Sicurezza
UrlScan era uno dei miei tool preferiti per proteggere IIS 5.x Oggi vedo la beta della v3.0 che supporta Windows Server 2008, 2003, XP e Vista (IIS 7, 6 e 5.1) UrlScan v3.0 Beta (x86) UrlScan v3.0 Beta (x64) Vi consiglio di provarlo, potrebbe sempre tornarvi utile.
Feliciano (il punto di riferimento per la Security Microsoft in Italia) cita un post di Vincenzo sull’aggiornamento per Acrobat e Reader: Sono sempre stato restio ad usare il mio security blog, dichiaratamente focalizzato sulla piattaforma Microsoft, per avvisarvi di vulnerabilità critiche di altri vendor. Il motivo di fondo è semplice ed è sicuramente chiaro a chi mi legge...(read more) Non voglio riportare tutto il post che vi invito a leggere. Ho solo voluto sperimentare il processo di upgrade. Prima di tutto apro il Reader e cerco se ci sono degli update… NULLA…...
Su Microsoft Downloads trovate il documento Business Planning Guide for Visual Basic 6.0 Applications che contiene informazioni "non tecniche" sul futuro delle applicazioni VB6. Quello che faccio sempre notare a chi si "ostina" a continuare imperterrito con VB6 anche per applicazioni in continuo aggiornamento è questo: Runtime support is in place for Windows Vista and Windows Server 2008. There is no planned runtime support beyond Windows Vista and Windows Server 2008. Windows 64-bit applications (Windows Vista and Windows Server 2008) are also supported as runtime platforms. Be aware that Visual Basic 6.0 applications execute in the WOW layer; it...
Oggi ho ricevuto questo commento al post su Moonlight 1.0 per Linux: Puoi dire di avere provato "molte cose che riguardano il pinguino"? Evita di ostentare ignoranza parlando di argomenti che non conosci. Firmato, Gimmi "Pinguino permaloso" Ecco la mia risposta: Caro Gimmi "Pinguino permaloso", le mie prime esperienze con il mondo Unix/Linux/etc... risalgono a quando un mio amico (il mitico Alessandro che non sento dai tempi del Poli...) scaricò nel 1994 (se ricordo bene) una versione di NetBSD per Amiga, che poi mi ha passato su un nastro da 250Mb SCSI in formato Tar/Gzip (credo......
Al solito, basta una notizia come questa e subito c'è chi urla al complotto, alla backdoor, etc... etc... Al solito l'ignoranza la fa da padrone, perchè in molti casi non serve nessuna backdoor... ma solo normali tecniche già note e usate da tempo... mah...
Ieri ho letto il nuovo post del mio idolo intitolato Crash dummies: Resilience e la risposta del sempre grande Larry Osterman intitolata Resilience is not necessarily a good thing. Al solito i post di Eric, anzi di I.M.Wright (suo alterego...) sono molto provocativi e spesso portati agli estremi. La risposta di Larry invece è molto più tecnica, ed entra nei meccanismi della gestione delle eccezioni, del principio fail fast, etc... Secondo me come al solito la verità sta nel mezzo. Il primo post cerca di mettersi dalla parte dell'utente, il secondo dalla parte di chi sviluppa e deve considerare problematiche...
Si, non è un errore di scrittura, ma il Computer Online Forensic Evidence Extractor, la chiavetta USB "miracolosa" che Microsoft ha fornito alla polizia di diversi paesi del mondo, per aiutare nella raccolta di "prove" senza spegnere il PC. Fonte: Microsoft Builds USB Drive For Police
La trovate qui: SDL Guidance
Spiegata con molta chiarezza. A volte vedo usare con troppa disinvoltura LocalSystem, mentre LocalService e NetworkService vengono spesso ignorati. Bisogna invece impararne pregi e difetti... ehm... i permessi di default. Trovate tutto qui: LocalSystem==root, LocalService==nobody
E sempre dal post precedente di Paperino (ringrazio ogni giorno Mighell per avermi mostrato il suo blog): ...Qualche sedicente esperto di sicurezza va ancora affermando che "SQL Server è il Database per il quale lo scorso anno sono state trovate il maggior numero di vulnerabilità": He cited SQL Server as an example. "It had the most vulnerabilities last year of any commercial database, so scrutiny will do nothing but good for its security."(fonte). nonostante Jeff Jones dimostri, secunia alla mano, che il numero di vulnerabilità trovate da sempre per SQL 2005 sia stato 0 (e...
