Normal people bore me!

Questo blog si è trasferito qui: www.geniodelmale.info
posts - 4199, comments - 7055, trackbacks - 491

My Links

News



Subscribe Subscribe

- Chi sono... C.V. e altre informazioni! - Lista dei miei articoli

View Lorenzo Barbieri's profile on LinkedIn

Genio del Male Fan Page



This is my personal weblog. These postings are provided 'AS IS' with no warranties, and confer no rights. The views expressed on this weblog are mine alone and do not necessarily reflect the views of my employer.

Licenza Creative Commons

Tag Cloud

Archives

Post Categories

Sicurezza

UrlScan v3.0 Beta

UrlScan era uno dei miei tool preferiti per proteggere IIS 5.x Oggi vedo la beta della v3.0 che supporta Windows Server 2008, 2003, XP e Vista (IIS 7, 6 e 5.1) UrlScan v3.0 Beta (x86) UrlScan v3.0 Beta (x64) Vi consiglio di provarlo, potrebbe sempre tornarvi utile.

posted @ martedì 24 giugno 2008 21.46 | Feedback (0) | Filed Under [ Sicurezza Windows ]

In…sicurezza

Feliciano (il punto di riferimento per la Security Microsoft in Italia) cita un post di Vincenzo sull’aggiornamento per Acrobat e Reader: Sono sempre stato restio ad usare il mio security blog, dichiaratamente focalizzato sulla piattaforma Microsoft, per avvisarvi di vulnerabilità critiche di altri vendor. Il motivo di fondo è semplice ed è sicuramente chiaro a chi mi legge...(read more) Non voglio riportare tutto il post che vi invito a leggere. Ho solo voluto sperimentare il processo di upgrade. Prima di tutto apro il Reader e cerco se ci sono degli update… NULLA…...

posted @ martedì 24 giugno 2008 21.19 | Feedback (0) | Filed Under [ Sicurezza ]

Business Planning Guide for Visual Basic 6.0 Applications

Su Microsoft Downloads trovate il documento Business Planning Guide for Visual Basic 6.0 Applications che contiene informazioni "non tecniche" sul futuro delle applicazioni VB6. Quello che faccio sempre notare a chi si "ostina" a continuare imperterrito con VB6 anche per applicazioni in continuo aggiornamento è questo: Runtime support is in place for Windows Vista and Windows Server 2008. There is no planned runtime support beyond Windows Vista and Windows Server 2008. Windows 64-bit applications (Windows Vista and Windows Server 2008) are also supported as runtime platforms. Be aware that Visual Basic 6.0 applications execute in the WOW layer; it...

posted @ martedì 20 maggio 2008 10.38 | Feedback (2) | Filed Under [ .NET: varie Sicurezza Windows Mobile ]

Lettere al Genio del Male: Il mio rapporto con Linux

Oggi ho ricevuto questo commento al post su Moonlight 1.0 per Linux: Puoi dire di avere provato "molte cose che riguardano il pinguino"? Evita di ostentare ignoranza parlando di argomenti che non conosci. Firmato, Gimmi "Pinguino permaloso" Ecco la mia risposta: Caro Gimmi "Pinguino permaloso", le mie prime esperienze con il mondo Unix/Linux/etc... risalgono a quando un mio amico (il mitico Alessandro che non sento dai tempi del Poli...) scaricò nel 1994 (se ricordo bene) una versione di NetBSD per Amiga, che poi mi ha passato su un nastro da 250Mb SCSI in formato Tar/Gzip (credo......

posted @ venerdì 16 maggio 2008 22.06 | Feedback (3) | Filed Under [ Community e amici Sicurezza ]

Perchè bisogna sempre inneggiare al complotto?

Al solito, basta una notizia come questa e subito c'è chi urla al complotto, alla backdoor, etc... etc... Al solito l'ignoranza la fa da padrone, perchè in molti casi non serve nessuna backdoor... ma solo normali tecniche già note e usate da tempo... mah...

posted @ venerdì 2 maggio 2008 22.40 | Feedback (0) | Filed Under [ Sicurezza ]

Provocazioni, gestione delle eccezioni, e usabilità...

