[Soci SLIP] RE:interessante problema di sicurezza

loredana llcfree a gmail.com
Ven 1 Lug 2011 15:34:11 CEST

Prossimo messaggio: [Soci SLIP] chat video e vocale di google
Messaggi ordinati per: [ Data ] [ Thread ] [ Oggetto ] [ Autore ]

On 6/30/11, Lucio Crusca <lucio a sulweb.org> wrote:
> In data martedì 28 giugno 2011 19:40:44, loredana ha scritto:
>> voglio vedere come me lo bucano.
>
> http://www.eweek.com/c/a/Security/Zlib-Security-Flaw-Exposes-Swath-of-
> Programs/

In effetti, non e' affatto escluso che possa vedere come me lo bucano,
ammesso che me ne accorga ...

Non esiste la sicurezza assoluta. Tutto quel che si puo' fare, e' adottare
metodi robusti per non cascarci al primo colpo come pulcini appena usciti
dal guscio.

Il link sopra e' interessante perche' mostra come le buone scelte di
software engineering, dettate dalle poche risorse, siano di fatto buone
scelte in generale, compresi i problemi di sicurezza.

Intanto, definire la lunghezza delle stringhe e controllare sempre
l'input. La maggior parte dei buffer overflows e' dovuta solo a
cattiva o pigra programmazione.

E poi il fatto di usare librerie linkate dinamicamente, che permette
di correggere la libreria, una sola volta, e non tutte le singole
applicazioni
che usano quel pezzo di codice. Cosa che con le  distribuzioni
GNU/linux equivale ad un semplice aggiornamento della libreria, una
volta che il problema e' individuato ed eliminato.

Da quel poco che ho capito dalla discussione su Android, mi pare che queste
semplici ma efficaci regole siano state abbandonate, grazie all'abbondanza
di memoria e cicli a disposizione. Mi aspetto guai, come conseguenza. Oppure
qualcosa di davvero nuovo e interessante, perche' il problema della sicurezza
c'e', in quel contesto: diffusione e mezzi/tipo di produzione del
codice, nonche'
tipologia degli utenti, fanno tutti pensare a cose simili a quelle successe con
windows, se non ci sono novita'.

C'e' da dire che google qualcosa di nuovo lo rappresenta sul serio, e
lo implementa. A volte sono idee ovvie, come rendere semplice la
gestione dello spam per gli utenti e imparare da quello che l'utente
"dice" con i suoi click.

La stessa cosa che fa icecat con i cookies, per esempio, permettendo
di costruirsi senza fatica e in poco tempo le proprie black lists
personali.

> Ciò detto, sono d'accordo con te sul fatto è che tanto più semplice bucare
> altri sistemi piuttosto che w3m su EnGarde.

Si', soprattutto per gli attacchi un minimo raffinati, in cui bisogna conoscere
i dettagli di quel che si attacca. Certo non val la pena fare grossi sforzi per
cose di nicchia, tanto anche se va bene si pesca comunque poco.

Loredana

Prossimo messaggio: [Soci SLIP] chat video e vocale di google
Messaggi ordinati per: [ Data ] [ Thread ] [ Oggetto ] [ Autore ]

Maggiori informazioni sulla lista Soci