E' interessante seguire il resoconto di Paperino: ...Nel frattempo nel mondo dei bit e dei byte sono successe un bel po' di cose interessanti e a tratti divertenti: Apple segnala che è disponibile un aggiornamento (di sicurezza?) per iTunes; in realtà l'aggiornamento è Safari 3.1, il browser disegnato with security in mind. Quelli di Mozilla si inca**ano e senza misure etichettano Safari come malware e forse in fondo hanno ragione: Russinovich una volta disse, definendo il sistema di protezione di Sony come rootkit, che se sembra una papera, fa il verso di una papera e si...
Ma permettergli di collegarsi alla prima rete disponibile ed essere subito "massacrato" no... Disinstallato... assieme ad un bel po' di altre schifezze... Certo che quasi quasi facevo prima ad infilare il DVD di Vista e via... Se era il mio PC l'avrei fatto subito!!!
Manco fossimo in debug... peccato che è un sito pubblico molto famoso...
Stavo leggendo il post sul blog di Paolo Attivissimo sulle "sorpresine" presenti nei software più o meno famosi quando ho trovato questa frase: Volete un motivo in più per passare a OpenOffice.org o NeoOffice? Eccolo: i giochini integrati. Secondo me gli "Easter Egg" sono una pratica da evitare in software che vanno usati professionalmente. Viene fatta la review del codice degli "Easter Egg"? E se hanno dei bug? E se sono soggetti ad attacchi? Chi lo giustifica poi al committente? Non scherziamo per favore sulle cose serie, e smettiamo di incitare l'inserimento di cose nascoste, che possono piacere a...
Bellissimi: Security is not all about Security Updates Securing Existing Code
Questo è il risultato su Vista con UAC attiva: Un altro caso di comportamento migliore rispetto a questo. Sicuri però che funzioni con un non-admin? Non ho XP per provare... Technorati Tags: Vista
Per fortuna ora è tutto a posto...
Nuovo tool per Visual Studio 2005 per rilevare i potenziali punti deboli di un'applicazione Web relativamente al Cross Site Scripting.. XSSDetect is a static code analysis tool that helps identify Cross-Site Scripting security flaws found within Web applications. It is able to scan compiled managed assemblies (C#, Visual Basic .NET, J#) and analyze dataflow paths from sources of user-controlled input to vulnerable outputs. It also detects whether proper encoding or filtering has been applied to the data and will ignore such "sanitized" paths. Fonte: XSSDetect BETA
Che non è il soprannome di qualcuno, o qualche locale di Barcellona, ma è un software per criptare le comunicazioni via WiFi al volo, con anche la possibilità di usare un proprio server. Domani lo installo e vediamo come va... Nel frattempo ringrazio Tiziano Marmiroli (MVP Office System) per la segnalazione.
Stavo leggendo alcune cose sulla .NET Code Protection, tramite la tecnologia chiamata Code Transformation e l'uso del Secure Virtual Machine Language per proteggere la proprietà intellettuale delle proprie applicazioni. Spero di riuscire a seguire questa sessione: SEC401 .NET Code Protection and Licensing Deep Dive for Developers - Aidan Hughes A technical deep dive into code protection for .NET applications. We will demonstrate the use of an advanced protection technique known as Code Transformation that is an irreversible transformation of MSIL into a unique and secure virtual language. The unique compiler for this language, the Secure Virtual Machine...
Full Sicurezza Archive