aprile 2006 Blog Posts
La cattiva abitudine di rendere vulnerabili i siti di online banking non è solo italiana. Questa sera, per pura coincidenza, ho ricevuto come MVP la segnalazione di questi due articoli che completano il terribile stato di ignoranza e lasciano sgomenti per le pessime abitudini degli istituti bancari:
http://isc.sans.org/diary.php?storyid=1277&rsshttp://blogs.zdnet.com/Ou/?p=201
La cosa più incredibile è che porre rimedio è un'operazione semplice e rapida, un'oretta di lavoro che viene snobbata a scapito della sicurezza degli utenti che sono gli unici a pagarne le conseguenze.
E sono già due i siti bancari che ho constatato essere soggetti ad attacco di DNS poisoning.
In pratica la pagina di login viene ospitata su una normale pagina http invece di https per poi eseguire il 'POST' su https. Il sito "tecnico" della banca ovviamente rassicura che l'operazione è sicura perch'è il POST è su https.Questa operazione è invece profondamente sbagliata per almeno due motivi:
l'utente si deve fidare che la pagina web venga rediretta su https. Questo insegna all'utente che si possono inserire dati sensibili anche su pagine non protette il che è tragicamente sbagliato.
la pagina dove l'utente sta immettendo...
Ho appena installato la library di maggio e il viewer soffre ancora di tanti, troppi problemi che evito di elencare.Ce n'è uno però che rende le ricerche assolutamente inutili: le chiavi di ricerca sono in OR anziché in AND.
Se per esempio si cerca cerca: Process StartInfo si ottengono 500 risultati (che è il limite massimo).Se invece si cerca: Process AND StartInfo i risultati si riducono a 87.Se poi si cerca Process NEAR StartInfo scendiamo ancora a 67.
Di chiavi ce ne sono molte altre, ma almeno la AND doveva essere implicita. Questa cosa l'ho segnalata fin dalla beta ma è passata...
Personalmente trovo che i pattern soffrano talvolta di essere usati come soluzioni generali, universali. E quando sono usati come tali si incorre in gravi errori.
Nell'implementazione singleton ad esempio, va per la maggiore la versione thread-safe. Giusto, ma che succede se faccio uso di milioni di volte di quell'oggetto? Milioni di controlli che in termini di performance fa certamente una certa differenza.È quindi chiaro che la protezione thead-safe nell'implementare il singleton (così come altri pattern) è del tutto contestuale e non è possibile definirne una 'universale'.
Il problema non è nuovo e infatti uno degli scopi di ATL (libreria C++) era proprio di...
È arrivata e disponibile qui: http://www.microsoft.com/sql/sp1.mspx.
La nuova service pack è però anche una feature pack e cioè aggiunge funzionalità al prodotto. Tra queste cito il Database mirroring, SQL Server Management Studio per la versione Express e il Query Designer MDX.
In nome della security, andate e patchate ...
Giovedi scorso ho portato a termine anche la tappa di Torino del Security Roadshow. Dopo l'evento mattutino sono subito scappato (grazie a Massimo e Alessandro per il passaggio oltre che per la piacevolissima serata) al Politecnico di Torino dove ho tenuto una sorta di bis, ma in versione più 'accademica'. Voglio ringraziare Giorgio e tutto lo staff universitario che mi hanno accolto calorosamente in una splendida aula super-attrezzata.
Sono solo i miei primi eventi universitari ma le impressioni che ho avuto dai feedback è che il mondo accademico sia sempre troppo distante da quello lavorativo. Ho trovato ragazzi interessatissimi, con tantissima voglia si...
Sono appena andate online anche le mie slides e gli esempi.
Ma facciamo un passo indietro. Innanzitutto devo ringraziare Daniele, Andrea, Gianluca "CommunityMasters" che hanno reso possibile l'evento. Non da meno il preziosissimo Ricky che ha trascorso dure notti dietro le quinte dell'evento (posso testimoniare dal mio messenger nelle ore così tarde da non essere più piccole, che ormai sono a me consone ).Per brevità ometto tutti gli altri speaker di cui si sono già letti e sentiti ottimi commenti da tutti i presenti.Grazie anche (e ovviamente) a chi ha partecipato in modo così caloroso e tecnicamente sempre puntuale. Un piccolo rammarico per le...
Sono settimane molto dense e dopo aver tenuto un corso su Workflow Foundation, ho inaugurato martedi scorso nella mia Genova il roadshow sicurezza.
Dopo alcuni altri impegni sono subito volato da Milano a Catania per la giornata (che definirei "campale") di Catania in cui ho parlato in una non-stop di 8 ore. La mattina si è svolta allo Sheraton per il roadshow e un ora dopo la fine ero già nella magnifica cittadella universitaria, nell'aula magna del dipartimento di matematica e informatica a parlare agli studenti di Sistemi Operativi sull'architettura della Windows ... insomma temi e slides analoghi a quanto ho erogato nella...
Per il mondo universitario Microsoft ha pubblicato qui la grande notizia:
ProjectOZ un sistema operativo semplificato in sorgente, basato sull'architettura di Windows, che permette agli studenti di eseguire esperimenti intervenendo sui vari componenti di sistema
Windows Research Kernel, un estratto del kernel di Windows XP in sorgenti che permetterà agli studenti di studiarlo o di modificarlo per capirne meglio il funzionamento
Questa iniziativa va ad aggiungersi e a semplificare il già diffuso programma shared source (da non confondersi con open source) che Microsoft da anni promuove.
I sorgenti di Windows sono infatti già disponibili (su richiesta) agli enti governativi, alle università e ... anche a noi...