febbraio 2008 Blog Posts
Dopo solo qualche giorno dalla diabolica perseveranza nell'inserire bug di sicurezza nel sito del partito democratico, documentato anche da Roberto, ecco un altro penoso esempio di assenza di attenzione sulla sicurezza applicativa. Il 28 e 29 Novembre 2007 ho mandato due email in cui avvertivo Sogei, gestore del sito delle dogane, sull'uso totalmente errato dei certificati digitali. Si, è vero, avevo detto che ormai non mandavo più email di avvertimento perché non venivano mai considerate. Io ho fatto un'eccezione, ma puntualmente si è avverato quello che dico sempre: le email non hanno minimamente prodotto alcun effetto. Tutto puntualmente...
Con l'annuncio di ieri, disponibile in audio/video qui, Microsoft ha pubblicato un sito che è bene leggere prima di cominciare a spulciare la documentazione: http://www.microsoft.com/about/legal/intellectualproperty/protocols/default.mspx Tutti i link utili sono in quella pagina e per i più curiosi la viva documentazione si trova qui, come l'amico Alessandro Angeli mi ha segnalato già ieri: http://msdn2.microsoft.com/en-us/library/cc216514.aspx Ho scorso velocemente la lunga lista ed è stato come rivedere la propria vita in pochi secondi. Notti dopo notti passate con Windbg e fiumi di assembler per decifrare i singoli byte di chiamate, formati, etc. adesso sono finalmente pubblicati. Ho ancora...
Questa sera quattro big di Microsoft (Steve Ballmer, Ray Ozzie, Bob Muglia e Brad Smith) hanno fatto un importante annuncio. A vedere il press pass prima dell'annuncio, e dopo il tentativo di conquistare Yahoo dei giorni scorsi, stavano prendendo piede le ipotesi più stralunate. Così mi sono lasciato prendere dalla curiosità e mi sono collegato in audioconferenza sul numero verde e ho ascoltato tutto l'annuncio. In sostanza c'è una nuova apertura da parte di Microsoft sulla documentazione di API, protocolli, specifiche dei prodotti strategici. I vantaggi più evidenti per gli sviluppatori sono che avremo a disposizione tutta...
La nostra vita sulla rete è costellata di URL eppure la progettazione degli URL è avvenuta senza tenere presente il concetto di Security By Design. Gli Url sono uno standard IETF definiti nella RFC1738 e successivi aggiornamenti (sembra quasi di parlare legalese). La sintassi è apparentemente semplice ma la loro difficile validazione ha portato ad una innumerevole serie di piaghe, molte delle quali di sicurezza. Parlo dei malformed URL che hanno messo in crisi una lunghissima serie di prodotti Microsoft, IBM, Sun, Mozilla, Macromedia, Adobe, Skype, ..., ovviamente in totale indifferenza del sistema operativo (Windows, varie distro Linux...
Talhah mi ha appena informato di aver bloggato sul Threat Modeling blog, la news del mio video al Fishbowl:
http://blogs.msdn.com/threatmodeling/archive/2008/02/18/video-threat-modeling-and-discovering-security-issues.aspx.
La news è anche presente nel developer center americano dell'application threat modeling:
http://msdn2.microsoft.com/en-us/security/aa570413.aspx
Il blog è gestito e manutenuto dall'ACE team, unteam di Microsoft che si occupa specificamente di problemi che riguardano Security, Performance e Privacy con il quale ho avuto il grande piacere di poter dialogare su diversi temi durante, e non solo, gli MVP Summit a Redmond. Il Threat Modeling and Analisys tool nasce proprio da questo gruppo di persone.
Update: Aggiungo il link al blog di Mark Curphey
Thanks to Talhah, Anil and...
Come è noto, a breve ci sarà il lancio di Visual Studio 2008, Windows 2008 Server e SQL Server 2008 a Milano e in altre città. Dopo anni di community ancora riesco a stupirmi sull'importanza delle community e degli user group. Naturalmente tutto nasce con UGIdotNET e con il tempo ho potuto vedere quanto sia importante la nascita e la crescita delle community in giro per l'Italia. Ho avuto modo di andare a trovarne alcune e quando c'è di mezzo la passione, i risultati si vedono eccome. Oggi vedo le community ed i relativi eventi come qualcosa di...
Durante il TechEd a Novembre ero stato intervistato come expert di Threat Modeling all'evento parallelo chiamato Virtual TechEd. (Grazie a Mauro per le foto e Janky per l'irruzione a base di speaker idol ) Con estremo piacere ho appena scoperto che adesso il video è appena stato messo live. A tutti gli effetti è una mini-sessione improvvisata sul Threat Modeling, i nuovi concetti che semplificano l'approccio classico DREAD / STRIDE, e il Threat Modeling and Analisys Tool (si, sono riuscito ad andare lungo anche qui ). Il video si trova qui...
L'uomo del web 2.0, il miglior conoscitore dei gusti geek degli MVP, cultore del Compute Cluster Server, adoratore di Biztalk, esperto maximo di Intermediate Language under the hood, ... si, proprio lui ha trovato un sistema sicuro al 100% per linkare questo onorabile post: http://blogs.technet.com/alead_msft/archive/2008/02/07/giro-link-in-vista-del-lancio.aspx ... che mi tocca fare per una camicia ... Al 99.9% dovrei essere al lancio il 28-29 Febbraio ... c u there
Sono stati aggiornati i poster per il Framework 3.5 e si trovano al seguente indirizzo: http://www.microsoft.com/downloads/details.aspx?FamilyID=7b645f3a-6d22-4548-a0d8-c2a27e1917f8&displaylang=en Buona stampa