Alfonso Maruccia

Heartbleed, il Web corre ai ripari

Il baco recentemente scoperto nella libreria OpenSSL getta mezza Internet nel panico. Migliaia i siti coinvolti, tra cui anche grossi nomi. In parecchi casi sarÓ necessario cambiare password per restare al sicuro

Heartbleed, il Web corre ai ripariIl senso del pericolo che Internet corre al momento a causa del baco nella libreria OpenSSL lo dà Bruce Schneier, esperto di sicurezza solitamente attento con le parole ma che non esita a definire Heartbleed (nome ufficiale del bug di cui sopra) un problema di livello "catastrofico".

A causa del baco, spiega Schneier, un malintenzionato o una gang di criminali possono "estrarre" 64 chilobyte di dati dalla memoria RAM di server vulnerabile compromettendo qualsiasi cosa, dalle chiavi private SSL alle password utente e tutto il resto. Il numero stimato di siti coinvolti nella "crisi" Heartbleed ammonta a mezzo milione, e Schneier evoca prevedibilmente la possibilità che il baco sia stato messo lì apposta dall'intelligence statunitense (la solita NSA) o da qualcun altro interessato a spiare l'intero mondo connesso. Probabilmente si tratta solo di un incidente, dice Schneier, ma al momento non ci sono prove né in un senso né nell'altro.

Tutti i lidi di Internet sono coinvolti nel problema per un motivo o per l'altro, spiegano gli esperti di sicurezza, e a peggiorare una situazione già delicata ci pensa il fatto che i potenziali attacchi non possono essere tracciati e quindi eventuali brecce nella sicurezza di siti anche importanti passano senza colpo ferire.
Come si esce dal tunnel di Heartbleed? I server dei siti vulnerabili (come Yahoo!) stanno procedendo all'aggiornamento a una (nuova) versione sicura di OpenSSL, mentre agli utenti di detti siti viene chiesto di cambiare la password quanto prima (come successo agli iscritti di Ars Technica).

Uno sviluppatore ha approntato un sito grazie al quale è possibile testare la presenza della falla su un nome di dominio, mentre LastPass rassicura sulla robustezza del proprio servizio e sul fatto che, grazie a layer di protezione aggiuntivi, la vulnerabilità in OpenSSL (che pure era presente sul server) non ha fatto danni. Insomma, Heartbleed è un problema da non sottovalutare: ma non è il caso di farsi prendere dal panico, e occorre valutare caso per caso come è meglio agire.

Alfonso Maruccia
Notizie collegate
  • SicurezzaIl cuore di OpenSSL sanguina per un bugUn pericolosa vulnerabilitÓ giÓ in circolazione da tempo mette fuori gioco le connessioni protette. Aggiornare Ŕ indispensabile, ma sarÓ opportuno anche purgare le chiavi di cifratura giÓ in circolazione
264 Commenti alla Notizia Heartbleed, il Web corre ai ripari
Ordina
  • ...il baco in questione è un baco di m*nkia, una di quelle stupidaggini che, se la fai tu ti verrebbe da dare testate al muro, se la fa qualcun'altro, ti verebbe da fustigarlo sulla pubblica piazza.

    Ok, ma siccome siamo esseri umani, sappiamo che gli esseri umani sbagliano e fidarsi della loro capacità di non sbagliare è illusorio. Quindi?

    Mettiamoci più occhi? Ok, si, più occhi sono meglio di meno occhi. Ma nel caso specifico un baco di m*nkia ha reso vulnerabbili parecchie installazioni di sistemi per circa due anni (e ci sono indizzi che sia già stato usato). Quindi, più occhi è una possibile soluzione, ma non è risolutiva.

    Altra soluzione, da programmatore, è intervenire sul processo di sviluppo. Cioè, nulla va in produzione senza avere un test di unità e i test si fanno non solo per verificare le situazioni aspettate, ma anche per verificare quelle inattese. Soprattutto su certo software mi sembrerebbe dovuto. Un bug di m*nkia del genere con qualche test si sarebbe potuto scoprire ed eliminare alla nascita.
    FDG
    10893
  • - Scritto da: FDG
    > ...il baco in questione è un baco di m*nkia, una
    > di quelle stupidaggini che, se la fai tu ti
    > verrebbe da dare testate al muro, se la fa
    > qualcun'altro, ti verebbe da fustigarlo sulla
    > pubblica piazza.

    > Ok, ma siccome siamo esseri umani, sappiamo che
    > gli esseri umani sbagliano e fidarsi della loro
    > capacità di non sbagliare è illusorio.
    > Quindi?

