problema sulla firma
        digitale: problema che il CNIPA non conosceva, ma
        che tramite un confronto con il FESA e' stato
        riconosciuto come noto, nello specifico un
        problema scoperto da Peter Rybar, un problema
        ahime non previsto dalla ns. regole tecniche
        sulla firma digitale(che ora verranno
        adeguate).
        Non credo proprio che il problemasia stato scoperto da Peter Rybar,di cui conosco i lavori.Per verifiare quanto dico èsufficiente visitare il sitopolacco di IT security(e leggere i commenti in inglese):http://ipsec.pl/podpis-elektroniczny/2008/atak-na-podpis-elektroniczny-przez-zmiane-rozszerzenia.html
        Il problema in questione ha una valenza che e'
        stata riportata su qualche articolo come
        particolarmente grave perche' permette di
        falsificare la firma: le considerazioni su QUANTO
        e' pericoloso il problema, a parere CNIPA,
        esperti del settore, FESA etc, e' diverso
        :-)
        E' anche diversa la considerazione sul TIPO di
        problema: non un mezzo per falsificare la firma,
        ma un
        .
        la maggioranza degli attacchi nel campo dellasicurezza informatica sono "trucchi".Sicurezza significa anche non farsiraggirare dai trucchi.



        2) L'articolo si baserebbe sul fatto che il

        visualizzatore utilizzato prima di apporre la

        firma è diverso dal visualizzatore utilizzato
        per

        la verifica DOPO la firma?

        Quando apri un documento, in base all'estensione
        viene associato un programma con cui
        visualizzarlo(se
        possibile):

        se prendi un file a caso e gli cambi estensione,
        vedi un file HTML, e ci metti BMP, il file non
        viene mostrato dal
        visualizzatore.
        BMP è un esempio,l'attacco puo' essere fatto con molti altri formati,inlcluso PDF (senza Javascript!!).
        Se pero' il documento viene opportunamente
        scritto, sfruttando delle lacune nel formato html
        e bmp, perhce' il documento possa avere DUE
        possibili visualizzazioni, questo UNICO file
        puo'essere visualizzato una volta come file BMP
        senza che vengano "segnalati errori" per il
        contenuto aggiuntivo, ed una volta come file HTML
        senza che ne vengano


        La truffa che cosi' puoi organizzare e' semplice:
        fai firmare un DOCUMENTO con ESTNSIONE BMP che
        mostra un testo. Dato che nel FILE c'e' anche un
        documento HTML, la firma viene apposta su TUTTO
        il testo ed e' VALIDA su TUTTO IL TESTO. Se cambi
        l'estensione, in automatico il documento viene
        visualizzato come file HTML e non piu'
        BMP.
        Ovviamente dato che stai organizzando una truffa,
        nel file BMP magari ci scrivi 100.000 mila euro
        , e nell'altra versione,
        .


        In questo modo, un utente poco accorto, che
        verifichi la firma, sapra' che la firma e' VALIDA
        e che la casa e' stata comprata per 2
        euro.

        Perche' e' un trucco poco pericoloso: perche' se
        ricambi l'estensione o verifichi il file, ti
        accorgi che il documento e' "taroccato", cioe'
        contiene due tipi di documenti che dicono due
        cose
        diverse.
        Quindi se fai una truffa di questo tipo, la prova
        della truffa rimane sempre li a portata di mano
        etc etc (la lista delle considerazioni e' mooolto
        lunga
        :OPE' vero. Si tratta di una falsificazioneverificabile a posteriori.Anche se ci sono due obiezioni.1. nessuno puo' mai sapere quale delle due versionisia stata firmata realmente.Quindi il trucco puo' essere sfruttatoanche per precostituire un ripudio.2. se non sospetto la possibile esistenzadi questo attacco(e da qui la rilevanza della ricercae della sua divulgazione)non provo certo a cambiare l'estensionedi un file che mi arriva con la mia firmada parte di qualcuno che mi contesta un ordinedi acquisto a cui non è corrispostoil pagamento.Fino ad oggi tutto si sarebbepensato (uso del dispositivodi firma da parte di altri,presenza di macro-codice, et.)ma non certo cambiare l'estensionedel file....




        il contenuto e' FISSO non c'e' alcun CAMBIAMENTO,
        infatti e' per questo che per quanto la ricerca
        abbia un valore scientifico in termini pratici la
        truffa che ci puoi costruire sopra non ha un
        "gran
        valore"il valore scientifico della ricercaè applicativo, pratico.Non è certo una ricerca teorica.





        beh, in un certo senso lo e': e' un "uovo" di
        colombo, ed e' interessante perche' da un lato
        FESA etc si sono "dimenticati" che simili
        problemi vanno documentati(cosi' da scoprirli una
        volta
        sola)si, è un risultato semplice e chiaro.Ma questo non inficia la validità.




        il visualizzatore tipico di windows si basa sul
        in base all'estensione,
        quello tipico di *nix, in base ad un marker che
        identifica il tipo di file, posto all'inizio del
        file -
        il file ha un solo inizio, quindi un solo
        marker valido. Il termine esatto credo sia magic
        number
        http://it.wikipedia.org/wiki/Magic_number

        In questo caso quindi la mancanza di sicurezza la
        puoi considerare implicita, nell'approccio a come
        identificare il contenuto di un file number.non potremo cambiare il mondoperche' sbagliamo a fare funzionare la firma digitale.Windows, Unix-like con KDE, Mac, funzionano cosi'.Forse è meglio pensare di cambiareil modo con cui facciamo funzionare la firma(includiamo per esempio il nomee l'estensione nella busta e verifichiamoquindi anche la sua integrità).Spero di avere contribuito a chiarire i dubbi.
  • Francesco Buccafurri scrive:
    addendum
    Rispetto al punto 3:Si noti che l'attacco non solo funziona su Windows e linux/KDE, ma anche su free BSD/KDE e Mac OS X (testatosu versione 10.4.8).Per quanto riguarda i SO Unix-like, si può affermare ragionevolmente che l'attacco funziona se si usa il window manager KDE.
  • Francesco Buccafurri scrive:
    facciamo chiarezza
    Forse è opportuno fare un po' di chiarezza sulla questione.1. Parlare di attacco di firma, significa anche parlare di possibile falsificazione di documenti informatici con firma digitale. 2. L'attacco non è stato MAI documentato prima (nessuno ha fornito prove contrarie). L'autore dell'articolo sà perfettamente che il discorso della Slovenia è ben diverso.3. Non si tratta di un problema del viewer di Windows. L'attacco funziona anche su KDE/linux, per esempio.4. La pericolosià dell'attacco non è elevatissima. La firma digitale continua a essere uno strumento sicuro. Ma la conoscenza di questo nuovo attacco consentirà di irrobustirlo ulteriormente attraverso opportune contromisure.5. Dal punto di vista normativo, a mio avviso, sarebbero necessarie alcune revisioni che tengano conto dell'attacco.
    • Francesco Buccafurri scrive:
      Re: facciamo chiarezza
      per tutti coloro che sono interessati, comunico che sul sito www.unirc.it/firma sono presenti nuovi commenti relativi all'attacco alla firma digitale.
      • Diego scrive:
        Re: facciamo chiarezza
        Mancherebbe solo la risposta ufficiale del CNIPA:http://www.cnipa.gov.it/HTML/rs/Lettera%20FP_PANORAMA_firma%20digitale_25giu08.pdfPresa dalla sezione della sala stampa:http://www.cnipa.gov.it/site/it-IT/Altre_Rubriche/Sala_stampa/Comunicati/E le dichiarazioni di chi ha detto "lo sanno tutti i miei studenti che su *nux il problema non esiste" :OP
        • Francesco Buccafurri scrive:
          Re: facciamo chiarezza
          - Scritto da: Diego
          Mancherebbe solo la risposta ufficiale del CNIPA:
          http://www.cnipa.gov.it/HTML/rs/Lettera%20FP_PANOR

          Presa dalla sezione della sala stampa:
          http://www.cnipa.gov.it/site/it-IT/Altre_Rubriche/

          E le dichiarazioni di chi ha detto "lo sanno
          tutti i miei studenti che su *nux il problema non
          esiste"
          :OPno, è presente anche la lettera a Panorama del CNIPA.E' presente anche la mia risposta a Panorama.Comunque, la risposta ufficiale del CNIPA è quellache mi è stata data via mail quando ho presentatol'attacco:"Stiamo analizzando con estrema serietà quanto rappresentato","Vorremmo inoltrare loro il Vostro studioal FESA, ci autorizza?". "La nostra intenzione sarebbe quella di evidenziare - al FESA - che esiste il problema","La soluzione proposta è consigliata ai Certificatori ma indubbiamente va circostanziata normativamente."La lettera a Panorama aveva lo scopo di evitareeccessivi allarmismi, e per questo l'ho condivisa,come si vede dalla mia replica.Per quanto riguarda i sistemi Unix-like, quello che sanno tutti gli studenti è che di per sè tali sistemi riconoscono il tipo di file dal "magic number".Ma questo puo' non essere più vero quando mettiamosu un window manager, come KDE.Dovrebbe farsene una ragione che nel suo articoloha detto una serie di gravi imprecisioni tecniche,attribuendo al visualizzatore di Windows il problema,quando invece è un bug del protocollo di firma,che ha successo sulla quasi totallità dei SO.Strano che nelle comunicazioni personali lo ha ammesso,dicendo che aveva fatto analisi troppo affrettate e che aveva attribuito il nostro attacco ad un problemadel visualizzatore di Windows solo perchè se ne stavainteressando in quei giorni per un'altra faccenda.Molto strano.Dovrebbe farsene una ragione chela vulnerabilità è:1. mai prima documentata2. sufficientemente seria3. riferita alla firma digitale e non ai SO (me che meno a Windows).E' la realtà dei fatti, mi spiace per lei.Lei può scrivere tutti gli articoli che vuole,su punto, punto e virgola e anche duepunti informatici (mi voglio rovirare...,come diceva il grande Totò)!Buon lavoro!Però, con il dovuto rispetto, la prossima volta presti maggiore attenzione a quello che scrive.
    • Francesco Buccafurri scrive:
      Re: facciamo chiarezza
      In relazione al discorso dei formati e alla presunta "sicurezza" del formato TIFF, desideravo comunicare che abbiamo realizzato l'attacco anche sul formato TIFF, largamente utilizzato per i documenti acquisiti per scansione (come nel caso della conservazione sostitutiva).
  • Diego scrive:
    Re: Il nome del file???
    - Scritto da: EzRider
    Scusate ma trovo l'idea di inserire il nome (!!)
    del file per ovviare a questo inconveniente sia
    quantomeno discutibile![..]
    Quello che servirebbe è inserire il tipo di file
    nel contenuto firmato, a mio parere il modo più
    opportuno è l'inserimento del mime type del
    contenuto che è una "codifica" ormai consolidata
    (almeno per i principali "types") e
    standardizzata e già usata (es. alcuni
    imbustamenti) in ambito di firma
    digitale.ebbene si :O) e' discutible, tanto e' che servirebbe almeno anche la codifica del testo etc.ho riportato le idee dei primi due minuti, mentre rileggevo i documenti sloveni e parlavno con "operatori del settore": la soluzione ideale e' mettere il mime-type del documento firmato, come fatto in slovenia, ma non mi sono ricordato di correggere il documento (mea culpa)
    .....ciò non toglie che il software utilizzato
    per visualizzare il contenuto dovrebbe essere "di
    fiducia" (trusted), e sfido chiunque a
    scommettere che il proprio visualizzatore sia a
    prova di mischiamento (furbo) di
    contenuto.questo e' giusto, ma al momento questa parte ha "qualche problema" al di la dei problemi di attacco alla firma: io vari software sul sito del CNIPA li ho provati e non tutti mostrano il documento in firma, ma se non mostri il documento il problema puo' essere ben piu' grave a priori, con truffe ben piu' pericolose.
    Detto ciò, e concludo, se dovesse saltar fuori un
    documento firmato "bifronte" con due contenuti in
    funzione del visualizzatore che si utilizza, non
    sarà difficile farlo annullare/invalidare da un
    qualunque giudice, considerata il palese vizio
    nel documento firmato.yep, il motivo percui considerare il problema "come poco pericoloso" e' anche questo.
  • cogito delrium suum scrive:
    il problema c'e' e rimane
    testato e il trucchetto funziona.A questo punto perche si tende a sminuire il problema?Si risolve e basta.No perche' se la situazione rimanesse la medesima pregate che nessuna associazione di consumatori decida qualche bella campagna.
    • rotfl scrive:
      Re: il problema c'e' e rimane
      - Scritto da: cogito delrium suum
      testato e il trucchetto funziona.
      A questo punto perche si tende a sminuire il
      problema?
      Si risolve e basta.Non e' un problema di firma digitale. Posso comprendere che per un utonto Winaro sia difficile comprendere che il nome di un file non e' una proprieta' del file stesso, e che pertanto non si puo' dire che "il file e' cambiato" semplicemente perche' e' stato rinominato con un'estensione diversa, ma di fatto e' cosi'.
      • Blackstorm scrive:
        Re: il problema c'e' e rimane
        - Scritto da: rotfl
        - Scritto da: cogito delrium suum

        testato e il trucchetto funziona.

        A questo punto perche si tende a sminuire il

        problema?

        Si risolve e basta.

        Non e' un problema di firma digitale. Posso
        comprendere che per un utonto Winaro sia
        difficile comprendere che il nome di un file non
        e' una proprieta' del file stesso, e che pertanto
        non si puo' dire che "il file e' cambiato"
        semplicemente perche' e' stato rinominato con
        un'estensione diversa, ma di fatto e'
        cosi'.Ehi! Io uso win, ma ci arrivo che il problema non è nella firma digitale e che il nome di un file non è una sua proprietà... :P
        • rotfl scrive:
          Re: il problema c'e' e rimane
          - Scritto da: Blackstorm
          - Scritto da: rotfl

          - Scritto da: cogito delrium suum


          testato e il trucchetto funziona.


          A questo punto perche si tende a sminuire il


          problema?


          Si risolve e basta.



          Non e' un problema di firma digitale. Posso

          comprendere che per un utonto Winaro sia

          difficile comprendere che il nome di un file non

          e' una proprieta' del file stesso, e che
          pertanto

          non si puo' dire che "il file e' cambiato"

          semplicemente perche' e' stato rinominato con

          un'estensione diversa, ma di fatto e'

          cosi'.

          Ehi! Io uso win, ma ci arrivo che il problema non
          è nella firma digitale e che il nome di un file
          non è una sua proprietà...
          :PMa infatti non intendevo "tutti i Winari sono utonti", ovviamente non e' affatto cosi'. 8)Ma ci sono utonti Winari
    • anonimo scrive:
      Re: il problema c'e' e rimane
      il problema non lo si risolve e non lo si sminuisce perchè affrontandolo si potrebbe pensare che l'implementazione attuale della firma digitale (ed anche della PEC) ha il solo scopo di favorire azienduncole ben agganciate ed enti parassitari nello spillare soldi alle imprese ed ai professionisti, obbligandoli a costosi sistemi operativi proprietari, a soluzioni farraginose ed insicure (per esempio la piattaforma delle camere di commercio per l'aggiornamento delle firme che richiede internet explorer su windows settato su modalità insicura od il portale delle casse edili che usa certificati senza data di scadenza etc.) per adempimenti gestiti poi in modalità anacronistica ed esposta all'abuso (sempre in ambito camere di commercio il conservatore ha ancora la facoltà di scartare i bilanci secondo il suo capriccio ed è impossibile trovare una linea unica nei criteri su base regionale, figurarsi nazionale).Oltre al fatto che invece di diminuire i costi all'utente finale sono triplicati.Dov'è il vero problema? Andatevi a rivedere la legge (confusa e scritta male) e pensate che è molto facile far firmare digitalmente ai sindaci un bilancio (in attivo) che viene diversamente visualizzato da chi lo riceve (in perdita)... poi vi ci voglio a dimostrare il dolo...
      • Blackstorm scrive:
        Re: il problema c'e' e rimane
        - Scritto da: anonimo
        Dov'è il vero problema? Andatevi a rivedere la
        legge (confusa e scritta male) e pensate che è
        molto facile far firmare digitalmente ai sindaci
        un bilancio (in attivo) che viene diversamente
        visualizzato da chi lo riceve (in perdita)... poi
        vi ci voglio a dimostrare il
        dolo...Dimostrami come si può fare senza essere sbugiardati in meno di 5 minuti di analisi del file.
  • Erro scrive:
    L'uovo di colombo
    Uno degli indicatori che la ricerca in Italia è in forte declino è proprio la qualità degli articoli che i professori universitari pubblicano.La vulnerabilità descritta, come attacco alla firma digitale, è più una problematica di formato e non è assolutamente ascrivibile come una debolezza della firma in sè.La cosa incredibile è come una "semplice curiosità" abbia fatto tanto scalpore, visto anche la banalità dell'exploit.Possibilità di effettuare embedding di formati differenti e poterne preservare l'esecuzione corretta al cambio dell'estensione è una cosa nota almeno da 20 anni. In ambito windows ad esempio è bello segnalare il seguente paper che parla di come effettuare l'embedding di Portable executables all'interno di file GIF. Rif. http://www.codebreakers-journal.com/downloads/cbj/2006/CBM_1_2_2006_Mala_Everything_is_Byte.pdfAltro fatto discutibile, sta proprio nella scelta dell'HTML come formato di output. A questo punto era possibile pure fare un file HTML con del codice javascript che in base al browser visualizza un contenuto differente. Scusate, ma non esiste il reato di truffa?
    • anonimo scrive:
      Re: L'uovo di colombo
      - Scritto da: Erro
      Altro fatto discutibile, sta proprio nella scelta
      dell'HTML come formato di output. A questo punto
      era possibile pure fare un file HTML con del
      codice javascript che in base al browser
      visualizza un contenuto differente.la cosa grave è che le camere di commercio volevano i bilanci in formato xls (ma anche fosse stato odt non cambia nulla) immaginate quanto sia facile falsificare i risultati visualizzati.Ai soliti troll e fanboy dico già che non è un problema di open source contro microsoft ma il fatto che siano cretini e basta. L'idea che poi M$ possa esser stata favorita perché ha soldi da spendere è una mera illazione.
  • pippo pluto scrive:
    Sempre a sparare su Microsoft ma..
    se anche su linux si imposta di aprire i file htm per default con un Browser questo mostrerà cmq la parte html, anche in linux!!!non facciamone una questione di "fede". [...]
    • Fernando Lacippa scrive:
      Re: Sempre a sparare su Microsoft ma..
      ciao,forse non hai capito, Linux riconosce il tipo di file e non l'estensione...Forzarlo non puoi. NON si tratta di una cosa che può o non può fare.Microsoft ha deciso che i files vanno riconosciuti dall'estensione e Unix ha deciso che i files vanno riconosciuti dal tipo, dall'header e quant'altro contenuto nel file non nel suo nome.Per esempio: salva una bitmap scaricandola da internet e quella è una bitmap, puoi rinominarla come ti pare, ma sempre bitmap resta.Mettici a fianco un documento testo appena creato e rinominalo in .bmp, quello sempre documento di testo resta.E i sistemi *nix lo lanciano come è non come "sembra".Nessuno spara su Microsoft e sogna, semplicemente si dicono le cose come effettivamente stanno perchè così chi legge possa capire dove davvero sta il problema.Non sentirti piccato, la vita è bella lo stesso, anche senza Windows.Ciao ;-)
      • Blackstorm scrive:
        Re: Sempre a sparare su Microsoft ma..
        - Scritto da: Fernando Lacippa
        ciao,
        forse non hai capito, Linux riconosce il tipo di
        file e non
        l'estensione...Si, immagino che tu ci abbia provato. Prova ad aprire il file di prova con le due estensioni. Vedi un po' cosa succede. A me su Ubuntu ha fatto lo stesso scherzetto. E prima che tu ti metta a dire "ah, ma è perchè usi ff" io ti dico che ho provato anche con konqueror.
        Forzarlo non puoi. NON si tratta di una cosa che
        può o non può
        fare.Si, come no.
        Microsoft ha deciso che i files vanno
        riconosciuti dall'estensione e Unix ha deciso che
        i files vanno riconosciuti dal tipo, dall'header
        e quant'altro contenuto nel file non nel suo
        nome.Sicuuuuuuuuuuuro. Immagino che sia per questo che Ubuntu mi visualizza, cambiando estensione, due cifre diverse.

        Per esempio: salva una bitmap scaricandola da
        internet e quella è una bitmap, puoi rinominarla
        come ti pare, ma sempre bitmap
        resta.
        Mettici a fianco un documento testo appena creato
        e rinominalo in .bmp, quello sempre documento di
        testo
        resta.
        E i sistemi *nix lo lanciano come è non come
        "sembra".Scommettiamo?

        Nessuno spara su Microsoft e sogna, semplicemente
        si dicono le cose come effettivamente stanno
        perchè così chi legge possa capire dove davvero
        sta il
        problema.No, si dicono le cose senza sperimentare.

        Non sentirti piccato, la vita è bella lo stesso,
        anche senza
        Windows.
        E anche senza quelli che sparano vaccate senza avere le prove di ciò che dicono.
    • Blackstorm scrive:
      Re: Sempre a sparare su Microsoft ma..
      - Scritto da: pippo pluto
      se anche su linux si imposta di aprire i file htm
      per default con un Browser questo mostrerà cmq la
      parte html, anche in
      linux!!!

      non facciamone una questione di "fede". [...]Leva pure il se. Ho fatto la prova, il trucchetto funziona anche su Ubuntu (sulle altre non saprei).
      • pippo pluto scrive:
        Re: Sempre a sparare su Microsoft ma..
        Infatti io prima di scrivere l'ho provato su un fedora core 5ho me il se, perchè so di averlo impostato così...
        • Blackstorm scrive:
          Re: Sempre a sparare su Microsoft ma..
          - Scritto da: pippo pluto
          Infatti io prima di scrivere l'ho provato su un
          fedora core
          5

          ho me il se, perchè so di averlo impostato così...Io levo il se perchè ho usato le impostazioni di default di ubuntu. Fra l'altro interessante che firefox visualizza il file in maniera diversa a seconda dell'estensione, al contrario di quanto detto da PI.
    • Diego scrive:
      Re: Sempre a sparare su Microsoft ma..
      - Scritto da: pippo pluto
      se anche su linux si imposta di aprire i file htm
      per default con un Browser questo mostrerà cmq la
      parte html, anche in
      linux!!!

      non facciamone una questione di "fede". [...]non ne facciamo una questione di fede, a parere dell'autore della ricerca, il fatto non era citato perche' lo sanno tutti gli studenti al primo anno dei suoi corsi, quindi era inutile citarlo.Cioe' per l'autore era un fatto e
      • pippo pluto scrive:
        Re: Sempre a sparare su Microsoft ma..
        Io per questione di fede intendo "fede" in linux (cioè contro Microsoft) non sul tema della sicurezza della firma
        • ivo scrive:
          Re: Sempre a sparare su Microsoft ma..
          mi pare strano.. davvero linux non usa l'estensione del file, per "riconoscerlo" e determinare come aprire, ma come si diceva su, l'header del file.. io sono sotto una debian ed ho fatto una prova, ed è esattamente così.molto probabilmente sia la fedora (ma mi pare strano) che l'ubuntu (probabilissimo, data l'utenza a cui è indirizzata) utilizzano un qualche tipo di accorgimento, per facilitare l'utente, e quindi regolarsi tramite l'estensione del file. sono solo due approcci diversi. non è sbagliato qllo linux e non è neanche meglio. l'unica cosa che non ho mai retto di win, è nascondere le estensione di default (ma ora lo fanno anche parecchie distro linux).. io penso che i linari dovrebbero smetterla di dare in testa a win e di criticarlo sempre.. ognuno è libero di fare la sua scelta.. un utente win piangerà perchè ogni due gg gli tocca riavviare, uno linux perchè si scorda di giocare a qlcosa di decente sul suo sistema.. :=)
  • XXX scrive:
    La forma
    In questo caso da un punto di vista legale fa fede la forma.Il concetto è simile al far firmare a tizio un documento Stampato, ma che riporta alcune clausole scritte in modo leggerissimo e difficilmente visibile a matita.Gli elementi caratterizzanti del messaggio sono il fatto che il nome del file viene inserito all'interno della parte MIME del messaggio email che poi firmato digitalmente. Anche se il nome del documento non compare all'interno della firma, è possibile stabilire quale sia la sua caratteristica.In questo caso l'header del file "BM" è in linea con il nome del file e quindi si da rilevanza legale al formato BMP e non a quello HTML
  • X Cinquecent onove scrive:
    WYSIWYS
    What You See Is What You SignLa firma digitale avanzata (o qualificata) conforme alla normativa nazionale (Cnipa) e in linea con quella Europea sui Certificati Qualificati (QC) e Dispositivi Sicuri di Firma (Secure Signature Creation Device) è ovviamente sicura oltre ogni ragionevole obiezione (questo per sottolineare ancora una volta che il 100% NON è mai raggiunto, ma possiamo dire di essserci molto vicini)la vera sfida è garantire il principio che ciò che si firma sia effettivamente ciò che viene visualizzato.é un problema che già veniva affrontato (a livello di requisiti di certificazione) nel primo DPCM (ai tempi dell'AIPA) dell'8/2/1999 e che ha trovato già delle soluzioni sia tecniche, che organizzative che legali (ovvero le tre direttrici sulla cui base una PKI seria deve essere sempre sviluppata).l'attacco perpetuato dal professore non è nulla di nuovo e arriva sicuramente dopo quello attuato tramite l'uso di firma digitale su documenti contenenti script.Oggi gli strumenti di firma e autenticazione più avanzanti, prevalentemente basati su Token USB, permettono di:- avere tutta la baseline software necessaria a bordo della flash memory, eventualmente partizionata CD-Rom- restringere le operaizoni di firma a particolari mime-type eventualmente non standard e comunque prevalentemente di tipo testo- includere nella baseline software i visualizzatori stessi dei documenti da firmare.Hope this helps
  • a n o n i m o scrive:
    "ma senza alcuna validità pratica" ???
    "ma senza alcuna validità pratica" :...capisco che questi signori siano più preoccupati per la loro firma digitale che per altro, ma da qui a sentenziare che questo problema è "senza alcuna validità pratica" ce ne corre.consiglio a lorsignori, in special modo ai colleghi anti-pedofili e cacciatori di pedofili, di svegliarsi fuori e di guardarsi molto bene attorno.e di sbarazzarsi una volta per tutte di windows e dell'assurda gestione dei file "ad estensione", che nei sistemi moderni dell'estensione se ne fa anche a meno.(apple)(linux)
    • Blackstorm scrive:
      Re: "ma senza alcuna validità pratica" ???
      - Scritto da: a n o n i m o
      e di sbarazzarsi una volta per tutte di windows e
      dell'assurda gestione dei file "ad estensione",
      che nei sistemi moderni dell'estensione se ne fa
      anche a
      meno.

      (apple)(linux)Oh, eccolo un altro genio. Immagino che tu abbia fatto la prova, su linux.
      • a n o n i m o scrive:
        Re: "ma senza alcuna validità pratica" ???
        - Scritto da: Blackstorm
        - Scritto da: a n o n i m o



        e di sbarazzarsi una volta per tutte di windows
        e

        dell'assurda gestione dei file "ad estensione",

        che nei sistemi moderni dell'estensione se ne fa

        anche a

        meno.



        (apple)(linux)

        Oh, eccolo un altro genio. Immagino che tu abbia
        fatto la prova, su
        linux.scrivo da linux.tho piglia, fatti una CULtura:http://en.wikipedia.org/wiki/File_format#Magic_number
        • Blackstorm scrive:
          Re: "ma senza alcuna validità pratica" ???
          - Scritto da: a n o n i m o
          - Scritto da: Blackstorm

          - Scritto da: a n o n i m o






          e di sbarazzarsi una volta per tutte di
          windows

          e


          dell'assurda gestione dei file "ad
          estensione",


          che nei sistemi moderni dell'estensione se ne
          fa


          anche a


          meno.





          (apple)(linux)



          Oh, eccolo un altro genio. Immagino che tu abbia

          fatto la prova, su

          linux.

          scrivo da linux.
          tho piglia, fatti una CULtura:
          http://en.wikipedia.org/wiki/File_format#Magic_numSi, è tutto molto bello. Ora spiegami queste immagini:http://gattoimburrato.wordpress.com/2008/06/26/sara-ancora-colpa-di-turing/
          • a n o n i m o scrive:
            Re: "ma senza alcuna validità pratica" ???
            - Scritto da: Blackstorm
            - Scritto da: a n o n i m o

            - Scritto da: Blackstorm


            - Scritto da: a n o n i m o









            e di sbarazzarsi una volta per tutte di

            windows


            e



            dell'assurda gestione dei file "ad

            estensione",



            che nei sistemi moderni dell'estensione se
            ne

            fa



            anche a



            meno.







            (apple)(linux)





            Oh, eccolo un altro genio. Immagino che tu
            abbia


            fatto la prova, su


            linux.



            scrivo da linux.

            tho piglia, fatti una CULtura:


            http://en.wikipedia.org/wiki/File_format#Magic_num

            Si, è tutto molto bello. Ora spiegami queste
            immagini:
            http://gattoimburr[SPAM]/26/sarspam.
          • Blackstorm scrive:
            Re: "ma senza alcuna validità pratica" ???
            - Scritto da: a n o n i m o

            Si, è tutto molto bello. Ora spiegami queste

            immagini:

            http://gattoimburr[SPAM]/26/sar

            spam.Sarà, manon ho certo intenzione di mettermi a fare la galleria solo perchè sei bello. Il post è lì. Se tu e i tuoi magivc numbers nono siete capaci di spiegarmi perchè il trucchetto funziona anche su linux, taci.
    • Diego scrive:
      Re: "ma senza alcuna validità pratica" ???
      - Scritto da: a n o n i m o
      "ma senza alcuna validità pratica" :

      ...capisco che questi signori siano più
      preoccupati per la loro firma digitale che per
      altro, ma da qui a sentenziare che questo
      problema è "senza alcuna validità pratica"
      ce ne
      corre.mah, buttandola li senza ragionarci troppo, ci sono vari elementi per dire che manca di tutte le firma apposte ad oggi, il 99.99% serve per consegnare documenti, e questo giochino non serve a niente. Non serve in tribunale, e non serve con la finanza: probabilmente serve solo per i contratti.ora sai dirmi quanti contratti si fanno con firma digitale? uno dei motivi percui TU non firmi contratti con firma digitale e' che NON ti offrono l'opportunita' di farlo, e sembra quasi che gli unici che te la daranno saranno due truffatori che prima hanno fatto un file ADHOC per truffarti e che tu a mezzo avvocato dimostrerai essere PALESEMENTE il frutto di una truffa PIANIFICATA.il problema puo' probabilmente essere in questi terminiQuesto non significa che non esista un problema, ma solo che ad oggi ha una scarsa applicabilita', e COMUNQUE il lavoro di ricerca E' INTERESSANTE, e COMUNQUE la "falla" sara' chiusa.
      • a n o n i m o scrive:
        Re: "ma senza alcuna validità pratica" ???
        - Scritto da: Diego
        - Scritto da: a n o n i m o

        "ma senza alcuna validità pratica" :



        ...capisco che questi signori siano più

        preoccupati per la loro firma digitale che per

        altro, ma da qui a sentenziare che questo

        problema è "senza alcuna validità
        pratica"

        ce ne

        corre.

        mah, buttandola li senza ragionarci troppo, ci
        sono vari elementi per dire che manca


        di tutte le firma apposte ad oggi, il 99.99%
        serve per consegnare documenti, e questo giochino
        non serve a niente. Non serve in tribunale, e non
        serve con la finanza: probabilmente serve solo
        per i
        contratti.

        ora sai dirmi quanti contratti si fanno con firma
        digitale?

        uno dei motivi percui TU non firmi contratti con
        firma digitale e' che NON ti offrono
        l'opportunita' di farlo, e sembra quasi che gli
        unici che te la daranno saranno due truffatori
        che prima hanno fatto un file ADHOC per truffarti
        e che tu a mezzo avvocato dimostrerai essere
        PALESEMENTE il frutto di una truffa
        PIANIFICATA.

        il problema puo' probabilmente essere
        in questi
        termini

        Questo non significa che non esista un problema,
        ma solo che ad oggi ha una scarsa applicabilita',
        e COMUNQUE il lavoro di ricerca E' INTERESSANTE,
        e COMUNQUE la "falla" sara'
        chiusa.haem, io avevo postato un'immagine a caso per mostrare quello che intendevo, ma come al solito È STATA MODERATA AGGRATIS al solito insomma, t1000 ubriaco in console :-o
  • Leo scrive:
    bleah
    Ho letto ieri la notizia giuro su Dio che lo volevo smerdare.....ca**atine arcaiche, quando basta solo l'utility "file" di linux per capire con cosa si ha a che fare...Cercano solo 10 secondi di gloria sti qua
  • Andonio scrive:
    Firma dogitale e NOTAI
    Il presidente della casta dei notai italiani aveva subito cavalcato la tigre della firma digitale "falsificabile" (da Istruzioni per l'uso di Emanuela Falcetti di un paio di giorni or sono): se si affermasse la firma digitale e questa fosse sicura, allora i notai dovrebbero cambiare mestiere. Gia' adesso e' un mestiere medioevale, poi diventera' un mestiere dell'eta' della pietra, con firme svolazzanti su documenti di pergamena e penna di piuma di gallina.(Documenti redatti coi numeri del catasto copiati a biro dalla segretaria e parcella "esentasse" di migliaia di Euri).Quando si va dal notaio per fare un atto di compravendita il Notaio si alza in piedi e dice: "Oggi... sono comparsi davanti a noi, notaio dei distretti riuniti di Torino e Pinerolo i Sigg. Rossi Mario e Bianchi Franceso DELLA CUI IDENTITA' IO SONO CERTO: (e' la prima volta che li vedo e magari sono mafiosi con documenti falsi.....)E poi dicono dellal firma digitale.....Ci sono sotto dei soldi, altro che software!!!
    • z f k scrive:
      Re: Firma dogitale e NOTAI
      - Scritto da: Andonio
      questa fosse sicura, allora i notai dovrebbero
      cambiare mestiere. Gia' adesso e' un mestiere
      medioevale, poi diventera' un mestiere dell'eta'
      della pietra, con firme svolazzanti su documentiAmen.Ma e' una casta talmente potente che penso sara' difficile scalzarli.Piu' facile che divengano i soli depositari della firma elettronica per i campi in cui gia' sono insediati, con apposito decretino ad-hoc.drop table 'notai';CYA
  • spectator scrive:
    eh no il bug c'e' avogliati a negare
    eh ue quelli sono fogli con firma digitale e se fa cosi ti saluto firmafacciamo un esempio un tizio (il solito) e sotto controllo fiscale dice di risiedere in burgundia e di pagare le tasse la' ma risiede in italia.Allora qualcuno in italia richiede un documento con firma digitale della locale autorita' burgundese, il tizio che ha un amico nell'ufficio e lavora ai pc della burgundia modifica il documento e lo invia (all'insaputa del retto dipendente statale burgundese) e da tizio non risiede qua a tizio risiede qua in via antani 44 burgundia e paga le tasse.il tizio non si accorge di niente e in italia arriva un documento totalmente stravolto.Quelli chiudono il caso e il tizio se la cava.No no il problema c'e' eccome.Non lo so che cosa pensate ma certo se e' possibile modificare un documento a firma digitale senza che tale firma non venga modificata A dir Grave non e' poco.Ma quale minimizziamo qui il problema e' serio.Certo e': che con tutti i soldi che GLI ITALIANI Hanno speso fare le modifiche allegre cosi insomma...e' bruttarella la cosa soprattutto se si tratta di dobloni del contribuente (che non sta in burgundia)
    • rotfl scrive:
      Re: eh no il bug c'e' avogliati a negare
      - Scritto da: spectator

      No no il problema c'e' eccome.
      Non lo so che cosa pensate ma certo se e'
      possibile modificare un documento a firma
      digitale senza che tale firma non venga
      modificata A dir Grave non e'
      pocoMa l'hai letto l'articolo? Se si' evidentemente non hai capito assolutamente niente. E' solo un bug del programma di visualizzazione, NON e' fattibile tramite quel bug creare due documenti diversi con la stessa firma digitale, i documenti sono IDENTICI.
      • spectator scrive:
        Re: eh no il bug c'e' avogliati a negare
        - Scritto da: rotfl
        - Scritto da: spectator



        No no il problema c'e' eccome.

        Non lo so che cosa pensate ma certo se e'

        possibile modificare un documento a firma

        digitale senza che tale firma non venga

        modificata A dir Grave non e'

        poco

        Ma l'hai letto l'articolo? Se si' evidentemente
        non hai capito assolutamente niente. E' solo un
        bug del programma di visualizzazione, NON e'
        fattibile tramite quel bug creare due documenti
        diversi con la stessa firma digitale, i documenti
        sono
        IDENTICI.ed evidentemente tu non hai capito ancora il problema descrittoio ti rispondo che il problema non e' sulla creazione di due documenti diversi con la stessa firma digitalema la manomissione dello stesso documento.che sono due cose ben diverse.
        • rotfl scrive:
          Re: eh no il bug c'e' avogliati a negare
          - Scritto da: spectator
          ed evidentemente tu non hai capito ancora il
          problema
          descritto
          io ti rispondo che il problema non e' sulla
          creazione di due documenti diversi con la stessa
          firma
          digitale
          ma la manomissione dello stesso documento.
          che sono due cose ben diverseComplimenti, non hai capito NIENTE. Rileggiti l'articolo.PS: con "creazione di due documenti diversi" si include anche "manomissione di un documento preesistente". "Creazione di due documenti diversi" non stabilisce a priori che siano stati creati dalla stessa persona.
          • spectator scrive:
            Re: eh no il bug c'e' avogliati a negare
            - Scritto da: rotfl
            - Scritto da: spectator

            ed evidentemente tu non hai capito ancora il

            problema

            descritto

            io ti rispondo che il problema non e' sulla

            creazione di due documenti diversi con la stessa

            firma

            digitale

            ma la manomissione dello stesso documento.

            che sono due cose ben diverse

            Complimenti, non hai capito NIENTE. Rileggiti
            l'articolo.

            PS: con "creazione di due documenti diversi" si
            include anche "manomissione di un documento
            preesistente". "Creazione di due documenti
            diversi" non stabilisce a priori che siano stati
            creati dalla stessa
            persona.aridanghete il problema c'e' o no?si
    • ... scrive:
      Re: eh no il bug c'e' avogliati a negare
      ma che stai a di?
    • Vittorio Ballestra scrive:
      Re: eh no il bug c'e' avogliati a negare
      Come più volte ripetuto: Non è possibile (in realtà è altamente improbabile) modificare un documento firmato conservando la validità della firma.Rimane il problema di assegnare una semantica precisa a ciò che viene firmato. Questo problema dovrà essere risolto prima o poi.Il valore di quanto segnalato dal prof. è evidenziare questo problema, del resto noto da sempre.Per le strutture fondamentali della firma ciò è già stato risolto adottando una sintassi standard (ASN1), ma per il contenuto della firma non ancora.Per ora ci si è sempre basati sul buon senso, ma il trucchetto del cambiare il nome al file rende evidente che prima o poi occorrerà risolvere anche questo problema.
      • spectator scrive:
        Re: eh no il bug c'e' avogliati a negare
        - Scritto da: Vittorio Ballestra
        Come più volte ripetuto: Non è possibile (in
        realtà è altamente improbabile) modificare un
        documento firmato conservando la validità della
        firma.per me impossibile e altamente improbabile hanno due significati completamente diversie' impossibile non e' dire altamente improbabileil primo dice che non accade il secondo dice che potrebbe non accadere
        Rimane il problema di assegnare una semantica
        precisa a ciò che viene firmato. Questo problema
        dovrà essere risolto prima o
        poi.gia' e quando?
        Il valore di quanto segnalato dal prof. è
        evidenziare questo problema, del resto noto da
        sempre.ah e' noto da sempre...ora mi sento piu' sicuro O_0
        Per le strutture fondamentali della firma ciò è
        già stato risolto adottando una sintassi standard
        (ASN1), ma per il contenuto della firma non
        ancora.e cosa si aspetta?
        Per ora ci si è sempre basati sul buon senso, ma
        il trucchetto del cambiare il nome al file rende
        evidente che prima o poi occorrerà risolvere
        anche questo
        problema.quando? Certo e che se si minimizza...
        • rotfl scrive:
          Re: eh no il bug c'e' avogliati a negare
          - Scritto da: spectator
          - Scritto da: Vittorio Ballestra

          Come più volte ripetuto: Non è possibile (in

          realtà è altamente improbabile) modificare un

          documento firmato conservando la validità della

          firma.

          per me impossibile e altamente improbabile hanno
          due significati completamente
          diversi
          e' impossibile non e' dire altamente improbabile
          il primo dice che non accade il secondo dice che
          potrebbe non accadereForse non ti e' chiaro che e' POSSIBILE decrittare un documento crittato con QUALSIASI algoritmo comunemente usato in crittografia, compresi quelli per i documenti militari e/o governativi marcati Top Secret. L'unico algoritmo completamente inviolabile e' l'OTP, che e' assolutamente improponibile da usare per il 99.99% delle applicazioni pratiche.Ma per violare un algoritmo di crittografia "forte" ci vogliono risorse e tempi cosi' enormi che e' semplicemente ridicolo pensare che NELLA PRATICA sia fattibile. Hai una minima idea per esempio di quante combinazioni dovresti tentare per fare il brute force di una chiave simmetrica da 256 bit?
          • Blackstorm scrive:
            Re: eh no il bug c'e' avogliati a negare
            - Scritto da: rotfl

            Forse non ti e' chiaro che e' POSSIBILE
            decrittare un documento crittato con QUALSIASI
            algoritmo comunemente usato in crittografia,
            compresi quelli per i documenti militari e/o
            governativi marcati Top Secret. L'unico algoritmo
            completamente inviolabile e' l'OTP, che e'
            assolutamente improponibile da usare per il
            99.99% delle applicazioni
            pratiche.Aggiungi un paio di 9 dopo la virgola :)... Che io sappia l'unica applicazione pratica per il quale viene usato l'otp è la linea rossa fra america e russia...
    • Diego scrive:
      Re: eh no il bug c'e' avogliati a negare
      - Scritto da: spectator
      eh ue quelli sono fogli con firma digitale e se
      fa cosi ti saluto
      firma

      facciamo un esempio un tizio (il solito) e sotto
      controllo fiscale dice di risiedere in burgundia
      e di pagare le tasse la' ma risiede in
      italia.[..]
      il tizio non si accorge di niente e in italia
      arriva un documento totalmente
      stravolto.
      Quelli chiudono il caso e il tizio se la cava.

      No no il problema c'e' eccome.C'e' un problema certo, ma il tuo caso pare che in termini reali non si
      • spectator scrive:
        Re: eh no il bug c'e' avogliati a negare
        - Scritto da: Diego
        - Scritto da: spectator

        eh ue quelli sono fogli con firma digitale e se

        fa cosi ti saluto

        firma



        facciamo un esempio un tizio (il solito) e
        sotto

        controllo fiscale dice di risiedere in burgundia

        e di pagare le tasse la' ma risiede in

        italia.
        [..]

        il tizio non si accorge di niente e in italia

        arriva un documento totalmente

        stravolto.

        Quelli chiudono il caso e il tizio se la cava.



        No no il problema c'e' eccome.

        C'e' un problema certo, ma il tuo caso pare che
        in termini reali non si per PARECCHIO tempo, ma veramente
        PARECCHIO

        Inoltre il CNIPA, come riportato, ha gia' detto
        che correggera' il
        problema.


        Infine il problema riguarda un fatto non da poco:
        un conto e' FALSIFICARE una firma digitale, un
        conto e' organizzare una truffa che oggi
        difficilmente manco vedra' la
        luce.lo spero per il consorsio PEC perche' senno' sono cavoli
    • Burp scrive:
      Re: eh no il bug c'e' avogliati a negare
      Usi una lingua incomprensibile. Dovrei concentrarmi e immaginare il tuo intento ad ogni frase.Debilitante.
  • rotfl scrive:
    Eh?
    Se uno e' cosi' stupido e ignorante da credere che "aprendo un file" con il programma predefinito si stia visualizzando tutto il contenuto effettivo del file non c'e' ASSOLUTAMENTE NULLA che possa salvarlo da fregature. Altro che firma digitale...
    • rockroll scrive:
      Re: Eh?
      - Scritto da: rotfl
      Se uno e' cosi' stupido e ignorante da credere
      che "aprendo un file" con il programma
      predefinito si stia visualizzando tutto il
      contenuto effettivo del file non c'e'
      ASSOLUTAMENTE NULLA che possa salvarlo da
      fregature. Altro che firma
      digitale...Invece di sparare rabbiosi titoli gratuiti, potevi esprimerti più civilmente, o no?Del resto, se uno è così ingenuo da credere che il software closed faccia solo quello che viene dichiarato.... lui credek ha il
      • rotfl scrive:
        Re: Eh?
        Ah perche "Eh?" e' un titolo rabbioso? Mah...
      • Blackstorm scrive:
        Re: Eh?
        - Scritto da: rockroll

        Del resto, se uno è così ingenuo da
        credere che il software closed faccia solo quello
        che viene dichiarato....
        Eh, perchè il software open si che si comporta in maniera diversa, vero? Ma almeno hai fatto la prova?
        • chissa scrive:
          Re: Eh?
          - Scritto da: Blackstorm
          - Scritto da: rockroll




          Del resto, se uno è così ingenuo
          da

          credere che il software closed faccia solo
          quello

          che viene dichiarato....



          Eh, perchè il software open si che si comporta in
          maniera diversa, vero? Ma almeno hai fatto la
          prova?ma tu pensi davvero che il tizio in questione non sappia il problema qual'e' o stia cercando solo di minimizzare il problema?io penso la seconda.
          • Blackstorm scrive:
            Re: Eh?
            - Scritto da: chissa
            - Scritto da: Blackstorm

            - Scritto da: rockroll







            Del resto, se uno è così ingenuo

            da


            credere che il software closed faccia solo

            quello


            che viene dichiarato....






            Eh, perchè il software open si che si comporta
            in

            maniera diversa, vero? Ma almeno hai fatto la

            prova?

            ma tu pensi davvero che il tizio in questione non
            sappia il problema qual'e' o stia cercando solo
            di minimizzare il
            problema?
            io penso la seconda.A parte che la mia obiezione era che il problema si ha anche col software open, ma in ogni caso, onestamente, quale sarebbe l'efficacia legale di un documento così artefatto? Ti basta dimostrare che quel documento è stato creato appositamente così, e non è difficile, visto che se l'hai firmato digitalmente, quello deve essere. Una volta analizzato e verificato che cambiando estensione cambia la visualizzazione, quel documento non vale nemmeno la carta su cui stamparlo.
  • Nome e cognome scrive:
    tenere una copia del nome del file
    ma quando si certifica un file, non lo si può rinominare prima di certificarlo?
    • rotfl scrive:
      Re: tenere una copia del nome del file
      - Scritto da: Nome e cognome
      ma quando si certifica un file, non lo si può
      rinominare prima di
      certificarlo?Il nome del file non e' una proprieta' del file stesso.
      • ABC scrive:
        Re: tenere una copia del nome del file


        Il nome del file non e' una proprieta' del file
        stesso.appunto! è scritto nella tabella del filesystem... per questo mi sembra una cosa...strana, o per lo meno che non capisco!
        • rotfl scrive:
          Re: tenere una copia del nome del file
          - Scritto da: ABC



          Il nome del file non e' una proprieta' del file

          stesso.

          appunto! è scritto nella tabella del
          filesystem... per questo mi sembra una
          cosa...strana, o per lo meno che non
          capisco!Il "bug" sta nel fatto che se al programma M$ passavi lo stesso file con estensione diversa, il programma lo interpretava in modo diverso. Evidentemente il programma prima di decidere cosa fare dei contenuti guardava qual'era l'estensione del nome del file che puntava a quei contenuti, un po' come fa explorer.exe quando clicchi su un file qualsiasi.Quindi (a quanto si capisce dalla notizia) lo stesso file con gli stessi contenuti appariva con firme identiche, ma sembrava diverso perche' rinominandolo con un'altra estensione il programma M$ visualizzava il layout in modo diverso.E' un bug si', ma il punto e' che e' semplicemente demenziale credere che aprire un file con un programma (che non sia un semplice editor binario) significhi avere una visione corretta ed effettiva dei contenuti del file.
          • spectator scrive:
            Re: tenere una copia del nome del file
            - Scritto da: rotfl
            - Scritto da: ABC





            Il nome del file non e' una proprieta' del
            file


            stesso.



            appunto! è scritto nella tabella del

            filesystem... per questo mi sembra una

            cosa...strana, o per lo meno che non

            capisco!

            Il "bug" sta nel fatto che se al programma M$
            passavi lo stesso file con estensione diversa, il
            programma lo interpretava in modo diverso.
            Evidentemente il programma prima di decidere cosa
            fare dei contenuti guardava qual'era l'estensione
            del nome del file che puntava a quei contenuti,
            un po' come fa explorer.exe quando clicchi su un
            file
            qualsiasi.

            Quindi (a quanto si capisce dalla notizia) lo
            stesso file con gli stessi contenuti appariva con
            firme identiche, ma sembrava diverso perche'
            rinominandolo con un'altra estensione il
            programma M$ visualizzava il layout in modo
            diverso.

            E' un bug si', ma il punto e' che e'
            semplicemente demenziale credere che aprire un
            file con un programma (che non sia un semplice
            editor binario) significhi avere una visione
            corretta ed effettiva dei contenuti del
            file.se lo dici tu.l'esempio fatto dal professore a me pare piuttosto chiaro.visione corretta o menose io di dico mi devi 100 euro e ci scrivo mi devi 10000 euro beh la differenza c'e'...senno' da mandami un saluto, in mandami 10000 euro tanto per te e' uguale no?ma ho come il sospetto che per te non sia la stessa cosa.e se ti arriva su posta certificata da qualche ufficiopoi c'e' poco da ridere
          • rotfl scrive:
            Re: tenere una copia del nome del file
            - Scritto da: spectator

            se lo dici tu.
            l'esempio fatto dal professore a me pare
            piuttosto
            chiaro.
            visione corretta o meno
            se io di dico mi devi 100 euro e ci scrivo mi
            devi 10000 euro beh la differenza
            c'e'...
            senno' da mandami un saluto, in mandami 10000
            euro tanto per te e' uguale
            no?
            ma ho come il sospetto che per te non sia la
            stessa
            cosa.
            e se ti arriva su posta certificata da qualche
            ufficio
            poi c'e' poco da ridereInfatti ho detto che e' un bug del programma. ESCLUSIVAMENTE di un bug del programma di visualizzazione.
          • stocriil scrive:
            Re: tenere una copia del nome del file
            - Scritto da: spectator
            se io di dico mi devi 100 euro e ci scrivo mi
            devi 10000 euro beh la differenza
            c'e'...
            senno' da mandami un saluto, in mandami 10000
            euro tanto per te e' uguale
            no?se io ti mando un documento chiamato 'mi devi 10000 euro.html' e dentro c'è scritto 'mi devi 100 euro perchè blablabla... ', tu quanto mi dai?poi il discorso è che windows associa l'apertura di un file con un certo programma in base alla sua estensione (.html, .bmp) invece che al contenuto stesso, e questo è male perchè la firma digitale si applica al contenuto del file (ai bit) e non ai attributi del file.
          • Blackstorm scrive:
            Re: tenere una copia del nome del file
            - Scritto da: stocriil
            poi il discorso è che windows associa l'apertura
            di un file con un certo programma in base alla
            sua estensione (.html, .bmp) invece che al
            contenuto stesso, e questo è male perchè la firma
            digitale si applica al contenuto del file (ai
            bit) e non ai attributi del
            file.Peccato che il trucchetto funzioni anche sotto Ubuntu, visualizzanto il file rinominato come html sia con ff che con konqueror, dove visualizza la cifra di 100.000 euro. Mentre se vinen rinominato come bmp, il doppio clic visualizza la versione 1000 euro.
          • spectator scrive:
            Re: tenere una copia del nome del file
            - Scritto da: stocriil
            - Scritto da: spectator

            se io di dico mi devi 100 euro e ci scrivo mi

            devi 10000 euro beh la differenza

            c'e'...

            senno' da mandami un saluto, in mandami 10000

            euro tanto per te e' uguale

            no?

            se io ti mando un documento chiamato 'mi devi
            10000 euro.html' e dentro c'è scritto 'mi devi
            100 euro perchè blablabla... ', tu quanto mi
            dai?

            poi il discorso è che windows associa l'apertura
            di un file con un certo programma in base alla
            sua estensione (.html, .bmp) invece che al
            contenuto stesso, e questo è male perchè la firma
            digitale si applica al contenuto del file (ai
            bit) e non ai attributi del
            file.si vabbe ma la salsa non cambia il discorso.e' possibile farlo?allora il problema esiste.Poi se uno vuole minimizzare faccia pure.
          • rotfl scrive:
            Re: tenere una copia del nome del file
            - Scritto da: spectator
            si vabbe ma la salsa non cambia il discorso.
            e' possibile farlo?
            allora il problema esisteCambia eccome. E' un problema del programma di visualizzazione, non della firma digitale. E' come se tu ti lamentassi del fatto che da te non si ricevono bene i canali televisivi e dessi la colpa ai trasmettitori quando in realta' hai la televisione scassata.
          • spectator scrive:
            Re: tenere una copia del nome del file
            - Scritto da: rotfl
            - Scritto da: spectator

            si vabbe ma la salsa non cambia il discorso.

            e' possibile farlo?

            allora il problema esiste

            Cambia eccome. E' un problema del programma di
            visualizzazione, non della firma digitale. E'
            come se tu ti lamentassi del fatto che da te non
            si ricevono bene i canali televisivi e dessi la
            colpa ai trasmettitori quando in realta' hai la
            televisione
            scassata.eh no fermati qua e come se qualcuno decidesse di cambiare frequenze non visibili dai vecchi televisori e desse colpa produttore di televisioni che quelle frequenze non sono ricevibili.Non giriamo la frittatao meglio l'uovo e la gallinae' nato prima il sistema operativo in questione o la PEC?Il problema doveva essere affrontato da quelli che gestiscono il protocollo
          • Guido Angeli scrive:
            Re: tenere una copia del nome del file

            e' nato prima il sistema operativo in questione o
            la PEC?E la PEC che cosa c'entra?
          • rotfl scrive:
            Re: tenere una copia del nome del file
            - Scritto da: spectator
            Non giriamo la frittata
            o meglio l'uovo e la gallina
            e' nato prima il sistema operativo in questione o
            la
            PEC?
            Il problema doveva essere affrontato da quelli
            che gestiscono il
            protocolloMa non dire idiozie.Il nome di un file NON E' UNA PROPRIETA' DEL FILE. Pertanto E' IMPOSSIBILE realizzare una firma di un file che si basi anche sul nome del file stesso. Se chiami un documento .doc aggiungendogli un'estensione .exe e ci clicchi sopra il tuo Windows cerchera' di eseguirlo e non di aprirlo, pertanto avrai un comportamento diverso. E qui e' la stessa cosa. Ma il file E' SEMPRE LO STESSO FILE, IDENTICO.
          • Izio scrive:
            Re: tenere una copia del nome del file
            - Scritto da: rotfl
            Il nome di un file NON E' UNA PROPRIETA' DEL
            FILE. Pertanto E' IMPOSSIBILE realizzare una
            firma di un file che si basi anche sul nome del
            file stesso.[snip]Scusa, ma perché? Non è un'obiezione morale, semplicemente una domanda tecnica. Se il sistema di firma digitale certificasse il nome del file assieme al contenuto, cambiandone l'estensione la firma non verrebbe più convalidata. Se poi cambio l'estensione dopo aver convalidato la firma, sono fatti miei.Davvero, non capisco dove stia l'impossibilità, forse mi sfugge qualcosa.
          • Izio scrive:
            Re: tenere una copia del nome del file
            - Scritto da: Izio
            Scusa, ma perché? Non è un'obiezione morale,
            semplicemente una domanda tecnica. Se il sistema
            di firma digitale certificasse il nome del file
            assieme al contenuto, cambiandone l'estensione la
            firma non verrebbe più convalidata. Se poi cambio
            l'estensione dopo aver convalidato la firma, sono
            fatti
            miei.
            Davvero, non capisco dove stia l'impossibilità,
            forse mi sfugge
            qualcosa.Ah ops, qualcuno sotto parla di "utonti winari" e quindi (un po' tardi) credo di aver capito cosa intendi. Puoi avere degli hard link allo stesso file, con nomi diversi. Il nome del file è contenuto nella directory, non nel file stesso. Giusto, non ci avevo pensato.
Chiudi i commenti