itaeng

Blog

Pubblicato in:segnalazioni

Microsoft: "Abbandonate Internet Explorer 6!"

19GEN2010

In seguito alla recente scoperta della vulnerabilità su Internet Explorer, Microsoft ha colto la palla al balzo per suggerire, tramite Technet, di aggiornare Explorer 6 ad una versione più recente. Pur restando dell'avviso che anche nelle versioni più recenti la situazione resta tragica, almeno per quanto riguarda il supporto agli standard web, devo riconoscere che Microsoft ha fatto un'ottima mossa, speriamo che gli utenti raccolgano il suggerimento e che explorer 6 sparisca finalmente dal mercato...

  Windows 2000 Windows XP Windows Vista Windows 7
Internet Explorer 6 Exploitable Exploitable (current exploit effective for code execution) N/A
(Vista ships with IE7)
N/A
(Windows 7 ships with IE 8)
Internet Explorer 7 N/A
(IE 7 will not install on Windows 2000)
Potentially exploitable (current exploit does not currently work due to memory layout differences in IE 7) IE Protected Mode prevents current exploit from working. N/A
(Windows 7 ships with IE 8)
Internet Explorer 8 N/A
(IE 8 will not install on Windows 2000)
DEP enabled by default on XP SP3 prevents exploit from working. IE Protected Mode + DEP enabled by default prevent exploit from working. IE Protected Mode + DEP enabled by default prevent exploit from working.

Nota bene: Internet explorer 7 e 8 sono sicuri sono quando sono abilitate DEP e Protected mode, altrimenti la vulnerabilità è presente anche li!!

Per maggiori informazioni rimando al link del blog di Technet

Link al post su Technet

Aggiornamento: Microsoft Italia ha pubblicato un video che cerca di rassicurare gli animi:

Siccome sono un malpensante aggiungo che NSS Lab, citata in questo video, quando ha fatto quella valutazione è stata probabilmente pagata da Microsoft, e che ha condotto il test in modo un po' strano, per esempio utilizzando versioni beta (opera) o obsolete (firefox) di alcuni software.

Comunque che per chi volesse controllare c'è il sito di Secunia, che permette di visionare la quantità ed il tipo di bachi conosciuti per ogni software, e la loro pericolosità:

Internet Explorer 8

Firefox 3.5

Google Chrome 3.0

Opera 10

Pubblicato in:segnalazioni

Allarme dall'autorità federale per la sicurezza informatica tedesca: "Internet explorer non è sicuro"

16GEN2010

Molte persone, un po' maliziosamente, l'hanno sempre sostenuto, ma stavolta l'allarme arriva nientemento che dal Bundesamt fuer Sicherheit in der Informationstechnik, BSI, ovvero l'Autorità Federale per la Sicurezza nella Tecnologia dell'Informazione, che ne sconsiglia l'uso in favore di browser alternativi, di cui fa anche i nomi: Firefox, Opera, Chrome o Safari.

La falla, presente nelle versioni 6, 7 e 8 del browser di casa Microsoft, e che interessa i sistemi operativi XP, Vista, 7, 2003 e 2008 server, permette di lanciare attacchi ed installare programmi pericolosi sul proprio computer e nella rete. La falla è stata confermata dalla stessa Microsoft, che ammette che l'unica versione al sicuro da questo baco è Explorer 5 su Windows 2000 (tecnologia vintage di 10 anni fa).

Sempre Microsoft ammette che l'attacco ai danni di Gmail partito dalla Cina qualche giorno fa potrebbe essere partito da questa vulnerabilità (fonte).

Non meno importante è l'accusa da parte mia di essere una gran rottura durante lo sviluppo di siti internet.

Il consiglio, da parte di tutti, è di cambiare browser, approfittando dello stato di necessità :).

Aggiornamento: Anche in Francia il Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques consiglia l'uso di browser alternativi a fronte della vulnerabilità.

Aggiornamento 2: Ecco il bollettino Microsoft, con tanto di lista dei software affetti dal problema e quelli non affetti, più alcune precisazioni.