    > Mettiamoci più occhi? Ok, si, più occhi sono
    > meglio di meno occhi. Ma nel caso specifico un
    > baco di m*nkia ha reso vulnerabbili parecchie
    > installazioni di sistemi per circa due anni (e ci
    > sono indizzi che sia già stato usato). Quindi,
    > più occhi è una possibile soluzione, ma non è
    > risolutiva.

    > Altra soluzione, da programmatore, è intervenire
    > sul processo di sviluppo. Cioè, nulla va in
    > produzione senza avere un test di unità e i test
    > si fanno non solo per verificare le situazioni
    > aspettate, ma anche per verificare quelle
    > inattese. Soprattutto su certo software mi
    > sembrerebbe dovuto. Un bug di m*nkia del genere
    > con qualche test si sarebbe potuto scoprire ed
    > eliminare alla nascita.

    Ma di test automatici ne vengono fatti che io sappia, sia da privati che da universita', il problema e' che neanche questi test sono infallibili altrimenti nessun software avrebbe bug.

    Io proporrei di far programmare solo a Gesu' Cristo o ancor meglio a suo papa' (non quello adottivo) , mi dicono che era uno che faceva le cose per bene.
    krane
    22544
  • - Scritto da: krane
    > Io proporrei di far programmare solo a Gesu'
    > Cristo o ancor meglio a suo papa' (non quello
    > adottivo) , mi dicono che era uno che faceva le
    > cose per
    > bene.

    Rotola dal ridere

    sono caduto dalla sedia Rotola dal ridere
    non+autenticato
  • - Scritto da: krane

    > Ma di test automatici ne vengono fatti che io
    > sappia, sia da privati che da universita', il
    > problema e' che neanche questi test sono
    > infallibili altrimenti nessun software avrebbe
    > bug.

    Non so se parli di test fatti con strumenti che analizzano il comportamento del software dal "di fuori", ma io parlo di test di unità. Cioè, è sono gli sviluppatori a doverli fare. Anzi, definirli anche prima, come fase di progetto in cui si stabiliscono i requisiti di funzionalità e robustezza del software.
    FDG
    10893
  • - Scritto da: krane

    > Io proporrei di far programmare solo a Gesu'
    > Cristo o ancor meglio a suo papa' (non quello
    > adottivo) , mi dicono che era uno che faceva le
    > cose per
    > bene.

    Si, ma le faceva in fretta.
    Ci ha messo una settimana per un progetto di 15 miliardi di anni/uomo.
  • Altra soluzione.

    Togliere immediatamente ai sorci qualunque possibilità di interagire con i layer di sicurezza e la relativa navigazione.

    Ma subito, altrimenti chiudiamo baracca e burattini di questo frangente e stiamo tutti a menare con fessbook, uccellino e le arene di battlefield.

    PS: avete visto che praticamente tutti i siti bancari italiani sono stati coinvolti?
    maxsix
    8480
  • - Scritto da: maxsix
    > Altra soluzione.

    > Togliere immediatamente ai sorci qualunque
    > possibilità di interagire con i layer di
    > sicurezza e la relativa navigazione.

    Cacchio, la fine di osX !!!!
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: maxsix
    > > Altra soluzione.
    >
    > > Togliere immediatamente ai sorci qualunque
    > > possibilità di interagire con i layer di
    > > sicurezza e la relativa navigazione.
    >
    > Cacchio, la fine di osX !!!!

    Intanto mettiamo fine all'esistenza dei sorci.
    Poi vedremo il resto.
    maxsix
    8480
  • - Scritto da: maxsix
    > - Scritto da: krane
    > > - Scritto da: maxsix
    > > > Altra soluzione.

    > > > Togliere immediatamente ai sorci
    > > > qualunque possibilità di interagire con
    > > > i layer di sicurezza e la relativa
    > > > navigazione.

    > > Cacchio, la fine di osX !!!!

    > Intanto mettiamo fine all'esistenza dei sorci.
    > Poi vedremo il resto.

    Fai fai, contento te.
    Rotola dal ridere
    krane
    22544
  • Sviluppati pure tu il programma di crittazione, nessuno ti obbliga a usare quello open. Oh, ma forse sei troppo ignorante per riuscire a scrivere tale programma?
    non+autenticato
  • - Scritto da: maxsix
    > Altra soluzione.
    >
    > Togliere immediatamente ai sorci qualunque
    > possibilità di interagire con i layer di
    > sicurezza e la relativa
    > navigazione.