Ieri ho letto il nuovo post del mio idolo intitolato Crash dummies: Resilience e la risposta del sempre grande Larry Osterman intitolata Resilience is not necessarily a good thing. Al solito i post di Eric, anzi di I.M.Wright (suo alterego...) sono molto provocativi e spesso portati agli estremi. La risposta di Larry invece è molto più tecnica, ed entra nei meccanismi della gestione delle eccezioni, del principio fail fast, etc... Secondo me come al solito la verità sta nel mezzo. Il primo post cerca di mettersi dalla parte dell'utente, il secondo dalla parte di chi sviluppa e deve considerare problematiche...

posted @ venerdì 2 maggio 2008 11.46 | Feedback (0) | Filed Under [ Sicurezza Architettura ]

Un COFEE molto speciale...

Si, non è un errore di scrittura, ma il Computer Online Forensic Evidence Extractor, la chiavetta USB "miracolosa" che Microsoft ha fornito alla polizia di diversi paesi del mondo, per aiutare nella raccolta di "prove" senza spegnere il PC. Fonte: Microsoft Builds USB Drive For Police

posted @ mercoledì 30 aprile 2008 15.20 | Feedback (1) | Filed Under [ Sicurezza ]

SDL Guidance disponibile per il download

La trovate qui: SDL Guidance

posted @ giovedì 10 aprile 2008 11.50 | Feedback (0) | Filed Under [ Sicurezza ]

La differenza tra LocalSystem e LocalService...

Spiegata con molta chiarezza. A volte vedo usare con troppa disinvoltura LocalSystem, mentre LocalService e NetworkService vengono spesso ignorati. Bisogna invece impararne pregi e difetti... ehm... i permessi di default. Trovate tutto qui: LocalSystem==root, LocalService==nobody

posted @ domenica 6 aprile 2008 19.22 | Feedback (0) | Filed Under [ Sicurezza Windows ]

Sempre a proposito di sicurezza...

E sempre dal post precedente di Paperino (ringrazio ogni giorno Mighell per avermi mostrato il suo blog): ...Qualche sedicente esperto di sicurezza va ancora affermando che "SQL Server è il Database per il quale lo scorso anno sono state trovate il maggior numero di vulnerabilità": He cited SQL Server as an example. "It had the most vulnerabilities last year of any commercial database, so scrutiny will do nothing but good for its security."(fonte). nonostante Jeff Jones dimostri, secunia alla mano, che il numero di vulnerabilità trovate da sempre per SQL 2005 sia stato 0 (e...

posted @ mercoledì 2 aprile 2008 8.48 | Feedback (8) | Filed Under [ Sicurezza ]

Non tutti i Safari riescono col buco... :-D

E' interessante seguire il resoconto di Paperino: ...Nel frattempo nel mondo dei bit e dei byte sono successe un bel po' di cose interessanti e a tratti divertenti: Apple segnala che è disponibile un aggiornamento (di sicurezza?) per iTunes; in realtà l'aggiornamento è Safari 3.1, il browser disegnato with security in mind. Quelli di Mozilla si inca**ano e senza misure etichettano Safari come malware e forse in fondo hanno ragione: Russinovich una volta disse, definendo il sistema di protezione di Sony come rootkit, che se sembra una papera, fa il verso di una papera e si...

posted @ mercoledì 2 aprile 2008 8.45 | Feedback (1) | Filed Under [ Sicurezza ]

Va bene il PC per niubbi...

Ma permettergli di collegarsi alla prima rete disponibile ed essere subito "massacrato" no... Disinstallato... assieme ad un bel po' di altre schifezze... Certo che quasi quasi facevo prima ad infilare il DVD di Vista e via... Se era il mio PC l'avrei fatto subito!!!

posted @ martedì 1 aprile 2008 21.36 | Feedback (1) | Filed Under [ Sicurezza ]

Grazie delle informazioni...

