Posts Tagged “sicurezza”

facebook connectFacebook Connect è la tecnologia che consente agli utenti di effettuare il login ai siti usando le proprie credenziali Facebook, ed evitare così la registrazione e dunque la necessità di memorizzare nomi utente e password. Si stima che venga utilizzata da circa un quarto dei siti nel mondo. Dal punto di vista tecnico, è facile implementarlo, perché si basa su una particolare libreria Javascript rilasciata da Facebook - JavaScript SDK – basata su FBML, una estensione del linguaggio XHTML, disponibile per tutte le piattaforme, che consente  agli sviluppatori di inserire sulle pagine di un sito degli elementi dinamici, come pulsanti, form, elementi multimediali e molto altro. La privacy è assicurata da OAuth, un protocollo aperto che garantisce ai service provider l’accesso da parte di terzi ai dati degli utenti, proteggendo al contempo le loro credenziali.

I vantaggi

Per l’utente, il vantaggio principale è dato dalla semplicità: non deve creare un nuovo account, sottostando alla relativa procedura di conferma, né memorizzare (o rischiare di farsi rubare) la relativa password, migliorando così la propria esperienza d’uso. Inoltre, è più facile fidarsi, se deve entrare in un sito di cui non conosce il marchio.

Per il sito, evitare la registrazione significa non perdere quella quota di utenti che abbandona a causa dell’obbligo di registrarsi (pare siano un quarto del totale). Inoltre,  gli utenti così loggati possono condividere coi propri amici Facebook i contenuti del sito stesso. Almeno in teoria, perché poi la maggior parte degli utenti, in realtà, non lo fa. Potendo poi accedere al profilo personale dell’utente, oltre a conoscere dati come l’email, il sito può proporre contenuti, prodotti ed offerte ad hoc, in base alle sue caratteristiche.

Gli svantaggi

Per l’utente, il limite principale è costituito dal fatto che il sito di destinazione può accedere ad una parte di propri dati personali presenti su Facebook. Quest’ultimo può sapere, a sua volta, cosa l’utente fa nei vari siti, ma solo se decide, ogni volta, di condividerli.

Per il sito, il problema principale sta, a nostro parere, nella perdita di controllo: si affida un asset chiave del proprio sito ad un soggetto terzo, il quale può cambiare le condizioni o perdere l’utente. C’è anche lo svantaggio della scarsa accuratezza dei dati, a causa dei molti che si registrano a Facebook sotto falso nome o pseudonimo, o che non usano veramente Facebook. Inoltre, molti utenti configurano in modo restrittivo l’accesso ai propri dati personali, oppure non amano condividere proprio tutto di ciò che fanno online. Per non parlare del fatto che non tutti stanno su Facebook. Per alcuni, associare il logo Facebook al proprio può risultare negativo, qualora Facebook faccia qualcosa che la renda impopolare.

Le alternative

Oltre a Facebook, è possibile accettare il Single Sign-On (autenticazione condivisa) anche da altri network, come Google, Twitter o Linkedin. Ciascuno con le proprie peculiarità. Oppure con OpenID, su cui torneremo.

Link utili su questo argomento

[L'immagine iniziale è tratta dal sito Online Privacy]

Comments No Comments »

Quant’è sicura la mia password? Se non te lo sei mai chiesto, prova a digitarla qui: ti dirà quanto tempo impiega un PC a craccarla. Se ci vuole qualche anno, allora per un po’ andrà bene, a meno che non ci sia qualcuno che l’ha già indovinata, per similitudine con altre password che usi. La password è il sistema di protezione oggi più usato e la sua importanza cresce sempre di più, col diffondersi di social media e cloud computing, ma crescono in egual misura le preoccupazioni per un sistema intrinsecamente inadatto, perché una password decente è sia quasi impossibile da ricordare, sia troppo lunga da gestire.

Una soluzione è quella proposta da PayPal, che assieme a Lenovo – il secondo produttore mondiale di computer – ha dato vita alla FIDO Alliance, col proposito di farla finita per sempre con le password. Il consorzio FIDO propone ai produttori di dispositivi di adottare uno standard aperto e universale, che consenta ai dispositivi stessi il riconoscimento dell’utente. Ciò può essere ottenuto, ad esempio, tramite la Trusted Platform Module (TPM), un chip per la crittografia già presente in molti computer e tablet, ma poco sfruttato. Tale sistema potrà essere usato, se l’adesione dei produttori sarà ampia, anche in abbinamento ad una classica password.