    Si certo Ms ed Apple insegnano in fatto di sicurezzaA bocca aperta

    > Ma subito, altrimenti chiudiamo baracca e
    > burattini di questo frangente e stiamo tutti a
    > menare con fessbook, uccellino e le arene di
    > battlefield.

    vai nessuno ti trattiene....

    > PS: avete visto che praticamente tutti i siti
    > bancari italiani sono stati
    > coinvolti?

    Accipicchia questi scrocconi miliardari,perchè non fanno una versione propria !!!
    Dicci dicci,quanto hanno sottratto i formidabili cracker ?
    non+autenticato
  • Visto che si parla di tanto software che usa OpenSSL, qualcuno ha una vaga idea di quale sia il software che usa le versioni incriminate? O dobbiamo ancora parlare di fumo?
    FDG
    10893
  • Non lo so, sono proprio un utonto. Newbie, inesperto Boh... Newbie, inesperto
    non+autenticato
  • - Scritto da: FDG
    > Visto che si parla di tanto software che usa
    > OpenSSL, qualcuno ha una vaga idea di quale sia
    > il software che usa le versioni incriminate? O
    > dobbiamo ancora parlare di
    > fumo?
    puoi iniziare a spulciare da qui macports.orgSorride

    ... cmq il vero danno e' l'attacco ai sw "client" che impiegano openssl... quelli sono molti di piu (OVVIAMENTE serve un "server" malicious dall'altra parte... )... una vera rotturaCon la lingua fuori
    non+autenticato
  • - Scritto da: FDG
    > Visto che si parla di tanto software che usa
    > OpenSSL, qualcuno ha una vaga idea di quale sia
    > il software che usa le versioni incriminate? O
    > dobbiamo ancora parlare di
    > fumo?

    Tutte e nessuna.
    I software che chiamano la libreria dipendono appunto da essa. Se la libreria è aggiornata bene altrimenti cicciaOcchiolino

    Se poi ci sono software che hanno compilato internamente le librerie beh, quello è un altro discorso.

    Heartbleed: la prova che l'opensource fa cagare.
    maxsix
    8480
  • - Scritto da: maxsix

    > Heartbleed: la prova che l'opensource fa cagare.

    http://www.theguardian.com/technology/2014/feb/25/...

    la prova che applez fa cagare Rotola dal ridere
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: maxsix
    >
    > > Heartbleed: la prova che l'opensource fa
    > cagare.
    >
    > http://www.theguardian.com/technology/2014/feb/25/
    >
    > la prova che applez fa cagare Rotola dal ridere

    E' stata fixata mesi fa e non abbiamo più di quei pensieri.
    Tu invece?

    Hai fatto il tuo mkdir mattiniero si?

    Heartbleed: la prova che l'opensource fa cagare.
    maxsix
    8480
  • - Scritto da: maxsix
    > - Scritto da: collione
    > > - Scritto da: maxsix
    > >
    > > > Heartbleed: la prova che l'opensource fa
    > > cagare.
    > >
    > >
    > http://www.theguardian.com/technology/2014/feb/25/
    > >
    > > la prova che applez fa cagare Rotola dal ridere
    >
    > E' stata fixata mesi fa e non abbiamo più di quei
    > pensieri.
    > Tu invece?
    >
    > Hai fatto il tuo mkdir mattiniero si?
    >
    > Heartbleed: la prova che l'opensource fa cagare.

    Se per un bug tutto il genere fa cagare, che cosa su questo mondo non lo fa ?

    Ehhhh amico ho sempre pensato fossi un po' come "Feet in the ground", o simile, che ogni volta che apre bocca gli esce depressione per il mondo di M da ogni poro...
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: maxsix
    > > - Scritto da: collione
    > > > - Scritto da: maxsix
    > > >
    > > > > Heartbleed: la prova che
    > l'opensource
    > fa
    > > > cagare.
    > > >
    > > >
    > >
    > http://www.theguardian.com/technology/2014/feb/25/
    > > >
    > > > la prova che applez fa cagare Rotola dal ridere
    > >
    > > E' stata fixata mesi fa e non abbiamo più di
    > quei
    > > pensieri.
    > > Tu invece?
    > >
    > > Hai fatto il tuo mkdir mattiniero si?
    > >
    > > Heartbleed: la prova che l'opensource fa
    > cagare.
    >
    > Se per un bug tutto il genere fa cagare, che cosa
    > su questo mondo non lo fa
    > ?
    >

    In nessuna parte del mondo moderno si usa la bandiera del tutto condiviso, del tutto per tutti e del tutto gratis. Nemmeno in Cina.