Pubblicato in:trucchi

Script per il backup di database e webroot

12GEN2010

Da tempo ero alla ricerca di uno script semplice e funzionale per effettuare i backup dei propri siti internet in modo automatizzato, che non desse lavoro una volta installato (tipo "installa e dimentica"). Alla fine mi sono imbattuto in questo vecchio post e nel bellissimo script che ancora adesso potete ammirare su quelle pagine. 

Naturalmente dovevo modificarlo per le mie necessità, cioè renderlo agnostico riguardo alla directory in cui è installato (basta creare una directory qualunque, buttarci dentro i due file qua sotto e al resto pensa lui) ed effettuare il dump dei database...

Ma bando alle ciance:

#!/bin/bash
CURPATH=$( cd $( dirname $0 ) ; pwd )

DIR_BKP="$CURPATH"
# ========== CONFIGURATION ============
# file con i pattern da escludere dal backup
EXCLUDES="$CURPATH/excludes"
# nr di giorni da consevare
NDAY=14

# prefisso della directory del backup
PRE="backup_dati"
# directory da backuppare
TARGET="$CURPATH/../"

# configurazione dati di accesso al database
DBUSERNAME="username"
DBPASSWORD="password"
DBHOST="host.com"

# ====================================
echo "=> Fase 0 ($(date '+%d-%m-%Y %H:%M')): Backup database"
mysqldump --opt --user="$DBUSERNAME" --password="$DBPASSWORD" --host="$DBHOST" --all-database | gzip -v >  "$DIR_BKP/database.tar.gz"

# ====================================
echo "=> Fase 1 ($(date '+%d-%m-%Y %H:%M')): Cambio \
permessi e rimozione del backup piu' vecchio <="
# cambio permessi
chmod -R 700 "$DIR_BKP/$PRE."*

# Viene eseguita solo alla prima esecuzione
if [ -e "$DIR_BKP/$PRE.0" ]; then
    echo "*"
else
    echo "Prima esecuzione !!!"
    mkdir "$DIR_BKP/$PRE.0"
fi;

# rimozione del backup più vecchio
if [ -d "$DIR_BKP/$PRE.$NDAY" ] ; then
    echo "  rm -rf $DIR_BKP/$PRE.$NDAY"
    rm -rf "$DIR_BKP/$PRE.$NDAY"
fi

# ====================================
echo "=> Fase 2 ($(date '+%d-%m-%Y %H:%M')): Shifto \
di una unita' i backup esistenti <="
while [ $NDAY -gt 1 ]; do
    NDAY2=$(($NDAY-1))
    if [ -d "$DIR_BKP/$PRE.$NDAY2" ] ; then
        echo "  mv $PRE.$NDAY2 $PRE.$NDAY"
        mv "$DIR_BKP/$PRE.$NDAY2 $DIR_BKP/$PRE.$NDAY"
    fi;
    NDAY=$NDAY2;
done

# ====================================
echo "=> Fase 3 ($(date '+%d-%m-%Y %H:%M')): Creo \
hard link del backup piu' recente <="
if [ -d "$DIR_BKP/$PRE.0" ] ; then
    echo "cp -al $PRE.0 $PRE.1"
    cp -al "$DIR_BKP/$PRE.0 $DIR_BKP/$PRE.1"
fi;

# ====================================
echo "=> Fase 4 ($(date '+%d-%m-%Y %H:%M')): Eseguo \
il backup <="

# Verifica se c'è il file per le esclusioni
if [ -r $EXCLUDES ] ; then
    EXCL="--delete-excluded --exclude-from=$EXCLUDES"
else
    EXCL=""
fi;

#Comando di backup
rsync -av --delete $EXCL $TARGET "$DIR_BKP/$PRE.0"

#Sposto il backup del database
mv "$DIR_BKP/database.tar.gz" "$DIR_BKP/$PRE.0/database.tar.gz"

echo "=> Fase 5 ($(date '+%d-%m-%Y %H:%M')): Cambio i permesi in sola lettura <="
chmod -R 500 "$DIR_BKP/$PRE."*

# ====================================
echo "=> FINE ($(date '+%d-%m-%Y %H:%M')) <="

ed impostare nel file "excludes" i files e le directory che si vogliono escludere dal backup:

- backups/
- logs/
- Maildir/
- tmp/
- cms.tar.bz2
- .links/
- .ssh

Fatto! Ora basterà lanciare da shell (o da crontab) lo script in questo modo:

sh backups/bk_daily.sh e al resto penserà lui da solo... 