Manco fossimo in debug... peccato che è un sito pubblico molto famoso...

posted @ mercoledì 26 marzo 2008 20.45 | Feedback (0) | Filed Under [ Sicurezza ]

Easter Egg e sicurezza... quanta disinformazione

Stavo leggendo il post sul blog di Paolo Attivissimo sulle "sorpresine" presenti nei software più o meno famosi quando ho trovato questa frase: Volete un motivo in più per passare a OpenOffice.org o NeoOffice? Eccolo: i giochini integrati. Secondo me gli "Easter Egg" sono una pratica da evitare in software che vanno usati professionalmente. Viene fatta la review del codice degli "Easter Egg"? E se hanno dei bug? E se sono soggetti ad attacchi? Chi lo giustifica poi al committente? Non scherziamo per favore sulle cose serie, e smettiamo di incitare l'inserimento di cose nascoste, che possono piacere a...

posted @ martedì 25 marzo 2008 11.53 | Feedback (7) | Filed Under [ Sicurezza ]

Due splendidi post sulla sicurezza, SDL, le patch e il ciclo di vita dei prodotti

Bellissimi: Security is not all about Security Updates Securing Existing Code

posted @ martedì 18 dicembre 2007 10.13 | Feedback (0) | Filed Under [ Sicurezza ]

Con Vista non possiamo spacciarci... per SYSTEM...

Questo è il risultato su Vista con UAC attiva: Un altro caso di comportamento migliore rispetto a questo. Sicuri però che funzioni con un non-admin? Non ho XP per provare... Technorati Tags: Vista

posted @ giovedì 6 dicembre 2007 15.34 | Feedback (10) | Filed Under [ Sicurezza ]

Povero Kim... gli hanno "sfregiato" il sito...

Per fortuna ora è tutto a posto...

posted @ giovedì 1 novembre 2007 15.57 | Feedback (2) | Filed Under [ Sicurezza ]

XSSDetect BETA

Nuovo tool per Visual Studio 2005 per rilevare i potenziali punti deboli di un'applicazione Web relativamente al Cross Site Scripting.. XSSDetect is a static code analysis tool that helps identify Cross-Site Scripting security flaws found within Web applications. It is able to scan compiled managed assemblies (C#, Visual Basic .NET, J#) and analyze dataflow paths from sources of user-controlled input to vulnerable outputs. It also detects whether proper encoding or filtering has been applied to the data and will ignore such "sanitized" paths. Fonte: XSSDetect BETA

posted @ lunedì 22 ottobre 2007 22.06 | Feedback (0) | Filed Under [ .NET: varie Sicurezza Visual Studio ]

Per il TechEd stavo pensando ad iPIG

Che non è il soprannome di qualcuno, o qualche locale di Barcellona, ma è un software per criptare le comunicazioni via WiFi al volo, con anche la possibilità di usare un proprio server. Domani lo installo e vediamo come va... Nel frattempo ringrazio Tiziano Marmiroli (MVP Office System) per la segnalazione.

posted @ domenica 21 ottobre 2007 18.24 | Feedback (0) | Filed Under [ Community e amici Sicurezza TechEd ]

La fine degli Obfuscator?

Stavo leggendo alcune cose sulla .NET Code Protection, tramite la tecnologia chiamata Code Transformation e l'uso del Secure Virtual Machine Language per proteggere la proprietà intellettuale delle proprie applicazioni. Spero di riuscire a seguire questa sessione: SEC401 .NET Code Protection and Licensing Deep Dive for Developers - Aidan Hughes A technical deep dive into code protection for .NET applications. We will demonstrate the use of an advanced protection technique known as Code Transformation that is an irreversible transformation of MSIL into a unique and secure virtual language. The unique compiler for this language, the Secure Virtual Machine...

posted @ domenica 21 ottobre 2007 16.34 | Feedback (1) | Filed Under [ .NET: varie Sicurezza TechEd ]

Full Sicurezza Archive

Powered by: