Archivio per la categoria 'Sicurezza' pagina 2 di 3



Ago
05

Rilasciati WordPress 2.2.2 e 2.0.11

Sono da qualche ora disponibili per il download le versioni 2.2.2 e 2.0.11 di WordPress (lo strumento grazie al quale funziona questo blog): non ci sono grandi novità  nel codice, ma sono stati corretti diversi bachi di sicurezza.

Per scaricare WordPress 2.2.2 clickate qui, invece, per scaricare la versione 2.0.11 clickate qui; per sapere come aggiornare dalle versioni precedenti clickate qui.

P.S. prima di procedere con l’aggiornamento, è consigliabile fare un backup dei file e del database.

Lug
15

Anti-spam per WordPress: Math Comment Spam Protection

Dopo poco più di un anno di vita di questo blog, la situazione spam comincia a farsi davvero pesante: ogni giorno Akismet e Simple Trackback Validation filtrano una 100inaia di commenti di spam, senza contare quelli che sfuggono al loro controllo mischiandosi tra i commenti “buoni” degli utenti. La cosa noiosa, poi, è quella di controllare periodicamente i commenti marcati come spam, per verificare che non ci sia qualche “falso positivo”.

Data la situazione descritta precedentemente, mi sono convinto a fare quello che non avevo mai voluto fare prima, ovvero installare un plugin lato client (cioè che si interfaccia con gli utenti, al contrario degli altri citati precedentemente che sono lato server) e la mia scelta è ricaduta su Math Comment Spam Protection che funziona in maniera molto semplice: dati due numeri interi che cambiano ogni volta, l’utente deve inserire la loro somma nel relativo campo di testo (se volete provare praticamente il funzionamento, lasciate pure un commento a questo post).

Vediamo come installare e far funzionare questo plugin:

  1. scaricate il plugin da qui
  2. decomprimete il file zippato
  3. uppate la cartella risultante sul vostro ftp, precisamente in wp-content/plugins/
  4. abilitate il plugin nella pagina di amministrazione dei plugin di WordPress
  5. andate su Options / Math Comment Spam per configurarlo a dovere (anche se non cambiate nulla, la prima volta, clickate comunque su Update Options).
  6. modificate il file comments.php del vostro tema aggiungendo, generalmente sotto del campo per inserire l’url del sito web, questo codice (di esempio):[quickcode:noclick]<?php
    if ( function_exists(‘math_comment_spam_protection’) ) {
    $mcsp_info = math_comment_spam_protection();
    ?> <p><input type=”text” name=”mcspvalue” id=”mcspvalue” value=”” size=”22″ tabindex=”4″ />
    <label for=”mcspvalue”><small>Spam protection: Sum of <?php echo $mcsp_info[‘operand1’] . ‘ + ‘ . $mcsp_info[‘operand2’] . ‘ ?’ ?></small></label>
    <input type=”hidden” name=”mcspinfo” value=”<?php echo $mcsp_info[‘result’]; ?>” />
    </p>
    <?php } ?>[/quickcode]
  7. fate qualche prova per verificare che tutto funzioni alla perfezione

I più pessimisti dicono che questo sia sistema facile da bypassare per gli spambot, ma sta di fatto che, in 2 giorni che l’ho installato, non ho ricevuto alcun commento che fosse spam!

P.S. chi, come me, utilizza il tema K2/3K2 può utilizzare quest’altra versione del plugin, che si integra alla perfezione con il tema citato.

Giu
21

Rilasciato WordPress 2.2.1

E’ da qualche ora disponibile per il download la versione 2.2.1 di WordPress (lo strumento grazie al quale funziona questo blog).

In questa versione sono stati corretti parecchi bachi nel codice, alcuni dei quali risolvono gravi problemi di sicurezza (ecco perchè è fortemente consigliato l’aggiornamento a quest’ultima versione).

Per scaricare WordPress 2.2.1 clickate qui; per sapere come aggiornare dalle versioni precedenti clickate qui.

Giu
08

Come scaricare da eMule (quasi) in sicurezza

eMule è un programma di condivisione file, forse il migliore e sicuramente il più utilizzato dagli utenti.

Probabilmente però, non tutti sanno quali sono i rischi derivanti dall’uso di tale programma: anzitutto bisogna stare molto attenti ai server spia (si tratta di server creati per raccogliere informazioni sul vostro conto, sui file che condividete e sui file che state scaricando; tutto questo, ovviamente, violando palesemente la vostra privacy) e ai fake (ovvero file dal contenuto diverso da quello descritto), soprattutto in questo periodo nel quale la legislazione italiana non è molto chiara per quanto riguarda il download di materiale coperto da Copyright.

Per evitare tutti questi rischi, basta seguire i semplici trucchi descritti da Salvatore Aranzulla in questo articolo.

P.S. gli utenti Mac e *unix, possono utilizzare aMule, al posto di eMule

P.S. 2 questo post non vuole assolutamente incoraggiare il download di materiale coperto da Copyright, ma, semplicemente, descrive alcuni trucchi per aumentare la privacy e la sicurezza degli utenti.

Mag
22

Gestire le password online con Clipperz

Come ricorderete (spero!), qualche giorno fa ho scritto un articolo su KeePass, un programmino che si occupa di gestire (con sicurezza) le password.

Oggi, grazie alla segnalazione di Marco Barulli (il co-fondatore del servizio che mi ha contattato per avere un parere da esterno sul loro lavoro), vi parlerò di Clipperz: un gestore di password via web che consente la gestione delle password senza richiedere all’utente di installare alcunchà© sul proprio computer.

Registrarsi al servizio è semplicissimo (basta andare sulla loro home page e clickare sul pulsante per la registrazione) e non è richiesto nessun dato personale (neanche l’email), particolare che ho molto apprezzato; nella fase di registrazione, inoltre, è possibile selezionare la lingua: c’è anche l’italiano in modo da favorire anche i “meno anglofoni”.

Clipperz costituisce il primo esempio di applicazione web “zero-knowledge”, ovvero un’applicazione che non sa nulla dei dati immessi dagli utenti (neanche username e password) visto che i dati vengo criptati dal browser dell’utente prima di essere inviati al loro server; ottima anche l’interfaccia web, decisamente user-friendly e realizzata con la tecnologia Ajax.

Ah, dimenticavo: tutto il codice di Clipperz è liberamente disponibile per il download, quindi può essere analizzato in qualsiasi momento (ovviamente serve essere un esperto di crittografia per apprezzare la sicurezza e la comodità  del servizio).

Per concludere, voglio sottolineare che il progetto è interamente italiano e colgo l’occasione anche per fare i miei migliori auguri agli autori Marco Barulli e Giulio Cesare Solaroli.

P.S. Clipperz può funzionare anche offline (clicka qui per saperne di più).

UPDATE DEL 28/08/2007

Il buon Marco, mi ha (ri)contattato per segnalarmi alcune novità  rilevanti di Clipperz che io pubblico più che volentieri:

  • sono stati ottimizzati gli algoritmi di criptazione che hanno reso Clipperz molto più veloce
  • l’interfaccia è ora disponibile in 6 lingue (inglese, cinese, giapponese, portoghese, italiano e, pochi giorni fa hanno aggiunto anche lo spagnolo)
  • è stato incluso un generatore di password random
  • la versione offline è stata semplificata ed ora è costituita da un unico file html da scaricare
  • hanno introdotto la versione Compact per la sidebar di Firefox che consente di tenere a portata di mano i propri login diretti

Non hanno invece apportato modifiche ai login diretti ovvero alla possibilità  di loggarsi ai servizi senza digitare username e password. Il motivo è semplice: funzionano già  benissimo ed offrono la massima sicurezza e riservatezza.

Mag
19

Gestire (e ricordare) le password con KeePass

Al giorno d’oggi, sono davvero tante le password che devono essere ricordate: quella per accedere al computer, quella per le caselle di posta, quella per l’home banking, … (giusto per citarne alcune, ma, volendo continuare, la lista sarebbe pressochè infinita).

Inoltre, è buona norma utilizzare una password:

  • differente per ogni servizio
  • che contenga caratteri alfanumerici
  • che sia lunga non meno di 8 caratteri

Come vedete, la cosa si complica e, se non avete una buona ottima memoria, non sarà  facile associare, per ogni servizio, l’username e la password corrette. Qualcuno, ora, starà  vagliando la possibilità  di annotare le password su bigliettini di carta, ma è una cosa che vi sconsiglio per due motivi:

  1. perchè difficilmente riuscirete a trovare la password che vi serve
  2. perchè è palesemente insicuro

Allora, come fare? KeePass è la soluzione: è un password manger libero, gratuito ed open source che è in grado di archiviare e salvaguardare le password non solo inerenti l’utilizzo del pc e Internet, ma, più in generale, tutte le diverse chiavi di accesso che quotidianamente vi trovate a dover utilizzare. Tutto questo è possibile inserendo tutte le vostre password in un unico database (che consiste solo in un file che può essere trasferito da un computer ad un altro con una semplice chiavetta USB o con un dischetto) che viene bloccato con una master key e/o con un key-disk (così dovete ricordare solamente una singola pasword oppure inserire il key-disk per sbloccare tutto il database).

I database sono crittografati utilizzando gli algoritmi di crittografia migliori e più sicuri tra quelli attualmente conosciuti (AES e Twofish) che garantiscono che nessuno, oltre a voi, possa avere accesso a quei dati. KeePass, inoltre, consente di inserire rapidamente login e password (ad esempio in form sul web), supporta il drag&drop e si auto-blocca nel caso in cui fosse lasciato incustodito.

