Alfonso Maruccia

Heartbleed, la gestione della crisi e le patch

Il baco di OpenSSL continua a essere al centro della scena tra allarmi e preoccupazioni, annunci di patch e bollettini che elencano i prodotti vulnerabili. Tutti sono coinvolti, chi più chi meno, e tutti hanno qualcosa da dire a riguardo

Roma - Continua la crisi di Heartbleed, il bug "catastrofico" nella libreria OpenSSL che ha gettato mezza Internet nel panico e che ora ha anche la sua striscia illustrata su xkcd: "è stato un incidente", confessa il programmatore Robin Seggelmann a cui va imputato il codice sorgente che in definitiva ha portato alla comparsa del baco.

Il problema nasce da una "mancata validazione di una variabile contenente una lunghezza", ha spiegato Seggelmann, e il fatto che il codice fosse stato visionato da altri sviluppatori prima di essere integrato in OpenSSL non è servito a individuare il potenziale problema e quindi a scongiurare la presente crisi telematica mondiale. In altre parole, alla richiesta di informazioni seguita da un valore arbitrario di bit, il sistema rispondeva con l'informazione richiesta e tutto quanto veniva dopo per la lunghezza della stringa specificata: OpenSSL parlava troppo, e potrebbe aver spifferato informazioni preziose agli interlocutori sbagliati.

Nel frattempo i ricercatori scandagliano il Web alla ricerca di potenziali sistemi vulnerabili, individuando centinaia di migliaia di server e dispositivi contenenti il codice fallato. EFF continua a investigare il possibile coinvolgimento dell'intelligence statunitense nell'uso della falla a scopo di tecnocontrollo, anche se al momento risposte definitive in merito non ce ne sono.
Le grandi corporation con importanti presenze in Rete hanno naturalmente detto la loro su Heartbleed, rassicurando gli utenti con diversi livelli di certezza: Microsoft sostiene di essere immune (su Azure fanno eccezione i clienti che usano Linux) dalla falla, altrettanto fa Apple (su iOS, OS X e server), mentre Google ammette di essere vulnerabile ma di aver già provveduto a chiudere il bug nei sistemi essenziali come Gmail, Search, YouTube ecc.

I contraccolpi di Heartbleed si fanno sentire anche sulle autorità finanziarie ed economiche nei paesi più Internet-friendly come il Canada, dove i servizi di denuncia delle tasse online sono stati bloccati dalla Canada Revenue Agency in attesa di ripristinare la sicurezza. Negli USA interviene il Federal Financial Institutions Examination Council (FFIEC) che avverte le banche e gli istituti finanziari circa il pericolo.

LastPass, uno dei servizi di alto profilo affetti da Heartbleed ha rafforzato la sicurezza per gli utenti - che comunque non è mai stata realmente a rischio, sostiene la società - e ora mette a disposizione un tool per verificare la presenza del bug su un dominio Web. La questione si fa invece più complicata per Cisco e Juniper, visto che per entrambe i produttori di apparati si parla di una nutrita lista di dispositivi e servizi vulnerabili. Non resta che attendere le apposite patch, per questi sistemi, per vedere arginato questo fronte.

Quanto è realmente grave il rischio posto da Heartbleed? Il blog Freedom to Tinker interviene sulla questione nel tentativo di riportare la discussione dall'hype alla realtà, suddividendo i rischi in tre diverse categorie (aziende di medie dimensioni, dispositivi che usano OpenSSL fuori dai server Web e dispositivi embedded) e fornendo una serie di consigli ragionevoli post-apocalisse: lo stato delle cose va studiato a fondo ma è improbabile che tutte le password e tutte le chiavi private SSL/TLS siano state rubate dai cyber-criminali o dalla NSA, spiega Jeremy Epstein. Dunque un cambio di password, procedura da svolgere sempre e comunque periodicamente, è salutare: ma non è il caso di gridare (già) alla tragedia planetaria, pur dovendo prendere molto sul serio quanto accaduto.

Alfonso Maruccia
Notizie collegate
  • AttualitàHeartbleed, il Web corre ai ripariIl baco recentemente scoperto nella libreria OpenSSL getta mezza Internet nel panico. Migliaia i siti coinvolti, tra cui anche grossi nomi. In parecchi casi sarà necessario cambiare password per restare al sicuro
194 Commenti alla Notizia Heartbleed, la gestione della crisi e le patch
Ordina
  • - Scritto da: Ogekury
    > Secondo me i contributors di openssl hanno gia'
    > lasciato le proprie case per la paura

    Veramente c'e' un'intervista in giro.
    non+autenticato
  • - Scritto da: Passante
    > - Scritto da: Ogekury
    > > Secondo me i contributors di openssl hanno
    > gia'
    > > lasciato le proprie case per la paura
    >
    > Veramente c'e' un'intervista in giro.

    Si c'e' l'intervista a Seggelmann che dice che ha fatto una cac**a, punto.
    non+autenticato
  • - Scritto da: Ogekury
    > - Scritto da: Passante
    > > - Scritto da: Ogekury
    > > > Secondo me i contributors di openssl
    > hanno
    > > gia'
    > > > lasciato le proprie case per la paura
    > >
    > > Veramente c'e' un'intervista in giro.
    >
    > Si c'e' l'intervista a Seggelmann che dice che ha
    > fatto una cac**a,
    > punto.

    Il diritto parla chiaro da questo punto di vista.
    Se il comportamento è legale o lecito ma arreca danno verso terzi il danno viene comunque riconosciuto.
    E non c'è nessuna discussione in merito da fare.
    maxsix
    9374
  • - Scritto da: maxsix
    > - Scritto da: Ogekury
    > > - Scritto da: Passante
    > > > - Scritto da: Ogekury
    > > > > Secondo me i contributors di
    > openssl
    > > hanno
    > > > gia'
    > > > > lasciato le proprie case per la
    > paura
    > > >
    > > > Veramente c'e' un'intervista in giro.
    > >
    > > Si c'e' l'intervista a Seggelmann che dice
    > che
    > ha
    > > fatto una cac**a,
    > > punto.
    >
    > Il diritto parla chiaro da questo punto di vista.
    > Se il comportamento è legale o lecito ma arreca
    > danno verso terzi il danno viene comunque
    > riconosciuto.
    > E non c'è nessuna discussione in merito da fare.

    E avanti, forse non ti entra il concetto che le librerie sono open source e piu' meramente "gratis", per cui la responsabilita' dell'uso e' tutta dell'utilizzatore. La GPL parla chiaro,

    we want to make certain that everyone understands that there is no warranty for this free software    

    Lui nell'intervista dice anche che ha riconosciuto l'errore 3 anni fa e l'ha subito fatto notare, per cui dubito anche la malafede che vogliono attribuirgli i soliti "gomblottari" di turno
    non+autenticato
  • - Scritto da: maxsix
    > - Scritto da: Ogekury
    > > - Scritto da: Passante
    > > > - Scritto da: Ogekury
    > > > > Secondo me i contributors di
    > openssl
    > > hanno
    > > > gia'
    > > > > lasciato le proprie case per la
    > paura
    > > >
    > > > Veramente c'e' un'intervista in giro.
    > >
    > > Si c'e' l'intervista a Seggelmann che dice
    > che
    > ha
    > > fatto una cac**a,
    > > punto.
    >
    > Il diritto parla chiaro da questo punto di vista.
    > Se il comportamento è legale o lecito ma arreca
    > danno verso terzi il danno viene comunque
    > riconosciuto.
    > E non c'è nessuna discussione in merito da fare.
    Quantifica i danni verso terzi (REALI, non PRESUNTI) causati da questo bug.
    E poi ne riparliamo.
    Perche' (e questo, a quanto pare, VOLUTAMENTE ti "sfugge") questa roba e' stata sfruttata FORSE due volte da quando esiste, ed entrambe le volte DOPO che il bug e' stato pubblicato.
    Tradotto: in the wild non se l'e' filato nessuno, perche' NESSUNO L'HA SCOVATO, per due anni.
    Poi continua pure a blaterare di danni da chiedere e idiozie simili.
    non+autenticato
  • - Scritto da: Ogekury
    > > No perché, se questa cosa passa con
    > l'impunità
    > > allora anche il sottoscritto si adeguerà
    > > eh.
    > > Sappiatelo.
    >
    > Stai minacciando??
    > Secondo me ci sono tutti i contributors delle
    > librerie openssl che si stanno cacando nelle
    > mutande.

    Avrebbero il motivo invero.
    Tu credi che organizzazioni bancarie e commerciali a livello mondiale staranno zitte zitte e incasseranno nel silenzio i danni arrecati da 4 sgherri?

    Non credo proprio, anzi, mi stupirei veramente se ciò accadesse.

    >Ohh no maximino si e' arrabbiato,
    > andiamo tutti in costa rica a
    > nasconderci...

    Ah sto solo dicendo che se loro saranno impuniti per una catastrofe colposa di queste dimensioni allora anche il sottoscritto si adeguerà e riposizionerà i paletti di impunità.
    maxsix
    9374
  • - Scritto da: maxsix
    > - Scritto da: Ogekury
    > > > No perché, se questa cosa passa con
    > > l'impunità
    > > > allora anche il sottoscritto si adeguerà
    > > > eh.
    > > > Sappiatelo.
    > >
    > > Stai minacciando??
    > > Secondo me ci sono tutti i contributors delle
    > > librerie openssl che si stanno cacando nelle
    > > mutande.
    >
    > Avrebbero il motivo invero.
    > Tu credi che organizzazioni bancarie e
    > commerciali a livello mondiale staranno zitte
    > zitte e incasseranno nel silenzio i danni
    > arrecati da 4
    > sgherri?
    >
    > Non credo proprio, anzi, mi stupirei veramente se
    > ciò
    > accadesse.
    >
    > >Ohh no maximino si e' arrabbiato,
    > > andiamo tutti in costa rica a
    > > nasconderci...
    >
    > Ah sto solo dicendo che se loro saranno impuniti
    > per una catastrofe colposa di queste dimensioni
    > allora anche il sottoscritto si adeguerà e
    > riposizionerà i paletti di
    > impunità.
    SI che passera' inpunita. Sono librerie opensource, se le adotti ti prendi anche i rischi. Se non hai voglia di controllarle e ti va di usarle a scrocco senza nemmeno prenderti la briga di mettere una toppa ad un bug "addressed" nel 2011 sono fatti tuoi. No non se la stanno facendo sotto, e specialmente non se la stanno facendo sotto perche' lo dici tu. Il responsabile oltretutto si conosce gia' e si chiama Robin Seggelmann e se il software non fosse stato open source quel buco sarebbe rimasto li e sfruttabile da chiunque fino al momento in cui il padrone del vapore non si fosse accorto della "cappella"
    non+autenticato
  • - Scritto da: Ogekury
    > - Scritto da: maxsix
    > > - Scritto da: Ogekury
    > > > > No perché, se questa cosa passa con
    > > > l'impunità
    > > > > allora anche il sottoscritto si
    > adeguerà
    > > > > eh.
    > > > > Sappiatelo.
    > > >
    > > > Stai minacciando??
    > > > Secondo me ci sono tutti i contributors
    > delle
    > > > librerie openssl che si stanno cacando
    > nelle
    > > > mutande.
    > >
    > > Avrebbero il motivo invero.
    > > Tu credi che organizzazioni bancarie e
    > > commerciali a livello mondiale staranno zitte
    > > zitte e incasseranno nel silenzio i danni
    > > arrecati da 4
    > > sgherri?
    > >
    > > Non credo proprio, anzi, mi stupirei
    > veramente
    > se
    > > ciò
    > > accadesse.
    > >
    > > >Ohh no maximino si e' arrabbiato,
    > > > andiamo tutti in costa rica a
    > > > nasconderci...
    > >
    > > Ah sto solo dicendo che se loro saranno
    > impuniti
    > > per una catastrofe colposa di queste
    > dimensioni
    > > allora anche il sottoscritto si adeguerà e
    > > riposizionerà i paletti di
    > > impunità.
    > SI che passera' inpunita. Sono librerie
    > opensource, se le adotti ti prendi anche i
    > rischi. Se non hai voglia di controllarle e ti va
    > di usarle a scrocco senza nemmeno prenderti la
    > briga di mettere una toppa ad un bug "addressed"
    > nel 2011 sono fatti tuoi. No non se la stanno
    > facendo sotto, e specialmente non se la stanno
    > facendo sotto perche' lo dici tu. Il responsabile
    > oltretutto si conosce gia' e si chiama Robin
    > Seggelmann e se il software non fosse stato open
    > source quel buco sarebbe rimasto li e sfruttabile
    > da chiunque fino al momento in cui il padrone del
    > vapore non si fosse accorto della
    > "cappella"

    In punta di diritto so bene che hai ragione.
    Ma tu credi veramente che quelle lobby, quei mostri economici, se ne staranno zitti e in silenzio?
    Tu credi veramente che quella gente li permetterà che ciò che è accaduto con heartbleed oggi potrà ripetersi in altro modo domani?
    Tu credi veramente che chi ha fatto sto casino non verrà in qualche modo punito (e ci sono molti modi per punire le persone, non solo metterli dietro alle sbarre).

    Io no.
    Tu liberissimo.
    maxsix
    9374
  • - Scritto da: maxsix
    > - Scritto da: Ogekury
    > > - Scritto da: maxsix
    > > > - Scritto da: Ogekury
    > > > > > No perché, se questa cosa
    > passa
    > con
    > > > > l'impunità
    > > > > > allora anche il sottoscritto
    > si
    > > adeguerà
    > > > > > eh.
    > > > > > Sappiatelo.
    > > > >
    > > > > Stai minacciando??
    > > > > Secondo me ci sono tutti i
    > contributors
    > > delle
    > > > > librerie openssl che si stanno
    > cacando
    > > nelle
    > > > > mutande.
    > > >
    > > > Avrebbero il motivo invero.
    > > > Tu credi che organizzazioni bancarie e
    > > > commerciali a livello mondiale staranno
    > zitte
    > > > zitte e incasseranno nel silenzio i
    > danni
    > > > arrecati da 4
    > > > sgherri?
    > > >
    > > > Non credo proprio, anzi, mi stupirei
    > > veramente
    > > se
    > > > ciò
    > > > accadesse.
    > > >
    > > > >Ohh no maximino si e' arrabbiato,
    > > > > andiamo tutti in costa rica a
    > > > > nasconderci...
    > > >
    > > > Ah sto solo dicendo che se loro saranno
    > > impuniti
    > > > per una catastrofe colposa di queste
    > > dimensioni
    > > > allora anche il sottoscritto si
    > adeguerà
    > e
    > > > riposizionerà i paletti di
    > > > impunità.
    > > SI che passera' inpunita. Sono librerie
    > > opensource, se le adotti ti prendi anche i
    > > rischi. Se non hai voglia di controllarle e
    > ti
    > va
    > > di usarle a scrocco senza nemmeno prenderti
    > la
    > > briga di mettere una toppa ad un bug
    > "addressed"
    > > nel 2011 sono fatti tuoi. No non se la stanno
    > > facendo sotto, e specialmente non se la
    > stanno
    > > facendo sotto perche' lo dici tu. Il
    > responsabile
    > > oltretutto si conosce gia' e si chiama Robin
    > > Seggelmann e se il software non fosse stato
    > open
    > > source quel buco sarebbe rimasto li e
    > sfruttabile
    > > da chiunque fino al momento in cui il
    > padrone
    > del
    > > vapore non si fosse accorto della
    > > "cappella"
    >
    > In punta di diritto so bene che hai ragione.
    > Ma tu credi veramente che quelle lobby, quei
    > mostri economici, se ne staranno zitti e in
    > silenzio?
    > Tu credi veramente che quella gente li permetterà
    > che ciò che è accaduto con heartbleed oggi potrà
    > ripetersi in altro modo
    > domani?
    > Tu credi veramente che chi ha fatto sto casino
    > non verrà in qualche modo punito (e ci sono molti
    > modi per punire le persone, non solo metterli
    > dietro alle
    > sbarre).
    >
    > Io no.
    > Tu liberissimo.

    Essendo un dev indipendente sono quasi sicuro che allo zio tedesco non succedera' proprio nulla, d'altronde loro le librerie le hanno fatte, poi se le adotti sono affaracci tuoi.
    Magari invece i suddetti "grandi" impareranno a testare le librerie che decidono di utilizzare al posto di sbandierare le solite parolone sulla sicurezza dei propri sistemi, facendosi belli di fronte a potenziali clienti ma in realta' sfruttando il lavoro d'altri a babbo morto.
    non+autenticato
  • quei mostri economici vivono da decenni con bug, violazioni, atm bucati, grazie al bugware microsoft

    non hanno mai detto nulla e non diranno nulla stavolta

    del resto non esiste nessuna legge che implichi la responsabilità civile o penale per i danni derivanti da bug del software
    non+autenticato
  • Sento dire da più parti che è il modello opensource quello scarso o a finire in cattiva luce in questa vicenda...

    Ma a ben pensare la libreria in oggetto è distribuita con licenza BSD e da molti soggetti come Cisco è stata presa senza troppi complimenti e riutilizzata così com'era senza troppi complimenti.

    Non è un fallimento dell'opensource. È ancora un fallimento del sistema mercatista, del profitto a tutti i costi.

    Programmatori stipendiati che hanno garantita una vita dignitosa, e lasciati liberi di collaborare ai vari progetti, faranno un lavoro egregio, aiutati da altri migliaia di altri programmatori nel resto del mondo aiquali viene garantito lo stesso trattamento nella propria società e paese di appartenenza.

    Il mercatismo da solo fallisce. L'opensource hobbistico da solo fallisce.
    Un connubio che garantisca stipendio e vita dignitosa, insieme ad opensource, può essere la soluzione migliore.
    iRoby
    7608
  • - Scritto da: iRoby
    > Sento dire da più parti che è il modello
    > opensource quello scarso o a finire in cattiva
    > luce in questa
    > vicenda...
    >
    > Ma a ben pensare la libreria in oggetto è
    > distribuita con licenza BSD e da molti soggetti
    > come Cisco è stata presa senza troppi complimenti
    > e riutilizzata così com'era senza troppi
    > complimenti.
    >
    > Non è un fallimento dell'opensource. È
    > ancora un fallimento del sistema mercatista, del
    > profitto a tutti i
    > costi.
    Che coraggio... Deluso
    non+autenticato
  • Quante volte ho letto frasi del tipo "il codice open source può essere letto da tutti quindi è più sicuro".

    DUE ANNI prima che qualcuno si accorga che un codice aperto a tutti contiene un banale errore di programmazione?

    Quando "tutti" sono QUATTRO PERSONE che lavorano part time su un progetto, questi sono i risultati.

    I risultati sono che, a parte il criminale informatico di turno, se la NSA ha sfruttato tale falla ora potrebbe disporre di tutto il traffico protetto degli utenti Google (Androidi in primis) in chiaro. Quanto traffico? Certamente l'ultimo o gli ultimi 2 anni, visto che è assodato che NSA ha raccolto TUTTO il traffico che passa per le dorsali.

    Comunque anche se fortunatamente non fosse successo nulla, abbiamo corso un rischio enorme: nei byte in più di risposta possono esserci nel migliore dei casi gli ID di sessione o gli username e password, nel peggiore dei casi la chiave SSL.

    L'open source non è migliore del closed source, perché si scontra con la pigrizia umana e la poca voglia di investire soldi dove non c'è un ritorno immediato. La qualità è una chimera, nel mondo open.
    ruppolo
    33147
  • - Scritto da: ruppolo
    > Quante volte ho letto frasi del tipo "il codice
    > open source può essere letto da tutti quindi è
    > più
    > sicuro".

    Quante volte ti sei chiesto che differenza c'è tra "potenziale" e "certo"?
  • Gli errori ci sono/saranno sempre.
    Le procedure di controllo piú sofisticate continueranno ad individuarne la maggior parte ma non tutti. (Si applica anche in tal caso la "legge" 80/20)
    Semplicemente non é economico considerare tutti i casi/gli stati/le variabili.


    Ma vuoi mettere... essere semplicemnte liberi di provare qualcosa che il codice non si aspetta é senza prezzo.
    Poi tu paga pure il tuo software, nessuno te lo vieta.
    Solo non conforndere il pagare con l'ottenere di conseguenza la certezza della sicurezza. Quella non c'é.
    non+autenticato
  • nel closed source questa falla non sarebbe saltata fuori neanche fra 10 anni, con buona pace dei tuoi amici dell'NSA che hanno libero accesso al tuo account icloud
    non+autenticato
  • Guarda che apple ha semplicemente affermato

    “Apple takes security very seriously. IOS and OS X never incorporated the vulnerable software and key Web-based services were not affected,”

    http://recode.net/2014/04/10/apple-says-ios-osx-an.../

    Mica ha affermato che le sue librerie di sicurezza sono 100% esenti da bugs... anzi:

    "Apple uses different SSL/TLS libraries called SecureTransport, which was hit by its own very serious bug in February — though it wasn't quite as dangerous as Heartbleed."

    http://www.zdnet.com/apples-ios-os-x-dont-have-hea.../

    Ora é chiaro che i 2 problemi hanno ordini di grandezza diversi, vista la differente diffusione. Ma da qui a farne una battaglia contro l'open source... certo assumere atteggiamenti da tifosi non é la soluzione.
    non+autenticato
  • Certo che tu sei intelligente...