Pubblicato in:segnalazioni

Il Millennium Bug arriva 10 anni dopo. Avrà usato trenitalia?

05GEN2010

In ritardo di 10 anni, il famigerato Millennium Bug fa vedere i suoi effetti: alcuni telefonini, bancomat e antivirus danno segni di squilibrio apparentemente inspiegabili... ecco perchè:

Pensavate che il Millennium Bug, con la relativa angoscia planetaria per la gestione corretta del cambio di data fra il 1999 e il 2000 da parte dei computer, fosse solo un brutto ricordo o addirittura una bufala? E’ ancora fra noi. Dalla mezzanotte del 31 dicembre scorso, i telefonini con Windows Mobile 6.1 e 6.5 e con altri sistemi operativi ricevono talvolta SMS dal futuro, datati 2016. La causa è probabilmente un errore nel software che interpreta i codici usati per rappresentare l’anno negli SMS: secondo i commenti su Slashdot.org, la data negli SMS è in formato BCD mentre altri campi sono in formato esadecimale, per cui è possibile che alcuni software per cellulari (o nei gateway degli operatori) interpretino il codice dell’anno trattandolo come un esadecimale. In alternativa, si tratta di un astutissimo piano per evitare la fine del mondo nel 2012, prevista dal calendario Maya, passando direttamente al 2016. Su WMexperts c’è una prima possibile pezza non ufficiale (da usare a vostro rischio e pericolo). In Australia, intanto, alcuni sportelli bancari automatici stanno rifiutando le carte bancarie dei clienti da Capodanno, secondo quanto riferisce il Brisbane Times, perché i Bancomat pensano che l’anno corrente sia il 2016 e quindi a loro risulta che tutte le carte degli utenti sono scadute. Anche gli antivirus sono vulnerabili al Baco del Millennio e Dieci: la suite di sicurezza Symantec Endpoint Protection rifiuta tutti gli aggiornamenti successivi al 31 dicembre 2009 perché li considera scaduti. Il rattoppo temporaneo di Symantec consiste nel pubblicare gli aggiornamenti tenendo la data del 31 dicembre 2009 e incrementando il numero di versione. Fonte: http://attivissimo.blogspot.com

Pubblicato in:

Authsome plugin: Auth for people who hate the Auth component

28DIC2009

Un progetto molto simile era in cantiere da diverso tempo sul forum di cakephp-it.org, ma qualcuno ci ha battuti sul tempo (non che ci volesse molto visto il nostro stato dei lavori :))

questa la presentazione:

Assume nothing: Authsome requires that you have some kind of user model, but that's it. It doesn't care if you use a database, passwords or religious ceremonies for verifying your member logins.

Touch nothing: Authsome does not interact with your application at all. No login redirects, no permissions checks, nothing. You never have to worry about the underlaying magic, it will never get into your way.

Always available: Authsome is there for you when you need it. You can do stuff like Authsome::get('id') from anywhere in your project. If you have MVC OCD, you can also use Authsome as a regular component: $this->Authsome->get('id')

http://github.com/felixge/cakephp-authsome

Leggendo la presentazione sembra un gran bel pezzo di codice, al più presto proverò ad implementarlo in qualche progetto... ma il bello arriverà più avanti, nel 2010:

Next on the radar is Righteful: Acl for people who hate the Acl component. We hope to have it ready at some point early next year.

http://debuggable.com/posts/cakephp-aut … 76cbdd56cb

ACL è un complesso sistema di gestione delle autenticazioni, come molti sviluppatori (e non solo su cakephp) sapranno... l'unica difficoltà, che molti sviluppatori (soprattutto su cakephp) avranno già avuto modo di notare, è l'estrema macchinosità del tutto... difficile da implementare, da gestire, da utilizzare... speriamo che questo plugin ci venga in aiuto.

Adoro la comunità di cakephp...:D