La soluzione proposta da Google è diversa. Pur utilizzando l’autenticazione a due fattori (o ”strong authentication”), quella che comporta l’invio di un codice temporaneo via SMS in aggiunta alla password, in un recente paper, la ritiene poco sicura. Perciò propone l’uso di speciali chiavette USB, che non richiederebbero lo scambio di dati in rete. Le chiavette potrebbero essere sostituite anche da smartphone, anelli o altri gioielli. In questo caso, però, richiederebbero l’uso della NFC, una tecnologia dagli esiti ancora assai incerti.
Link utili su questo argomento

Comments No Comments »

Con l’arrivo del Natale, s’impennano le vendite, nei siti di e-commerce. Chi sicuramente fa festa sono i pirati informatici (noi preferiamo non chiamarli hacker), perché l’aumentata attività degli utenti, unita con e la diminuita attenzione dei venditori, moltiplicano le occasioni per sferrare nuovi attacchi. Risultano dunque molto utili i consigli di esperti come Sarah Grayson, che ci svela i metodi più recenti per attaccare e, di conseguenza, per proteggere gli acquisti on line.

Le SQL injection sono uno dei metodi preferiti dai pirati per accedere ai database. Grazie a codice malevolo, estorcono ai siti informazioni sensibili, o anche solo messaggi di errore. Una volta arrivati al backend del database, possono installarvi malware, per ottenere effetti a lungo termine. Cosa si può fare – Disabilitare le query SQL è il primo passo, ma anche limitare le informazioni fornite coi messaggi d’errore e assicurare che il database abbia tutte le protezioni necessarie.

I database con le password sono oggi uno dei maggiori punti deboli, specialmente se cifrati debolmente. Chi entra in possesso di username e password di un sito qualsiasi, può provare ad utilizzarli anche altrove, con ottime probabilità di successo. Cosa si può fare – Gli esercenti devono conservare solo le informazioni strettamente necessarie e cifrarle adeguatamente. Ma è anche importante “educare” gli utenti a non usare password troppo facili e ripetute tra più siti, costringendoli comunque ad usare un numero minimo di caratteri.

I dati in transito dall’utente al sito sono quelli più a rischio, perché possono essere catturati sfruttando una qualsiasi vulnerabilità del software, specialmente quello usato per inglobare nel sito il sistema di pagamento, tipo iFrames o Transparent Redirect. Oppure tramite il “Wireless Sniffing”, cioè l’intercettazione dei dati trasmessi via wireless. Cosa si può fare – Basta seguire le indicazioni dell’Ente responsabile degli standard di protezione PCI, e usare sempre e comunque il protocollo sicuro SSL.

Link utili su questo argomento

Comments No Comments »

Il crescente interesse per il cloud computing, dominato da grandi aziende planetarie, ha contribuito non poco a mettere in ombra l’open source e i suoi successi. Ci chiediamo se le due cose possano avere un futuro comune. Una recente inchiesta di Zenoss ci aiuta a rispondere, evidenziando come l‘open cloud sia ancora poco utilizzato, persino nella stessa comunità open source, soprattutto a causa di una ancora “insufficiente maturità“. La tecnologia dominante, in questo campo, è OpenStack. La notizia clou sarebbe, però, quella di un futuro radioso, per l’open cloud, avendo il 57% dei rispondenti espresso l’intenzione di sviluppare in futuro una “open source cloud”, motivati soprattutto (75%) da efficienza e prestazioni nelle tecnologie di virtualizzazione.

OpenStack è il software open source, nato a luglio 2010, con cui chiunque può costruire una piattaforma per il cloud computing veramente alternativa a Elastic Compute Cloud (EC2) di Amazon. Al progetto partecipano aziende come Dell, HP, IBM, Cisco e persino Microsoft. Ne sono promotori la NASA (sì, proprio l’agenzia spaziale) e l’azienda di hosting Rackspace, col sostegno indiretto del governo USA. Le alternative a OpenStack più richieste, sempre secondo l’indagine, sarebbero CloudStack – sviluppato dalla Apache Software Foundation – e Eucalyptus, specializzato per la realizzazione di cloud ibride basate sulle API di Amazon AWS

C’è chi sostiene che il cloud computing andrà inevitabilmente verso l’open source. La spinta verrà dalla necessità di avere una reale flessibilità d’utilizzo: quando le varie tecnologie in campo (e nel cloud computing i fornitori sono sempre più di uno) sono realmente compatibili e integrabili, tutto è più facile e, soprattutto, sicuro. La maggiore sicurezza dovrebbe derivare dal fatto che, nel momento in cui si integrano tra loro varie tecnologie, il gestore di una soluzione proprietaria non può garantire pieno supporto, mentre con l’open source è facile individuare eventuali falle. Dunque dovrebbe ripetersi la storia (Linux, Android), secondo l’articolo di Forbes: le tecnologie proprietarie gettano le basi, ma poi la comunità degli sviluppatori ne raccoglie i frutti, con soluzioni open source.