Veniamo ai requisiti di sistema: il programma funziona su qualsiasi sistema operativo Windows (e quando dico qualsiasi intendo dire da Windows 95 a Vista) senza il bisogno di essere installato, su chiavette USB e su piattaforma PocketPC. Gli utenti *unix/Mac possono invece utilizzare KeePassX.

Per scaricare KeePass per Windows clickate qui; per scaricare il supporto per la lingua italiana, invece, clickate qui (per impostare come lingua l’italiano al termine dell’installazione scompattate il pacchetto precedentemente scaricato nella stessa cartella di KeePass, avviate il programma, fate click sulla voce di menu View/Change language e, nella finestra che vi apparirà , selezionate la lingua italiana).

Apr
23

Allarme phishing per Poste Italiane

Riprendo l’argomento del phishing (di cui avevo già  parlato qualche tempo fa spiegando cos’è e come difendersi), vista l’enorme quantità  di email truffaldine che mi stanno arrivando in questi giorni da parte di qualcuno che si spaccia per le Poste Italiane.

Ecco un’email tipo utilizzata per truffare gli utenti:

Da: Poste Italiane SPA <update@poste.it>
Oggetto: Aggiorna il tuo conto on-line di Poste Italiane

Caro cliente Poste.it,
Lo staff di Poste Italiane sta eseguendo un aggiornamento programmato del software al fine di migliorare la qualita’ dei servizi bancari forniti.
Le chiediamo di avviare la procedura di conferma dei vostri dati.
A questo punto, La preghiamo di cliccare sul link che trovera’ alla fine di questo messaggio

Acceda ai servizi online di Poste.it e verifichi il suo account (con link che ho ovviamente rimosso)

Il sistema automaticamente, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicita’ dei dati, provvedera’ immediatamente a riattivare il suo account.
Grazie della collaborazione lo staff di Poste.it.

Questo messaggio e’ stato generato automaticamente, La preghiamo di non rispondere.

Lo scopo dei truffatori, come avrete già  intuito, è rubare i vostri dati sensibili (come username e password o il vostro numero di carta di credito). Le regole (con tanto di video) che Poste Italiane raccomanda di seguire per difendersi dal phishing potete trovarle a questi link:

Riassumendole in due righe: diffidate dalle email in cui vi viene chiesto di inserire il vostro nome utente e la vostra password o peggio ancora il numero della vostra carta di credito.

Gen
15

Sul blog di Fon, intervista alla responsabile marketing di PayPal

Sul blog di Fon c’è una interessante intervista (sotto forma di podcast) alla responsabile marketing di PayPal (azienda leader nel settore dei metodi di pagamento on line) Elena Antognazza, che ha parlato gli sviluppi del commercio elettronico in Italia, commentando i dati dell’ultima ricerca svolta dal Politecnico di Milano, della sicurezza delle transazioni on line e ha dato alcuni consigli pratici molto utili per chi ancora non conosce (o conosce parzialmente) PayPal e i suoi numerosi servizi.

Per ascoltarla fai click qui.

Dic
30

Vulnerabilità  in WordPress <= 2.0.5

Ho appena appreso dal blog di crisis di una vulnerabilità  nel file templates.php di WordPress (il motore che fa funzionare questo sito) che consentirebbe, ad un utente malintenzionato che abbia accesso a questo file, di inserirvi del codice HTML o javascript arbitrario, che verrebbe poi eseguito dagli altri amministratori.

Sono affette da questa vulnerabilità  tutte le versioni di WordPress, compresa l’attuale 2.0.5.

Per rimediare alla vunerabilità , basta scaricare la versione corretta da qui, estrarre il file templates.php e utilizzarlo per sovrascrivere il file wp-admin/templates.php esistente.

UPDATE

Come mi ha fatto giustamente notare il mio amico Daxeel, sovrascrivendo il file e selezionando, dal menù di amministrazione, Gestione -> File, si ottiene un bel

Fatal error: Call to undefined function attribute_escape() in /wp-admin/templates.php on line 114

La soluzione alla quale, prima lui, poi io, siamo arrivati è quella di editare il vecchio file wp-admin/templates.php e sostituire la riga 114 con questa:

echo "<li><a href='templates.php?file=" . wp_specialchars($recent, true) . "'>" . wp_specialchars(get_file_description(basename($recent))) . "</a></li>";

Con questa piccola modifica, la vulnerabilità  dovrebbe essere risolta ed anche Gestione -> File dal menù d’amministrazione è tornato a funzionare!




Hai bisogno di un sito web?

Web&Dintorni

Vuoi collaborare a questo blog?

Ogni tipo di collaborazione è benvenuta!


Scrivimi all'indirizzo paolo.gatti@gmail.com o invia un messaggio sulla pagina Facebook!