    Una libreria con licenza BSD, arraffata ed utilizzata a scopo di lucro senza contributo e senza riconoscerne i meriti, senza investire nel suo miglioramento, è vittima di un bug, per me è una punizione proprio per il sistema closed e l'avarizia delle aziende.

    Pensa MacOSX è tutto un "furto" del mondo BSD, preso infiocchettato e rivenduto a te pieno zeppo di backdoor NSA e chissà quanti e quali bug...
    iRoby
    7608
  • Ma no... iRoby, sono features!!!
    non+autenticato
  • - Scritto da: ruffolo
    > Ma no... iRoby, sono features!!!

    dal punto di vista della NSA è così infattiA bocca aperta
    non+autenticato
  • - Scritto da: iRoby
    > Certo che tu sei intelligente...
    >
    > Una libreria con licenza BSD, arraffata ed
    > utilizzata a scopo di lucro senza contributo e
    > senza riconoscerne i meriti, senza investire nel
    > suo miglioramento, è vittima di un bug, per me è
    > una punizione proprio per il sistema closed e
    > l'avarizia delle
    > aziende.
    >

    Cosa?
    Avete chiesto qualcosa?
    Avete proposto qualcosa?
    Volete che vi sia donato qualcosa di diritto?

    Ascolta icoso c'è la porta della dimensione parallela di Fringe la, varcala, chissà ce di la trovi un mondo che ragioni secondo la tua mente.

    > Pensa MacOSX è tutto un "furto" del mondo BSD,
    > preso infiocchettato e rivenduto a te pieno zeppo
    > di backdoor NSA e chissà quanti e quali
    > bug...

    Apple ci penserà. Quando per molto meno ha sbagliato ha sistemato e risarcito chi di dovere.
    Questo è professionismo.

    Voi, ora, per risarcire tutti i danni fatti e potenziali con Heartbleed fate una colletta in un conto corrente dell'ONU?
    Fate un harakiri di massa?
    Vi costituite?

    No perché, se questa cosa passa con l'impunità allora anche il sottoscritto si adeguerà eh.
    Sappiatelo.
    maxsix
    9374
  • > Voi, ora, per risarcire tutti i danni fatti e
    > potenziali con Heartbleed fate una colletta in un
    > conto corrente
    > dell'ONU?

    No, ti ridiamo i soldi che hai pagato per il programma (cioè zero)



    > No perché, se questa cosa passa con l'impunità
    > allora anche il sottoscritto si adeguerà
    > eh.
    > Sappiatelo.

    In che modo ti adeguerai, andandotene per sempre? MAGARI!
    non+autenticato
  • Intanto si scopre ieri che un bug consente (o ha consentito) a qualsiasi utente o malware/worm (o da un overflow con shell injection da una qualsiasi applicazione) di diventare root su Mac.

    Apple Mac OS X Lion Kernel <= xnu-1699.32.7 except xnu-1699.24.8 NFS Mount - Privilege Escalation Exploit

    http://www.exploit-db.com/exploits/32813/

    Rotola dal ridere
    non+autenticato
  • - Scritto da: Ben
    > Intanto si scopre ieri che un bug consente (o ha
    > consentito) a qualsiasi utente o malware/worm (o
    > da un overflow con shell injection da una
    > qualsiasi applicazione) di diventare root su
    > Mac.
    >
    > Apple Mac OS X Lion Kernel <= xnu-1699.32.7
    > except xnu-1699.24.8 NFS Mount - Privilege
    > Escalation
    > Exploit
    >
    > http://www.exploit-db.com/exploits/32813/
    >
    > Rotola dal ridere

    Meno male che li trovano sti bug.
    In un OS release di 2 major fa, ma non importa.

