Alfonso Maruccia

OpenSSL, scoperto e chiuso un bug decennale

La libreria software per le comunicazioni sicure online ancora sotti i riflettori. Il baco scovato questa volta è meno grave di Heartbleed. Ma infestava il codice da molti anni, e ora è stato finalmente eliminato

Roma - La catastrofe Heartbleed ha sollevato il velo sulle insicurezze di OpenSSL, una libreria fondamentale per il funzionamento di Internet ma gestita con risorse a dir poco insufficienti da un paio di programmatori praticamente volontari. Ora che la community ha deciso di metterci sopra le mani, OpenSSL fa (ancora) notizia per bug che infestano il codice da un tempo incredibilmente lungo.

Scoperto a maggio dal ricercatore Masashi Kikuchi, il nuovo baco di OpenSSL è stato classificato come "CCS Injection Vulnerability" e permette a un malintenzionato di sottrarre informazioni sensibili dalle comunicazioni cifrate durante la fase di "handshake" tra client e server: i dati vengono sottratti in forma non cifrata ed è inoltre possibile forzare la comunicazione a utilizzare chiavi crittografiche deboli.

Il bug sembra Heartbleed perché può essere sfruttato per estrarre dati teoricamente "segreti" su comunicazioni che dovrebbero essere cifrate e quindi illeggibili, ma non si tratta di un problema allo stesso livello di pericolosità di Heartbleed perché per sfruttare la vulnerabilità occorrerebbero una serie di condizioni (a cominciare dalla presenza dello stesso pacchetto OpenSSL vulnerabile su client e server) improbabili da individuare tutte assieme. Per di più, la sua applicabilità pare limitata a specifiche formule di comunicazione e scelte di protocollo molto rare nella vita reale.
Nondimeno si tratta di una vulnerabilità potenzialmente pericolosa le cui conseguenze sono piuttosto difficili da valutare, un bug che infesta il codice di OpenSSL da 10 anni e che per di più non lascia traccia di sè dopo un attacco in maniera simile a quanto capita con il già citato Heartbleed. Una versione della libreria priva del baco è già stata rilasciata.

Alfonso Maruccia
Notizie collegate
  • SicurezzaHeartbleed, la saga continuaA un mese dalla divulgazione della vulnerabilità di OpenSSL i numeri sono solo in parte confortanti. La metà dei siti colpiti non ha sanato il bug. E qualcuno potrebbe essere caduto nel tranello di una patch prematura
185 Commenti alla Notizia OpenSSL, scoperto e chiuso un bug decennale
Ordina
  • Purtroppo il cantinaro, anche sforzandosi e impegnandosi al massimo ottiene scarsi risultati: sarà l'umidità della cantina, l'isolamento e la solitudine, le poche ore di sono, la frustrazione di lavorare gratis o il fatto che è autodidatta... Chi può dirlo, ma i risultati si vedono! Invece il software closed viene sviluppato da ingegneri preparati e ben pagati...
    non+autenticato
  • Vivere di convinzioni e ideologie sbagliate, senza usare intelletto e capacità analitiche, rende un popolo di zombie.
    iRoby
    7604
  • - Scritto da: iRoby
    > Vivere di convinzioni e ideologie sbagliate,
    > senza usare intelletto e capacità analitiche,
    > rende un popolo di
    > zombie.

    Bello! Quelli di PI hanno cancellato questo ramo del thread che era il più interessante, con meno trollate e con toni più civili... Vabbè...
    non+autenticato
  • Gli sto antipatico io, argomenti troppo spinti culturalmente, di nicchia, forse pensano provocatori...

    Tutta la merda di certi Apple fan pare invece gli vada bene...

    In tutti i media, compreso internet pare che la parola d'ordine sia sempre "abbassare il livello".
    iRoby
    7604
  • - Scritto da: WinForLife
    > Purtroppo il cantinaro, anche sforzandosi e
    > impegnandosi al massimo ottiene scarsi risultati:
    > sarà l'umidità della cantina, l'isolamento e la
    > solitudine, le poche ore di sono, la frustrazione
    > di lavorare gratis o il fatto che è
    > autodidatta... Chi può dirlo, ma i risultati si
    > vedono! Invece il software closed viene
    > sviluppato da ingegneri preparati e ben
    > pagati...