    E l'unico caso in cui questo accade, appunto l'opensorcio, vediamo i risultati.
    Elenchiamo:
    1) l'OS opensorcio più diffuso al mondo, Android, che è una groviera.
    2) il sistema SSL più diffuso al mondo che dopo 2 ANNI ci si accorge di essere una groviera di cui, e questo è GRAVISSIMO, non si conosce quali influssi ha avuto, chi ne ha approfittato per i suoi lerci comodi, chi in fin dei conti è RESPONSABILE di tutto questo.

    Quante dimostrazioni vogliamo ancora avere che il concetto di opensource come lo conosciamo oggi è fallace e dannoso per tutti?

    Quanti danni volete ancora fare?

    Speriamo veramente che qualcosa, qualunque cosa, cancelli definitivamente questa brutta pagina da questo mondo.
    -----------------------------------------------------------
    Modificato dall' autore il 11 aprile 2014 13.02
    -----------------------------------------------------------
    maxsix
    8480
  • - Scritto da: maxsix
    > - Scritto da: krane

    > > > Heartbleed: la prova che
    > > > l'opensource fa cagare.

    > > Se per un bug tutto il genere fa
    > > cagare, che cosa su questo mondo
    > > non lo fa ?

    > In nessuna parte del mondo moderno si usa la
    > bandiera del tutto condiviso, del tutto per
    > tutti e del tutto gratis. Nemmeno in Cina.

    Non capisco cosa tu intenda dire, si usa molto nel mondo universitario ad esempio....
    Mi sembra tu stia dicendo che siccome non tutti fanno i cuochi e nessuno passa l'intera giornata a mangiare, allora tanto vale smettere di mangiare anche quelle due volte al di'.

    > E l'unico caso in cui questo
    > accade, appunto l'opensorcio, vediamo
    > i risultati.
    > Elenchiamo:
    > 1) l'OS opensorcio più diffuso al mondo, Android,
    > che è una groviera.

    Se android e' una groviera allora dammi la definizione di windows 98, in cui bastava essere affacciati alla rete per prendersi un virus dai servizi di condivisione stampa aperti di default.

    > 2) il sistema SSL più diffuso al mondo che dopo 2
    > ANNI ci si accorge di essere una groviera di cui,
    > e questo è GRAVISSIMO, non si conosce quali
    > influssi ha avuto, chi ne ha approfittato per i
    > suoi lerci comodi, chi in fin dei conti è
    > RESPONSABILE di tutto questo.

    Perche' in caso di qualsiasi altro baco si sa chi sarebbe il responsabile ? Mi fai qualche esempio in cui si sappia ?

    > Quante dimostrazioni vogliamo ancora avere che il
    > concetto di opensource come lo conosciamo oggi è
    > fallace e dannoso per tutti ?

    Che e come dire, siccome ogni tanto qualcuno muore avvelenato allora tutti dovremmo smettere per sempre di mangiare.

    > Quanti danni volete ancora fare ?

    Sapessi, scommetto che tu non navigi da giorni per la paura di questo baco.

    > Speriamo veramente che qualcosa, qualunque
    > cosa, cancelli definitivamente questa brutta
    > pagina da questo mondo.

    Dai toni che usi direi che sei vicino al sucidio per questo baco, se vuoi posso incoraggiarti.
    krane
    22544
  • - Scritto da: maxsix
    > - Scritto da: collione
    > > - Scritto da: maxsix
    > >
    > > > Heartbleed: la prova che l'opensource fa
    > > cagare.
    > >
    > >
    > http://www.theguardian.com/technology/2014/feb/25/
    > >
    > > la prova che applez fa cagare Rotola dal ridere
    >
    > E' stata fixata mesi fa e non abbiamo più di quei
    > pensieri.
    > Tu invece?
    >
    > Hai fatto il tuo mkdir mattiniero si?
    >
    > Heartbleed: la prova che l'opensource fa cagare.

    dai, dicci un ssl a cui accedi, che vediamo quanto sei al sicuro.
    non+autenticato
  • - Scritto da: maxsix

    > E' stata fixata mesi fa e non abbiamo più di quei
    > pensieri.
    > Tu invece?
    >

    me l'haoo fixata a poche ore dalla scopertaA bocca aperta

    > Hai fatto il tuo mkdir mattiniero si?
    >

    hahahahaha sei così sconvolto dalla verità, che non riesci a scrivere niente di meglio? Rotola dal ridere

    > Heartbleed: la prova che l'opensource fa cagare.

    http://www.theguardian.com/technology/2014/feb/25/...

    la prova che applez fa cagare Rotola dal ridere
    non+autenticato
  • leggendo vari commenti, ho notato che moltissimi non hanno capito un fico secco riguardo le implicazioni della vulnerabilità di openssl

    l'amico tucumcari ha cercato di spiegarlo, ma vedo che i sordi sono parecchi

    siccome qua si chiedono sempre link, partiamo da qui http://heartbleed.com/

    "When it is exploited it leads to the leak of memory contents from the server to the client and from the client to the server"

    chiaro????

    i nostri amici macachi ( che si sentono invulnerabili ), farebbero meglio a pararsi il posteriore, perchè openssl è usatissima nel mondo closed ( grazie alla sua licenza bsd )

    i nostri amici winari, farebbero bene a considerare che la stessa ms prende a piene mani codice bsd ( è famoso il porting dello stack tcp/ip di freebsd su windows ), per cui sono altrettanto "screwed"

    ma vedo che il livello di molti commentatori è quello di terza elementare, per cui fa figo pensare che questa sia una vulnerabilità di linux e riguardi i cantinari/opensorciari/servi del piedi puzzosi

    il bello è che viste le capacità ( scarse ) di questi signori e la loro convinzione di essere invulnerabili, si ritroveranno bucati senza nemmeno saperlo
    non+autenticato
  • Non mi dire che sei sorpreso...
    non+autenticato
  • - Scritto da: Etype
    > Non mi dire che sei sorpreso...

    purtroppo no
    non+autenticato
  • - Scritto da: collione
    > leggendo vari commenti, ho notato che moltissimi
    > non hanno capito un fico secco riguardo le
    > implicazioni della vulnerabilità di
    > openssl
    >
    > l'amico tucumcari ha cercato di spiegarlo, ma
    > vedo che i sordi sono
    > parecchi
    >
    > siccome qua si chiedono sempre link, partiamo da
    > qui
    > http://heartbleed.com/
    >
    > "When it is exploited it leads to the leak of
    > memory contents from the server to the client and
    > from the client to the
    > server"
    >
    > chiaro????
    >
    > i nostri amici macachi ( che si sentono
    > invulnerabili ), farebbero meglio a pararsi il
    > posteriore, perchè openssl è usatissima nel mondo
    > closed ( grazie alla sua licenza bsd
    > )
    >
    > i nostri amici winari, farebbero bene a
    > considerare che la stessa ms prende a piene mani
    > codice bsd ( è famoso il porting dello stack
    > tcp/ip di freebsd su windows ), per cui sono
    > altrettanto
    > "screwed"
    >
    > ma vedo che il livello di molti commentatori è
    > quello di terza elementare, per cui fa figo
    > pensare che questa sia una vulnerabilità di linux
    > e riguardi i cantinari/opensorciari/servi del
    > piedi
    > puzzosi
    >
    > il bello è che viste le capacità ( scarse ) di
    > questi signori e la loro convinzione di essere
    > invulnerabili, si ritroveranno bucati senza
    > nemmeno
    > saperlo
    Come gli amici linari, per DUE anniA bocca aperta
    non+autenticato
  • - Scritto da: 2014

    > Come gli amici linari, per DUE anniA bocca aperta

    Beh, non solo loro. Direi anche loro.
    FDG
    10893
  • - Scritto da: collione

    > i nostri amici macachi ( che si sentono
    > invulnerabili ), farebbero meglio a pararsi il
    > posteriore, perchè openssl è usatissima nel mondo
    > closed ( grazie alla sua licenza bsd )

    Chi qui ha avuto atteggiamenti da Superman?

    Io mi ricordo certi post di iRoby, sul genere non ho mai avuto un problema e mi sento sicuro.

    Tanto per capire che l'atteggiamento da "io sso figo e tu no" qui non è ad appannaggio solo di una categoria. E oltre ai "buoni", "cattivi" e "pirla" ci sono pure gli "arroganti presuntuosi".

    Per il resto, personalmente ho già scritto che ad essere a rischio lo sono pure quelli che il computer non l'hanno mai usato.
    FDG
    10893
  • >
    > Chi qui ha avuto atteggiamenti da Superman?
    >
    Faccio lista?

    > Io mi ricordo certi post di iRoby, sul genere non
    > ho mai avuto un problema e mi sento
    > sicuro.
    >
    Già, mi scompiscio dal ridere solo a pensarci.

    > Tanto per capire che l'atteggiamento da "io sso
    > figo e tu no" qui non è ad appannaggio solo di
    > una categoria. E oltre ai "buoni", "cattivi" e
    > "pirla" ci sono pure gli "arroganti
    > presuntuosi".
    >

    E gli utonti.

