Roma – Nota ufficiosamente come Spring Creators Update , la nuova major release di Windows 10 sarebbe dovuta arrivare la scorsa settimana in concomitanza con il Patch Tuesday di aprile. I piani di Microsoft si sono però dovuti scontrare con la scoperta di un bug, un problema nel codice apparentemente così grave da spingere la corporation a ritardare la distribuzione del mega-pacco di qualche settimana.
La natura del baco incriminato non è stata (ancora) rivelata al grande pubblico , ma vista la reazione di Redmond deve certamente trattarsi di un errore piuttosto grave che richiede alcune settimane di test e verifiche aggiuntivi.
L’esistenza di questo misterioso “blocking bug” è stata confermata dagli utenti partecipanti al programma Insider, autentici appassionati – o professionisti interessati – che hanno deciso di lavorare gratis come beta tester del software Microsoft e che hanno verificato la gravità del problema in tutti i tre i canali del programma (Fast, Slow, Release Preview).
In attesa del debutto (ritardato) di Windows 1803, agli aficionado di tutto quanto fa Windows non resta che sollazzarsi con le ultime novità in arrivo da Redmond come l’ annuncio di Windows Admin Center (WAC): il nuovo tool riunisce in una sola interfaccia tutti i multiformi strumenti fin qui disponibili per la gestione remota dei PC Windows, con l’accentramento in una singola GUI basata su Web di funzionalità precedentemente disponibili tramite applet MMC, voci del Pannello di Controllo, impostazioni e via elencando.
WAC può operare sia da remoto che in locale, porta a termine i suoi task amministrativi tramite PowerShell e WMI ed è stato progettato per gestire sistemi basati su Windows 10 o Windows Server (dalla versione 2012 in poi) – sia che si tratti di OS installati sul “nudo metallo” che su istanze virtualizzate nel cloud.
Alfonso Maruccia
fonte immagine
-
Sicuramente non la userò mail
Tutto ciò che in informatica è stato messo su negli ultimi 10 anni è XXXXX. -
info
Ovviamente un sistema come questo renderebbe possibile un tracciamento via web senza errori, continuo da tutti, wow o.O (forse si potrà usare un sistema di emulazione con risultati a random ed usare solo l'autenticazione corretta futura solo quando serve, vedremo).-
Re: info
- Scritto da: Mao99
Ovviamente un sistema come questo renderebbe
possibile un tracciamento via web senza errori,
continuo da tutti, wow o.O (forse si potrà usare
un sistema di emulazione con risultati a random
ed usare solo l'autenticazione corretta futura
solo quando serve,
vedremo).Ho letto le specifiche e sinceramente non ho intravisto nulla che facesse pensare al rischio di tracciamento.Me la spieghi meglio?-
Re: info
Ho letto le specifiche e sinceramente non ho
intravisto nulla che facesse pensare al rischio
di
tracciamento.
Me la spieghi meglio?Praticamente, come spiega bene l'articolo, questo sistema permette di essere autentiacati sia tramite il propio hardware in possesso che tramite i dati biometrici, considerando che sarà utilizzato da tutti i browser..Non viene detto in articolo, ma se il browser lo usa chiunque o qualunque sito web lo implementi potrà identificarti in maniera perfetta e controllare ciò che fai, quali siano le tue preferenze ecc.. anche senza FB o altri social, cookies, fingerprint (beh il fingerprint è univoco simile al sistema hardware ma cambiabile a random con plugin), IP (vbb..).Se ora il tracciamento è con impegno bloccabile in gran parte, quando si utilizzerà questa nuova metodologia, in futuro sarà molto più difficile in quanto i valori hardware/biometrici sono unici, per quello una eventuale soluzione sarà una programma/app emulatore che cambia tutti i valori a random quando si vorrà solo navigare in pace ecc..L'articolo non dice nulla sul tracciamento vero, ma il fatto che venga implementato su tutti i browser, il fatto che sarà un'autenticazione unica e più certa, il fatto che viaggerà online sempre attiva ed uttilizzabile tramite implementazione (dichiarata o meno come contenuto del sito web, server o quel che vuoi) rende la possibilità che sarà utilizzata anche per il tracciamento molto probabile.Faccio un esempio, ora per accedere a certi servizi usi la tua carta regionale e pin, ok ma una volta eseguito l'acXXXXX rimani sempre attivo fino a che non chiudi il browser (anche se togli la scheda il tuo ID univoco e' sempre leggibile) ed ogni sito che navighi (che utilizzi questo sistema) ti riconosce in maniera certa.Questo e' quello che ho pensato immediatamente appena letto l'articolo in quanto penso che la privacy sia sempre da difendere in quanto diritto, ma questo e' solo il mio modesto parere, se poi mi sbaglio a riguardo, vbb meglio, cmq sempre meglio prevenire e pensarci che curare poi..^_^-
Re: info
- Scritto da: Mao99
Se ora il tracciamento è con impegno bloccabile
in gran parte, quando si utilizzerà questa nuova
metodologia, in futuro sarà molto più difficile
in quanto i valori hardware/biometrici sono
unici...Insomma...come spiegano le specifiche:https://www.w3.org/TR/webauthn/#sec-attestation-privacyhttps://fidoalliance.org/specs/fido-uaf-v1.1-id-20170202/fido-ecdaa-algorithm-v1.1-id-20170202.htmlviene fuori che è un sistema simile all'autenticazione a mezzo chiavi pubbliche e private, un po' come SSH.L'hardware biometrico o altro si preoccuperà di fornire un UID che a sua volta formerà la chiave pubblica, con cui ti autorizzerai verso un certo sito specifico.Se la privata viene compromessa viene annullata e rimpiazzata come un'altra, come si fa anche nei tradizionali sistemi a chiave pubblica e privata.Spiegano anche chiaramente le prassi usate per evitare che la stessa chiave pubblica venga usata da più siti per tracciare l'utente.
per quello una eventuale soluzione sarà
una programma/app emulatore che cambia tutti i
valori a random quando si vorrà solo navigare in
paceNeanche serve.Quando vorrai navigare in pace scegli di autenticarti via password classica ed evitare il nuovo sistema.https://www.w3.org/TR/webauthn/#use-cases
Faccio un esempio, ora per accedere a certi
servizi usi la tua carta regionale e pin, ok ma
una volta eseguito l'acXXXXX rimani sempre attivo
fino a che non chiudi il browser (anche se togli
la scheda il tuo ID univoco e' sempre leggibile)
ed ogni sito che navighi (che utilizzi questo
sistema) ti riconosce in maniera
certa.Quello che resta, dopo il login, è un cookie verso quello specifico sito.Ti slogghi / chiudi il browser / elimini i cookie / cambi sito... sono tutte azioni che fanno perdere quel cookie. <b
Indipendentemente </b
che tu abbia usato una password, una chiave pubblica, una smartcard o altro tipo di mezzo di autorizzazione.
Questo e' quello che ho pensato immediatamente
appena letto l'articolo in quanto penso che la
privacy sia sempre da difendere in quanto
diritto, ma questo e' solo il mio modesto parere,
se poi mi sbaglio a riguardo, vbb meglio, cmq
sempre meglio prevenire e pensarci che curare
poi..
^_^Secondo me invece è un bel passo avanti.Finalmente c'è uno spiraglio che fa sperare in un buon sistema che soppianti la password, ormai insicura a prescindere per l'utente medio.-
Re: info
Insomma...
come spiegano le specifiche:
https://www.w3.org/TR/webauthn/#sec-attestation-pr
https://fidoalliance.org/specs/fido-uaf-v1.1-id-20
viene fuori che è un sistema simile
all'autenticazione a mezzo chiavi pubbliche e
private, un po' come
SSH.
Ma lo hai letto il tuo link?:"A WebAuthn authenticator manufacturer may choose to [...]""A WebAuthn authenticator may be capable of [...]"" WebAuthn Authenticator can implement [...]"Non sono protocolli obbligatori.
L'hardware biometrico o altro si preoccuperà di
fornire un UID che a sua volta formerà la chiave
pubblica, con cui ti autorizzerai verso un certo
sito specifico.La stragrande maggioranza dell'hardware viene dalla Cina ed è sviluppato secondo linee guida delle corporations americane, nessuno dei due si ha mai mostrato grande preoccupazione per la privacy degli utenti.
Neanche serve.
Quando vorrai navigare in pace scegli di
autenticarti via password classica ed evitare il
nuovo sistema.Come già scritto in un altro post se questo sistema passa tra pochi anni i siti più usati non ti daranno la possibilità di fare login in altri modi, come è sucXXXXX con le email gratuite americane, ora nessuno ti permette di creare una casella di posta elettronica senza fornire un numero di cellulare verificabile.
Quello che resta, dopo il login, è un cookie
verso quello specifico sito.
Ti slogghi / chiudi il browser / elimini i cookie
/ cambi sito... sono tutte azioni che fanno
perdere quel cookie.
In locale. Google nel frattempo ha imparato a salvarsi da remoto una lista di tutti i parametri estraibili che permettono di creare un profilo utente abbastanza preciso.
Secondo me invece è un bel passo avanti.
Finalmente c'è uno spiraglio che fa sperare in un
buon sistema che soppianti la password, ormai
insicura a prescindere per l'utente
medio.Solito terrorismo mediatico.P.S.Se le informazioni sulle tue impronte digitali finiscono in rete da quel momento in poi bastano una webcam o una macchina fotografica per identificarti: http://www.bbc.com/news/uk-wales-43711477 -
Re: info
- Scritto da: 5f56b5167a5
Insomma...
come spiegano le specifiche:
https://www.w3.org/TR/webauthn/#sec-attestation-pr
https://fidoalliance.org/specs/fido-uaf-v1.1-id-20
viene fuori che è un sistema simile
all'autenticazione a mezzo chiavi pubbliche e
private, un po' come
SSH.
Ma lo hai letto il tuo link?:
"A WebAuthn authenticator manufacturer may choose
to
[...]"
"A WebAuthn authenticator may be capable of [...]"
" WebAuthn Authenticator can implement [...]"
Non sono protocolli obbligatori.Anche lo fossero non potresti sapere se il browser fa bene i compitini.Come non potresti sapere se attualmente fa da keylogger per le password che digiti ogni giorno.In qualsiasi caso puoi sempre sceglierne uno open dove puoi spulciare nel codice e comprendere se si comporta bene.Quindi tanto quanto.
L'hardware biometrico o altro si preoccuperà
di
fornire un UID che a sua volta formerà la
chiave
pubblica, con cui ti autorizzerai verso un
certo
sito specifico.
La stragrande maggioranza dell'hardware viene
dalla Cina ed è sviluppato secondo linee guida
delle corporations americane, nessuno dei due si
ha mai mostrato grande preoccupazione per la
privacy degli
utenti.L'hardware deve semplicemente fornire un hash, un fingerprint, uno stream di byte che identifichi univocamente un qualcosa di mio.Per "qualcosa di mio" non intendo necessariamente un elemento del mio corpo, può benissimo essere un oggetto che possiedo.Quindi tanto quanto.
Neanche serve.
Quando vorrai navigare in pace scegli di
autenticarti via password classica ed
evitare
il
nuovo sistema.
Come già scritto in un altro post se questo
sistema passa tra pochi anni i siti più usati non
ti daranno la possibilità di fare login in altri
modi, Ma lo hai letto lo standard?Il sito non sceglie una fava, lo strato software di webauthn opacizza quello step. "User verification MAY be instigated through various authorization gesture modalities; for example, through a touch plus pin code, password entry, or biometric recognition (e.g., presenting a fingerprint) [ISOBiometricVocabulary]."Da parte del sito al massimo indicheranno che pretendono webauthn, poi se quest'ultimo viene usato come password entry il sito non lo sa di certo. Fine della questione.
come è sucXXXXX con le email gratuite
americane, ora nessuno ti permette di creare una
casella di posta elettronica senza fornire un
numero di cellulare
verificabile.Dove il servizio è gratis il prodotto sei tu. Sbaglio?E comunque scusami ma non c'entra una fava con ciò di cui si stava parlando.Webauthn ritorna al sito un UID, che per ovvie ragioni tecniche mi sembra di capire che sarà diverso per ogni hw/sw che usi.In poche parole è come se ti dicessi che invece di digitare una password, ti fornisco una chiave fisica più sicura ogni volta che ti registri ad un sito (che non è un passepartout, attenzione).
Quello che resta, dopo il login, è un cookie
verso quello specifico sito.
Ti slogghi / chiudi il browser / elimini i
cookie
/ cambi sito... sono tutte azioni che fanno
perdere quel cookie.
In locale. Google nel frattempo ha imparato a
salvarsi da remoto una lista di tutti i parametri
estraibili che permettono di creare un profilo
utente abbastanza preciso.Anche qui, stai parlando di un qualcosa che con il webauthn non c'entra niente.Il fingerprint del browser viene condotto a prescindere da come ti sei o non ti sei loggato.
Secondo me invece è un bel passo avanti.
Finalmente c'è uno spiraglio che fa sperare
in
un
buon sistema che soppianti la password, ormai
insicura a prescindere per l'utente
medio.
Solito terrorismo mediatico.
P.S.
Se le informazioni sulle tue impronte digitali
finiscono in rete da quel momento in poi bastano
una webcam o una macchina fotografica per
identificarti:
http://www.bbc.com/news/uk-wales-43711477PS: la biometria obbligatoria su webauthn ce la stai mettendo tu.Chi fa terrorismo mediatico?
-
-
-
-
-
Brave new world
Ora c'è il meccanismo per controllare da remoto l'identita di chi si connette online. Scommetto che la maggior parte dei networks più utilizzati nel tempo lo renderanno obbligatorio.-
Re: Brave new world
è un complotto, la stagnola migliore la trovi da me naturalmente faccio sconti anche per modesti quantitativi-
Re: Brave new world
coglionazzo!!
-
-