    ...col risultato che non si è MAI visto un fixpack per Windows, essendo quest'ultimo esente da vulnerabilità. Rotola dal ridere
    Izio01
    4027
  • Le patch alle vulnerabilità le fanno tutti: http://www.ubuntu.com/usn/trusty/
    non+autenticato
  • - Scritto da: WinForLife
    > Le patch alle vulnerabilità le fanno tutti:
    > http://www.ubuntu.com/usn/trusty/

    Bè, guarda che sei TU a dire che i "professionisti" scrivono codice più sicuro, quando una storia fatta di centinaia di vulnerabilità critiche in Windows è lì a smentirti. Sempre tu a dire che il "codice serio" è meglio lasciarlo alle aziende closed, nonostante centinaia di progetti open utilizzati da fior di aziende rendano risibile questa affermazione.
    Izio01
    4027
  • Ti posso solo dire che Windows è da anni bersaglio degli hacker, perchè sistema più diffuso. Negli anni hanno patchato molte falle rendendolo un sistema molto sicuro, sicuramente molto più sicuro di quanto possa essere OS X. Linux invece sta prendendo piede ultimamente, anche grazie alla diffusione di Android e infatti negli ultimi anni il 99% dei nuovi malware è su Android. Adesso con OpenSSL è stato scoperchiato il Vaso di Pandora...
    non+autenticato
  • - Scritto da: WinForLife
    > Ti posso solo dire che Windows è da anni
    > bersaglio degli hacker, perchè sistema più
    > diffuso. Negli anni hanno patchato molte falle
    > rendendolo un sistema molto sicuro, sicuramente
    > molto più sicuro di quanto possa essere OS X.

    Sono curioso di sentire la risposta dei macachi al riguardo. Intanto a me la tua sembra semplicemente un'opinione personale, non hai portato alcun FATTO a sostegno della tesi.

    > Linux invece sta prendendo piede ultimamente,
    > anche grazie alla diffusione di Android e infatti
    > negli ultimi anni il 99% dei nuovi malware è su
    > Android.

    Idem: dati che confrontano Android con Windows quanto a malware?

    > Adesso con OpenSSL è stato scoperchiato
    > il Vaso di Pandora...

    No: è stata evidenziata la debolezza di un singolo progetto, usato da tantissime società, nessuna delle quali si è degnata di fornire finanziamenti decenti. Con due sole persone a lavorarci, c'erano dei severi limiti alle verifiche di sicurezza che venivano effettuate.
    Nessun vaso di Pandora; semplicemente è emerso che anche i progetti open possono contenere errori.
    Izio01
    4027
  • > Sono curioso di sentire la risposta dei macachi
    > al riguardo.
    OSX è su base Unix/BSD, Apple non si è inventata nulla a livello di kernel. I sistemi Unix sono noti utilizzare una migliore separazione dei ruoli utente. Su Windows l'utente con privilegi di amministratore è sempre necessario.


    > Idem: dati che confrontano Android con Windows
    > quanto a malware?
    Credo che non troverai mai un report attendibile. Vengono fatti dai produttori di AV che attualmente vorrebbero spingersi nel mondo Android non perchè più insicuro, ma perchè più diffuso!

    Il peggio virus/miglior AV è cmq l'utente Occhiolino
    non+autenticato
  • Grazie agli sviluppatori dell' Open SSL sono in grado di (ad esempio) aprire il mondo Google anche dal mio profilo aziendale, dove, cito testualmente, "L' utenza non è abilitata alla navigazione internet".
    Senza proxy e altre menate simili.
    Gliene sarò sempre grato, bug o non bug.
    non+autenticato
  • - Scritto da: rico
    > Grazie agli sviluppatori dell' Open SSL sono in
    > grado di (ad esempio) aprire il mondo Google
    > anche dal mio profilo aziendale, dove, cito
    > testualmente, "L' utenza non è abilitata alla
    > navigazione
    > internet".
    > Senza proxy e altre menate simili.
    > Gliene sarò sempre grato, bug o non bug.

    lol?
    maxsix
    9374
  • Più che altro grazie alla disattenzione del tuo amministratore di sistema
    non+autenticato
  • - Scritto da: Cernunno
    > Più che altro grazie alla disattenzione del tuo
    > amministratore di
    > sistema

    l'amministratore non può monitorare le comunicazioni cifrate.
    non+autenticato
  • - Scritto da: laars airaction
    > - Scritto da: Cernunno
    > > Più che altro grazie alla disattenzione del tuo
    > > amministratore di
    > > sistema
    >
    > l'amministratore non può monitorare le
    > comunicazioni
    > cifrate.

    Cazzate. Non è in grado di vedere il contenuto del traffico ma l'indirizzo al quale ti colleghi lo vede eccome.
    non+autenticato
  • vabbè si tratta del solo host/domain name
    non+autenticato
  • - Scritto da: collione
    > vabbè si tratta del solo host/domain name

    E quindi dire che con OpenSSL si aggira il blocco sulla navigazione non ha senso.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: collione
    > > vabbè si tratta del solo host/domain name
    >
    > E quindi dire che con OpenSSL si aggira il blocco
    > sulla navigazione non ha
    > senso.

    beh no dipende, nel distortion field è possibileA bocca aperta
    non+autenticato
  • - Scritto da: rico
    > Grazie agli sviluppatori dell' Open SSL sono in
    > grado di (ad esempio) aprire il mondo Google
    > anche dal mio profilo aziendale, dove, cito
    > testualmente, "L' utenza non è abilitata alla
    > navigazione
    > internet".
    > Senza proxy e altre menate simili.
    > Gliene sarò sempre grato, bug o non bug.

    Ma che hai fumato?
    non+autenticato
  • Chi può affermare che le implementazioni closed sono più sicure?
    Con il codice Open è possibile scoprire eventuali bachi (chiunque, con le competenze, può farlo) ma con il codice closed chi ti assicura che non è presente il baco o che non ce ne sia un altro ben più grave? L'azienda che ti ha venduto il prodotto? Oste com'è il vino???
    non+autenticato
  • - Scritto da: Michael
    > Chi può affermare che le implementazioni closed
    > sono più
    > sicure?


    maxsix



    > Oste com'è il
    > vino???


    Per maxsix sempre fresco e buono. Con la lingua fuori
    non+autenticato
  • - Scritto da: Michael
    > Chi può affermare che le implementazioni closed
    > sono più
    > sicure?

    I fatti. Leggi su.
    E si anche la tua amata google con il suo bellissimo Chrome spione.

    > Con il codice Open è possibile scoprire eventuali
    > bachi (chiunque, con le competenze, può farlo) ma
    > con il codice closed chi ti assicura che non è
    > presente il baco o che non ce ne sia un altro ben
    > più grave? L'azienda che ti ha venduto il
    > prodotto? Oste com'è il
    > vino???

    E ci credi ancora a questa favola?
    Dopo tutto quello che abbiamo visto in questi mesi CI CREDI ANCORA?

    Ma per piacere.
    maxsix
    9374
  • io non ho citato google e non ho detto di credere in alcunché, ho solo posto una domanda che ti riformulo in altro modo:

    Sei sicuro che il tuo tanto amato codice closed sia sicuro o più sicuro di quello Open?

    Evita di rievocare fatti successi perché ce ne sono su entrambi i fronti.
    non+autenticato
  • - Scritto da: Michael
    > io non ho citato google e non ho detto di credere
    > in alcunché, ho solo posto una domanda che ti
    > riformulo in altro
    > modo:
    >
    > Sei sicuro che il tuo tanto amato codice closed
    > sia sicuro o più sicuro di quello
    > Open?
    >
    > Evita di rievocare fatti successi perché ce ne
    > sono su entrambi i
    > fronti.

    Paragoniamo il discorso a un terremoto.
    I danni fatti dal closed negli anni possiamo definirli su 4°/5° della scala mercalli.
    Quello a cui stiamo assistendo negli ultimi mesi con openssl siamo sulla scala 9/10.

    Catastrofe?
    Si.
    maxsix
    9374
  • Che il problema sia stato grave non lo metto in dubbio ma facendo riferimento agli ultimi mesi ti ricordo che tante aziende che producono sw/hw closed hanno deliberatamente introdotto backdoor per NSA e mi sembra sia un problema grave anche questo.
    Quindi ti ripropongo la domanda:

    E' più sicuro il codice closed di quello Open?
    non+autenticato
  • - Scritto da: Michael
    > Che il problema sia stato grave non lo metto in
    > dubbio ma facendo riferimento agli ultimi mesi ti
    > ricordo che tante aziende che producono sw/hw
    > closed hanno deliberatamente introdotto backdoor
    > per NSA e mi sembra sia un problema grave anche
    > questo.
    > Quindi ti ripropongo la domanda:
    >
    > E' più sicuro il codice closed di quello Open?

    e' andato a comprare le ventose, non puo' risponderti subito
    non+autenticato
  • - Scritto da: Michael
    > Che il problema sia stato grave non lo metto in
    > dubbio ma facendo riferimento agli ultimi mesi ti
    > ricordo che tante aziende che producono sw/hw
    > closed hanno deliberatamente introdotto backdoor
    > per NSA e mi sembra sia un problema grave anche
    > questo.

    Povero cucciolo cantinaro.
    Non hai ancora capito che il bug di cui stiamo parlando è un bug sul PROTOCOLLO e permette attacchi man in the middle da 15 anni.

    Le backdoor in confronto sono dei giochini per bambini brufolosi.

    > Quindi ti ripropongo la domanda:
    >
    > E' più sicuro il codice closed di quello Open?

    Ad oggi sappiamo con i fatti e per certo che in fatto di sicurezza il codice closed è migliore.
    Vedi chi è stato immune da Hearbleed e chi è immune su questo bug.

    Tutto il resto sono ciance cantinare.
    maxsix
    9374
  • - Scritto da: maxsix
    > - Scritto da: Michael
    > > Che il problema sia stato grave non lo metto
    > in
    > > dubbio ma facendo riferimento agli ultimi
    > mesi
    > ti
    > > ricordo che tante aziende che producono sw/hw
    > > closed hanno deliberatamente introdotto
    > backdoor
    > > per NSA e mi sembra sia un problema grave
    > anche
    > > questo.
    >
    > Povero cucciolo cantinaro.
    Cucciolo lo dici ai tuoi parenti, dato che non mi conosci.
    Inoltre lavoro per una PA, quindi non sono in cantina.
    > Non hai ancora capito che il bug di cui stiamo
    > parlando è un bug sul PROTOCOLLO e permette
    > attacchi man in the middle da 15
    > anni.
    Poi il bug non è sul protocollo ma sulla sua implementazione (da cui deduco che non sai di cosa stai parlando, il tempo lo avevi per informarti), inoltre un bug è potenzialmente pericoloso, non sai se è stato usato nè, eventualmente, da quanto.
    >
    > Le backdoor in confronto sono dei giochini per
    > bambini
    > brufolosi.
    Una backdoor a differenza di un BUG è creata apposta per fare danni, apostrofarla come giochino non mi sembra approriato.
    >
    > > Quindi ti ripropongo la domanda:
    > >
    > > E' più sicuro il codice closed di quello
    > Open?
    >
    > Ad oggi sappiamo con i fatti e per certo che in
    > fatto di sicurezza il codice closed è
    > migliore.
    Fonti prego, a quanto ho letto negli ultimi anni è proprio il contrario (http://punto-informatico.it/4034815/PI/News/sicure...)
    > Vedi chi è stato immune da Hearbleed e chi è
    > immune su questo
    > bug.
    E' bello vedere come il mondo per te sia limitato, ci puntiamo solo a questo bug, i buchi di Windows che permettevano a Sasser o Blaster di infettare le macchine non contano invece....
    >
    > Tutto il resto sono ciance cantinare.
    Io, come scrivi tu, ciancio da cantinaro (ti rammento che anche Windows e OSX sono nati in una cantina) ma almeno sono coerente e soprattutto non confondo protocolli con implementazioni.
    Ciao
    non+autenticato
  • Vorrei capire una cosa da maxsix:
    - Usi in continuazione il termine cantinaro come dispregiativo quando molti dei progetti più interessanti e famosi sono stati creati proprio nelle cantine;
    - Critichi a spada tratta la filosofia OpenSource quando la collaborazione è la più alta forma di umanità;
    - Fai supposizioni sulle persone, che scrivono commenti che non ti vanno a genio, il più delle volte sbagliando;
    - Delle notizie citi sempre la parte che ti fa comodo omettendone il resto;
    - Non ti informi su quello che commenti e spesso fai delle magre figure;
    - Non sei in grado di rispondere costruttivamente ai commenti perché ti limiti a scrivere qualche pseudo-offesa cambiando argomento;
    - Odii qualsiasi cosa sia gratis a prescindere dalla sua utilità passata, presente e futura.

    HAI MAI PENSATO DI CRESCERE?
    non+autenticato
  • Domande perfettamente appropriate alle quali, probabilmente, non si avranno risposte altrettanto appropriate.
    Mah, non comprendo nemmeno io questo livore nei confronti del software open e dei loro fruitori all'opposto di una difesa cieca e ideologica nei confronti di tutto il mondo chiuso.
    non+autenticato
  • Apple/Microsoft come tante altre aziende che vendono negli stati uniti non possono vendere dispositivi sicuri da intrusioni per il Patriot Act. Quindi possono utilizzare ed implementare perfettamente tutti i protocolli che vogliono, ma non possono rendere inviolabile un qualsiasi sistema ... quindi openssl è l'ultimo dei problemi!
    non+autenticato
  • - Scritto da: prova123
    > Apple/Microsoft come tante altre aziende che
    > vendono negli stati uniti non possono vendere
    > dispositivi sicuri da intrusioni per il Patriot
    > Act. Quindi possono utilizzare ed implementare
    > perfettamente tutti i protocolli che vogliono, ma
    > non possono rendere inviolabile un qualsiasi
    > sistema ... quindi openssl è l'ultimo dei
    > problemi!

    Apple non usa da ANNI OpenSSL, M$ non l'ha mai usato, solo il mondo Open o pseudo Open (google) usa e usava OpenSSL, vedi ANDROID, e praticamente tutte le distribuzioni linux...
    non+autenticato
  • - Scritto da: Luigi
    > - Scritto da: prova123
    > > Apple/Microsoft come tante altre aziende che
    > > vendono negli stati uniti non possono vendere
    > > dispositivi sicuri da intrusioni per il Patriot
    > > Act. Quindi possono utilizzare ed implementare
    > > perfettamente tutti i protocolli che vogliono,
    > ma
    > > non possono rendere inviolabile un qualsiasi
    > > sistema ... quindi openssl è l'ultimo dei
    > > problemi!
    >
    > Apple non usa da ANNI OpenSSL, M$ non l'ha mai
    > usato, solo il mondo Open o pseudo Open (google)
    > usa e usava OpenSSL, vedi ANDROID, e praticamente
    > tutte le distribuzioni
    > linux...

    Questa è la fine del mondo opensource come lo conosciamo oggi.

    Era ora?

    Decisamente.
    maxsix
    9374
  • Agli utenti opensource non fa nessun danno visitare i siti con la versione fallata. Ai macachi sì, visto che loro inviano spesso via internet il numero di carta di credito.
    non+autenticato
  • - Scritto da: cicciobello
    > Agli utenti opensource non fa nessun danno
    > visitare i siti con la versione fallata. Ai
    > macachi sì, visto che loro inviano spesso via
    > internet il numero di carta di
    > credito.

    E invece i fatti ti dimostrano l'esatto contrario.
    Tutti quelli che usano browser con implementazione SSL CHIUSA E PROPRIETARIA sono immuni.

    Punto e stop.

    Hai ancora altro da disquisire?

    E sopratutto.

    Non ti sorge spontanea una domanda?
    A me si, ma voglio vedere se qualcuno ci arriva.
    -----------------------------------------------------------
    Modificato dall' autore il 07 giugno 2014 13.27
    -----------------------------------------------------------
    maxsix
    9374
  • - Scritto da: maxsix
    > - Scritto da: cicciobello
    > > Agli utenti opensource non fa nessun danno
    > > visitare i siti con la versione fallata. Ai
    > > macachi sì, visto che loro inviano spesso via
    > > internet il numero di carta di
    > > credito.
    >
    > E invece i fatti ti dimostrano l'esatto contrario.
    > Tutti quelli che usano browser con
    > implementazione SSL CHIUSA E PROPRIETARIA sono
    > immuni.
    >
    > Punto e stop.