    > Per il resto, personalmente ho già scritto che ad
    > essere a rischio lo sono pure quelli che il
    > computer non l'hanno mai
    > usato.

    Che sommati alle sure maria di turno è il lato più tragico di tutta questa storia.

    Io penso alle sura maria che hanno uno smartphone e con quello pilotano i loro conti correnti.

    Penso alle piccole aziende che fanno altrettanto.

    Penso al popolo che si trova con le proprie mutande in piazza senza avere ne arte ne parte ma avendo l'unica colpa di aver comprato uno smartphone da 100 euro o un PC a 400 euro.

    Penso alla gente normale che per noi addetti del settore è il nostro pane, è quella che ci da da vivere, è quella che fa si che noi esistiamo per assolvere ai loro bisogni.

    Penso che tutto questo sta dimostrando che l'IT non è per tutti, che certa gente non dovrebbe avere accesso a certe cose di pubblica utilità che ci deve essere un controllo sovrano in tutto questo.

    E la cosa ancora più brutta è che tutto quello che noi ai tempi pensavamo negli anni 90 e nei primi 2000 (e ci auguravamo non succedesse) si sta avverando inesorabilmente.
    -----------------------------------------------------------
    Modificato dall' autore il 10 aprile 2014 20.34
    -----------------------------------------------------------
    maxsix
    8480
  • - Scritto da: maxsix


    >
    > Penso alla gente normale che per noi addetti del
    > settore è il nostro pane, è quella che ci da da
    > vivere, è quella che fa si che noi esistiamo per
    > assolvere ai loro
    > bisogni.
    >
    > Penso che tutto questo sta dimostrando che l'IT
    > non è per tutti, che certa gente non dovrebbe
    > avere accesso a certe cose di pubblica utilità
    > che ci deve essere un controllo sovrano in tutto
    > questo.


    Scusa, quali sono le tue competenze informatiche?



    > E la cosa ancora più brutta è che tutto quello
    > che noi ai tempi pensavamo negli anni 90 e nei
    > primi 2000 (e ci auguravamo non succedesse) si
    > sta avverando
    > inesorabilmente.


    Noi chi? E che cosa si sta avverando?
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: maxsix
    >
    >
    > >
    > > Penso alla gente normale che per noi addetti del
    > > settore è il nostro pane, è quella che ci da da
    > > vivere, è quella che fa si che noi esistiamo per
    > > assolvere ai loro
    > > bisogni.
    > >
    > > Penso che tutto questo sta dimostrando che l'IT
    > > non è per tutti, che certa gente non dovrebbe
    > > avere accesso a certe cose di pubblica utilità
    > > che ci deve essere un controllo sovrano in tutto
    > > questo.
    >
    >
    > Scusa, quali sono le tue competenze informatiche?
    >

    Tante che non ne hai un'idea.

    >
    >
    > > E la cosa ancora più brutta è che tutto quello
    > > che noi ai tempi pensavamo negli anni 90 e nei
    > > primi 2000 (e ci auguravamo non succedesse) si
    > > sta avverando
    > > inesorabilmente.
    >
    >
    > Noi chi? E che cosa si sta avverando?

    Quello che stiamo vedendo.

    L'opensource autocontrollato da se stesso e autoreferenziale si sta sgretolando.

    Lo sapevamo allora, lo constatiamo adesso.
    maxsix
    8480
  • - Scritto da: maxsix
    > - Scritto da: ...
    > > - Scritto da: maxsix

    > > Scusa, quali sono le tue competenze
    > > informatiche?

    > Tante che non ne hai un'idea.

    Se questa e' la lista quindi sono zero.


    > > Noi chi? E che cosa si sta avverando?
    > Quello che stiamo vedendo.

    Cioe i soliti bachi che ogni tanto spuntano.

    > L'opensource autocontrollato da se stesso e
    > autoreferenziale si sta sgretolando.

    > Lo sapevamo allora, lo constatiamo adesso.

    Oggiusto cielo scappiamo ! Prima le donne e linus torvald !!!
    krane
    22544
  • - Scritto da: krane
    > Cioe i soliti bachi che ogni tanto spuntano.
    >

    "i soliti bachi" ?????