    L'importante è che a voi cantinari vengano spuntate le dita e non vi sia data MAI più la possibilità di creare un apocalisse come questa.
    maxsix
    9374
  • > Meno male che li trovano sti bug.
    > In un OS release di 2 major fa, ma non importa.

    E mo', da quanti anni c'è sto' bug?
    OpenSSL = 2 anni
    e questo del Mac? ...prendi la calcolatrice e fai 2014-2011 Rotola dal ridere

    Mac OS... sicurizzimo Ficoso meno male che li trovano sti bug, dopo anni che sono stati messi là (dall'NSA? Newbie, inesperto ). Chissà quanti sono quelli non ancora scoperti!!
    non+autenticato
  • > Mac OS... sicurizzimo Ficoso

    Ma perche', ora i macachi dicono pure che e' "sicuro"?
    Ahahaha...
    non+autenticato
  • - Scritto da: Ben
    > > Meno male che li trovano sti bug.
    > > In un OS release di 2 major fa, ma non
    > importa.
    >
    > E mo', da quanti anni c'è sto' bug?
    > OpenSSL = 2 anni
    > e questo del Mac? ...prendi la calcolatrice e fai
    > 2014-2011
    > Rotola dal ridere
    >
    > Mac OS... sicurizzimo Ficoso
    > meno male che li trovano sti bug, dopo anni che
    > sono stati messi là (dall'NSA? Newbie, inesperto ). Chissà
    > quanti sono quelli non ancora
    > scoperti!!

    Sei talmente ottuso che non capisci la differenze tra un bug di mac os X e hearbleed.
    Spero che anche a te tolgano la tastiera dalle mani.

    Non la meriti.
    maxsix
    9374
  • L'ottuso sei tu, che getti merda sull'open source quando la stessa apple ha attinto a piene mani su quest'ultima.

    Sopratutto quel bug non è cosi pericoloso come vogliono propagandare.
  • - Scritto da: Sg@bbio
    > L'ottuso sei tu, che getti merda sull'open source
    > quando la stessa apple ha attinto a piene mani su
    > quest'ultima.
    >

    Vedi povero sgabbio.
    Non capisci o vuoi far finta di non capire che se io, tu, Apple o chiunque attinge dall'opensource e poi applica i propri protocolli di controllo e/o personalizzazioni del caso si rende responsabile del proprio lavoro.

    Quindi nel caso, Apple fa un casino?
    Apple risolve.
    Microsoft fa un casino?
    Microsoft risolve.

    Qui è stato fatto un casino di epocali dimensioni, risolto da non si sa bene chi, non si sa bene come, non si sa se la toppa è peggio del buco.

    In questo caso l'opensource ha dimostrato quello che è, una piattaforma di sviluppo che NON FUNZIONA, che ha bisogno di essere incanalata in flussi controllati (almeno nelle parti sensibili) e gli va tolto dalle mani SUBITO quello che può far danni (disastri) per il presente e per il futuro.

    Quante prove bisogna ancora avere per dimostrare che siete una massa di incompetenti?
    (non parlo di te in specifico, in quanto sono sicuro che non vai oltre a un "hello world" in bash, ma uso il plurale maiestatis)

    > Sopratutto quel bug non è cosi pericoloso come
    > vogliono
    > propagandare.

    Certo certo.
    maxsix
    9374
  • Complimenti per come hai cercato di stravolgere la discussione: Tu getti merda di continuo sull'open source -> apple ha attinto a piene mani su quest'ultimo, sopratutto per progetti come OSX -> aggiusti il tiro.

    Get a lifeA bocca aperta
  • - Scritto da: Sg@bbio
    > L'ottuso sei tu, che getti merda sull'open source
    > quando la stessa apple ha attinto a piene mani su
    > quest'ultima.

    E come mai non ha attinto OpenSSL?
    ruppolo
    33147
  • - Scritto da: ruppolo
    > - Scritto da: Sg@bbio
    > > L'ottuso sei tu, che getti merda sull'open
    > source
    > > quando la stessa apple ha attinto a piene
    > mani
    > su
    > > quest'ultima.
    >
    > E come mai non ha attinto OpenSSL?
    Perche' voleva la completa paternita' del "goto Fail".
    non+autenticato
  • - Scritto da: ruppolo

    > E come mai non ha attinto OpenSSL?

    forse perchè quando è nato XNU, OpenSSL nemmeno esisteva?A bocca aperta
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)