    Fonte, please.

    >
    > Hai ancora altro da disquisire?
    >
    > E sopratutto.
    >
    > Non ti sorge spontanea una domanda?
    > A me si, ma voglio vedere se qualcuno ci arriva.
    > --------------------------------------------------
    > Modificato dall' autore il 07 giugno 2014 13.27
    > --------------------------------------------------
  • - Scritto da: marcorr
    > - Scritto da: maxsix
    > > - Scritto da: cicciobello
    > > > Agli utenti opensource non fa nessun
    > danno
    > > > visitare i siti con la versione
    > fallata.
    > Ai
    > > > macachi sì, visto che loro inviano
    > spesso
    > via
    > > > internet il numero di carta di
    > > > credito.
    > >
    > > E invece i fatti ti dimostrano l'esatto
    > contrario.
    > > Tutti quelli che usano browser con
    > > implementazione SSL CHIUSA E PROPRIETARIA
    > sono
    > > immuni.
    > >
    > > Punto e stop.
    >
    > Fonte, please.
    >

    E' scritta sopra.
    C'è il link anche dell'ingegnere di Google e il suo blog.

    Cerca.
    maxsix
    9374
  • - Scritto da: maxsix
    > - Scritto da: cicciobello
    > > Agli utenti opensource non fa nessun danno
    > > visitare i siti con la versione fallata. Ai
    > > macachi sì, visto che loro inviano spesso via
    > > internet il numero di carta di
    > > credito.
    >
    > E invece i fatti ti dimostrano l'esatto contrario.
    > Tutti quelli che usano browser con
    > implementazione SSL CHIUSA E PROPRIETARIA sono
    > immuni.
    >
    > Punto e stop.

    Punto e stop un ciufolo.
    Non esiste alcun software in ambito Apple che non usi librerie open source non solo per quanto attiene SSL/TLS (safari compreso) ma in generale qualunque software crittografico.
    Ma puoi sempre smentire (se ci riesci) metti qui sotto l'elenco dei software crittografici Apple di tua conoscenza che non fanno uso di librerie open source.
    Altrimenti zittisciti dato che non hai la più pallida idea di cosa stai parlando.
    non+autenticato
  • - Scritto da: maxsix

    > E invece i fatti ti dimostrano l'esatto contrario.
    > Tutti quelli che usano browser con
    > implementazione SSL CHIUSA E PROPRIETARIA sono
    > immuni.
    >
    > Punto e stop.

    i fatti? questi fatti? http://nakedsecurity.sophos.com/2014/02/24/anatomy.../

    si parla di una vulnerabilità ssl, quindi stesso tenore di quelle di openssl

    quindi? com'era la storia? il closed ti mette al riparo da certi problemi? non sembra affatto

    dì piuttosto che siccome gli icosi rappresentano un 10% del mercato, certi bug non fanno manco notizia
    non+autenticato
  • Sono immuni a questo bug.

    Ma hanno i loro bug, che a giudicare dai bollettini di sicurezza e dagli aggiornamenti periodici sono ben maggiori e peggiori.
    iRoby
    7604
  • Since 1999.
    Oh yes, cantinaro owns.
    maxsix
    9374
  • - Scritto da: maxsix
    > Since 1999.
    > Oh yes, cantinaro owns.
    sono riusciti a battere tutti i record di internet ExplorerA bocca aperta
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: maxsix
    > > Since 1999.
    > > Oh yes, cantinaro owns.
    > sono riusciti a battere tutti i record di
    > internet Explorer
    >A bocca aperta

    Peccato che con i bug di Internet Exploder installi un trojan su un computer di chi visita una pagina web. Auguri a fare qualcosa del genere qui.
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: maxsix
    > > Since 1999.
    > > Oh yes, cantinaro owns.
    > sono riusciti a battere tutti i record di
    > internet Explorer
    >A bocca aperta

    Visto che roba eh.Occhiolino

    Avrei proprio voglia di tirar fuori un po' di vecchi post a riguardo del confronto cantinaro vs. windows xp / IE.

    Giusto per rinfacciare qualcosetta così, senza cattiveria eh.