    ESTICAPZI ! Deluso
    non+autenticato
  • IIS non utilizza openssl e quindi non ha niente a che fare con questo bug.
    non+autenticato
  • - Scritto da: gino
    > IIS non utilizza openssl e quindi non ha niente a
    > che fare con questo
    > bug.
    E quindi se abbiamo windows server e IIS siamo tutti tranquilli?
    A bocca aperta
    o no?
    Newbie, inesperto
    non+autenticato
  • SI!
    OpenSSL non e' utilizzato nell'IIS
    non+autenticato
  • - Scritto da: Max
    > SI!
    > OpenSSL non e' utilizzato nell'IIS
    Ceertoooo! come no! e quindi quando ti connetti a yahoo (che almeno fino a ieri aveva il problema) non c'è problema no?
    Tanto neppure explorer usa openssl giusto?
    A bocca aperta
    o no?
    Newbie, inesperto
    non+autenticato
  • - Scritto da: tucumcari
    > - Scritto da: Max
    > > SI!
    > > OpenSSL non e' utilizzato nell'IIS
    > Ceertoooo! come no! e quindi quando ti connetti a
    > yahoo (che almeno fino a ieri aveva il problema)
    > non c'è problema
    > no?
    > Tanto neppure explorer usa openssl giusto?
    > A bocca aperta
    > o no?
    > Newbie, inesperto

    Che razzo stai dicendo? Rotola dal ridere
  • - Scritto da: sbrotfl
    > - Scritto da: tucumcari
    > > - Scritto da: Max
    > > > SI!
    > > > OpenSSL non e' utilizzato nell'IIS
    > > Ceertoooo! come no! e quindi quando ti
    > connetti
    > a
    > > yahoo (che almeno fino a ieri aveva il
    > problema)
    > > non c'è problema
    > > no?
    > > Tanto neppure explorer usa openssl giusto?
    > > A bocca aperta
    > > o no?
    > > Newbie, inesperto
    >
    > Che razzo stai dicendo? Rotola dal ridere
    Sto dicendo che anche se tu non sei affetto dal BUG non sei al sicuro perchè basta che ne sia affetto il server (o la controparte meglio) cui tu ti connetti.
    Mi pare semplice.
    A bocca aperta
    In altri termini se tu ti connettevi a YAHOO (che era "exploitabile") l'attaccante poteva leggere tranquillamente password chiave di sessione e tutti i dati che voleva anche se il tuo lato della connessione non era affetto dal bug!
    Con la lingua fuori
    non+autenticato
  • - Scritto da: tucumcari
    > - Scritto da: sbrotfl
    > > - Scritto da: tucumcari
    > > > - Scritto da: Max
    > > > > SI!
    > > > > OpenSSL non e' utilizzato nell'IIS
    > > > Ceertoooo! come no! e quindi quando ti
    > > connetti
    > > a
    > > > yahoo (che almeno fino a ieri aveva il
    > > problema)
    > > > non c'è problema
    > > > no?
    > > > Tanto neppure explorer usa openssl
    > giusto?
    > > > A bocca aperta
    > > > o no?
    > > > Newbie, inesperto
    > >
    > > Che razzo stai dicendo? Rotola dal ridere
    > Sto dicendo che anche se tu non sei affetto dal
    > BUG non sei al sicuro perchè basta che ne sia
    > affetto il server (o la controparte meglio) cui
    > tu ti
    > connetti.
    > Mi pare semplice.
    > A bocca aperta
    > In altri termini se tu ti connettevi a YAHOO (che
    > era "exploitabile") l'attaccante poteva leggere
    > tranquillamente password chiave di sessione e
    > tutti i dati che voleva anche se il tuo lato
    > della connessione non era affetto dal
    > bug!
    > Con la lingua fuori

    Si tutto bello, ma non c'entra nulla con windowsCon la lingua fuori
  • - Scritto da: sbrotfl

    > Si tutto bello, ma non c'entra nulla con windows
    >Con la lingua fuori
    Forse non ti è chiaro che non c'entra nulla con nessun OS è l'effetto di questo tipo di vulnerabilità che è "generalizzato" e quindi è subito da tutti a prescindere da quale OS usano!
    non+autenticato
  • - Scritto da: tucumcari

    > Forse non ti è chiaro che non c'entra nulla con
    > nessun OS è l'effetto di
    > questo tipo di vulnerabilità che è
    > "generalizzato" e quindi è subito da
    > tutti
    a prescindere da quale OS
    > usano!

    Se è per questo, anche chi non usa un computer ha potenzialmente problemi con quesot bugA bocca aperta

    Dai... fatti 'na passeggiata
    FDG
    10893
  • - Scritto da: FDG
    > - Scritto da: tucumcari
    >
    > > Forse non ti è chiaro che non c'entra nulla
    > con
    >
    > > nessun OS è l'effetto
    > di
    > > questo tipo di vulnerabilità che è
    > > "generalizzato" e quindi è subito
    > da
    > > tutti
    a prescindere da quale OS
    > > usano!
    >
    > Se è per questo, anche chi non usa un computer ha
    > potenzialmente problemi con quesot bug
    >A bocca aperta

    Certo è esattamente così
    Sai dimostrare il contrario?
    non+autenticato
  • - Scritto da: tucumcari

    > > Se è per questo, anche chi non usa un computer ha
    > > potenzialmente problemi con quesot bug
    > >A bocca aperta
    >
    > Certo è esattamente così
    > Sai dimostrare il contrario?

    E perché dovrei visto che ho affermato che è così?

    Da quale universo vieni?
    Ma dove ti hanno insegnato la logica?
    FDG
    10893
  • Fantastoria:
    Guardacaso la notizia appare proprio al termine del supporto di XP... Che sia un incentivo all'acquisto di una nuova versione?
    "Guarda che XP non è protetto proprio a partire da questa falla, che aspetti a comprare Win8?"
  • - Scritto da: _bubu_
    > Fantastoria:
    > Guardacaso la notizia appare proprio al termine
    > del supporto di XP... Che sia un incentivo
    > all'acquisto di una nuova
    > versione?
    > "Guarda che XP non è protetto proprio a partire
    > da questa falla, che aspetti a comprare
    > Win8?"

    ma che dici? windows non c'entra nulla, essendo un problema dei server...
  • - Scritto da: il signor rossi
    > - Scritto da: _bubu_
    > > Fantastoria:
    > > Guardacaso la notizia appare proprio al termine
    > > del supporto di XP... Che sia un incentivo
    > > all'acquisto di una nuova
    > > versione?
    > > "Guarda che XP non è protetto proprio a partire
    > > da questa falla, che aspetti a comprare
    > > Win8?"
    >
    > ma che dici? windows non c'entra nulla, essendo
    > un problema dei
    > server...
    Cioè tu credi che la questione riguardi solo il rapporto HTTPS/Browser?
    Non è così.
    "server" è la parola sbagliata in questo caso.
    Il problema è il listner, che può coincidere o meno con un "server" in molti casi come ad esempio openvpn puoi svolgere sia il ruolo di "listner" che di "talker" dipende tutto dalla applicazione.
    non+autenticato
  • - Scritto da: tucumcari

    > Cioè tu credi che la questione riguardi solo il
    > rapporto HTTPS/Browser?

    Si, abbiamo capito che vuoi fare il filosofo. Ma dal punto di vista del mero codice, il sistema operativo di Microsoft, quell'azienda che ha sede a Seattle (hai presente?), almeno con questo buco non ha avuto a che fare. Ha avuto molti altri problemi, ma non questo.

    Non te ne frega nulla? E allora non rispondere e occupati d'altro.
    FDG
    10893
  • - Scritto da: FDG
    > - Scritto da: tucumcari
    >
    > > Cioè tu credi che la questione riguardi solo
    > il
    > > rapporto HTTPS/Browser?
    >
    > Si, abbiamo capito che vuoi fare il filosofo. Ma
    > dal punto di vista del mero codice, il sistema
    > operativo di Microsoft, quell'azienda che ha sede
    > a Seattle (hai presente?), almeno con questo buco
    > non ha avuto a che fare.

    Con questo buco DICE che non ha avuto niente a che fare.
    E tu non puoi fare altro che fidarti visto che non ci sono possibilita' di controllo.
    Oppure puoi basarti sulla statistica di 20 anni di dichiarazioni di M$ dimostratesi balle colossali, e affrontare la questione da un punto di vista statistico: che probabilita' c'e' che sia vera la dichiarazione di M$ di non avere a che fare?

    > Ha avuto molti altri
    > problemi, ma non questo.

    Mi piacerebbe essere ottimista e fiducioso come te.
    Qual e' il tuo segreto?

    > Non te ne frega nulla? E allora non rispondere e
    > occupati d'altro.

    E' un forum questo.
    Diamo spazio a tutte le opinioni: concediamo di esprimersi a gente come ruppolo e leguleio, perche' lui no?
  • - Scritto da: _bubu_
    > Fantastoria:
    > Guardacaso la notizia appare proprio al termine
    > del supporto di XP... Che sia un incentivo
    > all'acquisto di una nuova
    > versione?
    > "Guarda che XP non è protetto proprio a partire
    > da questa falla, che aspetti a comprare
    > Win8?"

    Sono sicuro che hai ragione!!!
    Anzi... se ci fate caso, dentro la parola Heartbleed compaiono 3 E!
    Non ci sono dubbi.... HALF LIFE 3 CONFIRMED!
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 12 discussioni)