    Eh il buon Maruccia non ha nemmeno riportato tutto, probabilmente per la fretta.
    Ci sono molte cose interessanti da dire con queste parole chiavi:
    Firefox
    Safari
    Chrome
    Internet Explorer
    Android

    Ma c'è tempo, c'è tempo...
    maxsix
    9374
  • - Scritto da: maxsix
    > - Scritto da: 2014
    > > - Scritto da: maxsix
    > > > Since 1999.
    > > > Oh yes, cantinaro owns.
    > > sono riusciti a battere tutti i record di
    > > internet Explorer
    > >A bocca aperta
    >
    > Visto che roba eh.Occhiolino
    >
    > Avrei proprio voglia di tirar fuori un po' di
    > vecchi post a riguardo del confronto cantinaro
    > vs. windows xp /
    > IE.

    No dai, risparmiaci le tue cazzate.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: maxsix
    > > - Scritto da: 2014
    > > > - Scritto da: maxsix
    > > > > Since 1999.
    > > > > Oh yes, cantinaro owns.
    > > > sono riusciti a battere tutti i record
    > di
    > > > internet Explorer
    > > >A bocca aperta
    > >
    > > Visto che roba eh.Occhiolino
    > >
    > > Avrei proprio voglia di tirar fuori un po' di
    > > vecchi post a riguardo del confronto
    > cantinaro
    > > vs. windows xp /
    > > IE.
    >
    > No dai, risparmiaci le tue cazzate.

    Cosa mi devo risparmiare io?
    Siete il disastro totale.
    Non c'è giorno che passa che non vediamo i vostri macelli.

    Vogliamo scendere nel particolare?
    Scendiamo.

    http://www.repubblica.it/tecnologia/2014/06/06/new...

    Cito ed evidenzio:

    Il nuovo bug ha (o aveva, visto che è sufficiente aggiornare i server con le nuove versioni) almeno 15 anni , stando almeno all’analisi dell’ingegnere del software di Google Adam Langley, che ha spiegato la situazione in un post sul suo blog. L’attacco è possibile solo se sia il server che il client sono vulnerabili

    Per l’utente comune la buona notizia è che i principali browser, da Explorer a Firefox passando per Safari e Chrome per desktop (ma non mobile), disponendo di proprie implementazioni dei protocolli SSL/TLS non sarebbero vulnerabili anche qualora subissero tentativi di "mim" nella comunicazione con server a rischio.

    Sebbene milioni di siti, software e app per dispositivi mobili proteggono il traffico sensibile proprio grazie a Open SSL. Da notare in particolare che alcune versioni di Android, le prime di Jelly Bean (4.1.0 e 4.1.1 rilasciate nell’estate 2012 e ancora ampiamente diffuse su smartphone e tablet), usano una versione
    bucata del protocollo


    Quindi si evince che:
    1) un bug esistente da 15 anni. Dov'è tutto il vostro opensource?
    2) le tanto bistrattate, dal cantinarato, implementazioni proprietarie del protocollo SSL sono immuni lato client, mentre lato server Fan Linux sono tutti colpiti
    3) Più versioni recenti di Android sono colpite e come sappiamo tutti non saranno aggiornati per 1000 motivi.

    Ora mi fate vedere, mi spiegate, come fare a non darvi degli incapaci totali?

    Sono tutto orecchie.
    maxsix
    9374
  • Non so come tu non faccia a sentirti un incapace totale invece

    Quali smartphone di preciso utilizzano ancora la versione 4.1 o 4.1.1 di android?

    La linea galaxy s ad esempio comprende la stragrande maggioranza degli smartphone android venduti, eppure nessuno di questi ha nemmeno visto la 4.1 o 4.1.1 dalla scoperta dell'exploit. Il galaxy s2 ha fatto 2.3, 4.0.4, 4.1.2. Il galaxy s3 ha fatto 4.0.4, 4.1.2, 4.3; dall's4 sono usciti con la 4.2.2 Tutti quelli intermedi o erano di testing (no kies) o sono poi stati patchati all'ultima release di bugfix prima dell'abbandono del supporto ufficiale. In pratica chi ha avuto la 4.1.1 ha avuto anche la 4.1.2
    Questo senza contare i telefoni supportati cyanogenmod che dopo il raggiungimento della prima stabile, i bugfix di google sono applicabili con una sincronizzazione e un rilascio nel giro di poche ore

    La ragione è semplice: il ciclo di sviluppo e certificazione di un aggiornamento è così lungo, che prima di un rilascio dal produttore in tutti i paesi, google ha fatto in tempo a raggiungere la minor release ufficiale, che è applicabile dai produttori con poco più di una sincronizzazione dei repository (molto raramente rompe la compatibilità con la minor precedente)

    Sarà mica che credi a proprio tutto quello che leggi
    non+autenticato
  • - Scritto da: ego
    > Non so come tu non faccia a sentirti un incapace
    > totale
    > invece
    >
    > Quali smartphone di preciso utilizzano ancora la
    > versione 4.1 o 4.1.1 di
    > android?
    >
    Non lo so, dimmelo tu, visto che hai tutte queste CERTEZZE.

    > La linea galaxy s ad esempio comprende la
    > stragrande maggioranza degli smartphone android
    > venduti, eppure nessuno di questi ha nemmeno
    > visto la 4.1 o 4.1.1 dalla scoperta dell'exploit.
    > Il galaxy s2 ha fatto 2.3, 4.0.4, 4.1.2. Il
    > galaxy s3 ha fatto 4.0.4, 4.1.2, 4.3; dall's4
    > sono usciti con la 4.2.2 Tutti quelli intermedi o
    > erano di testing (no kies) o sono poi stati
    > patchati all'ultima release di bugfix prima
    > dell'abbandono del supporto ufficiale. In pratica
    > chi ha avuto la 4.1.1 ha avuto anche la
    > 4.1.2
    > Questo senza contare i telefoni supportati
    > cyanogenmod che dopo il raggiungimento della
    > prima stabile, i bugfix di google sono
    > applicabili con una sincronizzazione e un
    > rilascio nel giro di poche
    > ore
    >
    > La ragione è semplice: il ciclo di sviluppo e
    > certificazione di un aggiornamento è così lungo,
    > che prima di un rilascio dal produttore in tutti
    > i paesi, google ha fatto in tempo a raggiungere
    > la minor release ufficiale, che è applicabile dai
    > produttori con poco più di una sincronizzazione
    > dei repository (molto raramente rompe la
    > compatibilità con la minor
    > precedente)
    >
    > Sarà mica che credi a proprio tutto quello che
    > leggi

    Io credo a quello che vedo.
    Io credo al fatto che Android nelle release menzionate sono bucabili e/o già bucate.
    Io credo che, vista l'utenza Android, chi ha quelle release non le ha aggiornate.

    Io credo che tutta questa storia, per l'ennesima volta, dimostra quanto l'opensource vada cambiato e riformato dalle fondamenta anche a costo di farlo sparire dalla faccia della terra.
    maxsix
    9374
  • - Scritto da: maxsix

    > Io credo che tutta questa storia, per l'ennesima
    > volta, dimostra quanto l'opensource vada cambiato
    > e riformato dalle fondamenta anche a costo di
    > farlo sparire dalla faccia della
    > terra.

    Ma cosa vuoi far sparire, ma cosa vuoi riformare tu dalle fondamenta? Ma chi cacchio credi di essere iNsipiente?
    Voi applecosi a stento sapete accendere un pc e volete "riformare" l'open. Ma non farci ridere (ulteriormente) A bocca aperta

    Torna a giocare và.
  • - Scritto da: Elrond
    > - Scritto da: maxsix

    > Voi applecosi a stento sapete accendere un pc e
    > volete "riformare" l'open. Ma non farci ridere
    > (ulteriormente)
    >A bocca aperta

    Tanto piu' che il buonanima, che di tecnologia ne capiva parecchio al contrario delle pecore per cui faceva i prodotti, l'oper l'ha usato eccome.
    krane
    22544
  • - Scritto da: maxsix
    > Ora mi fate vedere, mi spiegate, come fare a non
    > darvi degli incapaci
    > totali?
    >
    > Sono tutto orecchie.

    Ma tu non sei un difensore ad oltranza di apple? Quello che ti dà software nsa ready? Attento al carciofo che è già in, sorry, dentro di te.
    non+autenticato