Link e altre risorse utili su questo argomento

Comments No Comments »

A differenza di quanto avveniva quando le applicazioni giravano solo sui computer, oggi i dispositivi in uso nel mondo hanno una maggiore pluralità di sistemi operativi, ma c’è un linguaggio che ha la compatibilità con tutti: l’HTML5. Ciò nonostante, optare per l’HTML5 non è una scelta scontata, altrimenti Mark Zuckerberg non avrebbe detto che puntare sull’HTML5, per Facebook, è stato un errore,che ha fatto loro solo perdere due anni di tempo.

Quando si parla di applicazioni native, s’intende di solito una versione per iOS e una per Android. Di Blackberry se ne parla sempre meno e Windows Mobile rappresenta ancora una grande incognita, per quanto riguarda il mercato.

Le applicazioni native hanno il vantaggio di essere più veloci (mediamente del 10-15%). Ma è anche vero che la velocità dei processori aumenta continuamente. Il costo è sicuramente maggiore, perché bisogna fare una versione per ogni sistema operativo e, in generale, richiedono più tempo. Ma come resa, è più facile ottenere applicazioni accattivanti.

L’HTMl5 è la soluzione più economica, perché con un’unica attività di sviluppo, si realizzano applicazioni buone per tutti i sistemi operativi, sia desktop che mobile. L’handicap è di essere un po’ meno performante.

Freddy May, su .net magazine, fa notare come il fenomeno delle app, finora di esclusivo appannaggio del mondo consumer, stia sempre più interessando l’ambito business, o B2B. Per le aziende, i tempi sono un fattore cruciale, ragion per cui, nel mondo business, l‘HTML5 può diventare uno strumento di grande valore strategico. Fatta questa scelta, bisogna essere coerenti fino in fondo, e non cercare di sviluppare app in HTML come se fossero native, col rischio di rallentare tutto. Freddy ci consiglia perciò di evitare lunghe liste da scorrere, effetti di transizione e animazioni. Il codice nativo diventa invece la scelta migliore “quando si punta su una singola app in ambito consumer, decisiva per il futuro della propria attività”.

Un altro commentatore, Craig Buckler, su SitePoint, punta l’indice sul fattore sicurezza: secondo un’indagine di Bit9, il 26% delle applicazioni native accede ai dati personali dell’utente, per compensare gli scarsi ricavi di modelli, come ad esempio quello di Android, nei quali la maggior parte delle app è gratuita. Ma questo è più un problema per gli utenti – e per le aziende nelle quali lavorano – che per gli sviluppatori.

Link utili su questo argomento

Comments 2 Comments »

Il Garante per la protezione dei dati personali ha messo a punto una mini guida, intitolata “Cloud computing – Proteggere i dati per non cadere dalle nuvole”, a beneficio di imprese e pubbliche amministrazioni. Sintetizziamo di seguito le raccomandazioni dell’Autorità.

  1. Accertare l’esperienza, la capacità e l’affidabilità del fornitore, prima di trasferire sui sistemi cloud i propri dati più preziosi.
  2. Privilegiare i servizi che favoriscono la portabilità dei dati, in quanto basati su formati e standard aperti.
  3. Assicurarsi la disponibilità dei dati – esigendo clausole per la continuità operativa e, in ogni caso, conservandone una copia – in caso di necessità.
  4. Valutare con attenzione quali dati inserire nella nuvola, escludendo, in caso, i dati sensibili e le informazioni coperte da segreto industriale.
  5. Non perdere di vista i dati, informandosi sulle prestazioni offerte da tutti i soggetti coinvolti nella fornitura del servizio.
  6. Informarsi su dove risiederanno concretamente i dati, per sapere qual è la giurisdizione competente e quali regole verranno seguite.
  7. Valutare bene le condizioni contrattuali, in particolare per ciò che riguarda il caso di perdita o illecita diffusione dei dati e quello di recesso dal servizio e passaggio ad altro fornitore.
  8. Verificare tempi e modalità di conservazione dei dati, specialmente per quanto riguarda i tempi successivi alla scadenza del contratto.
  9. Valutare le misure di sicurezza, privilegiando fornitori che utilizzino modalità crittografiche di archiviazione e trasmissione dei dati, accompagnate da modalità “robuste” di identificazione dei soggetti autorizzati all’’accesso.
  10. Formare adeguatamente il personale, per limitare al minimo gli errori che potrebbero portare ad accessi illeciti, perdita di dati e trattamenti non consentiti.

Link utili su questo argomento

Comments No Comments »

È la vendetta di Steve Jobs: i dispositivi della Apple non solo continuano ad essere molto meno soggetti al malware, rispetto a quelli Windows, ma portano infezioni più a questi ultimi che a se stessi. Una recente indagine di Sophos su dispositivi Mac ha infatti rivelato che, tra essi, un quinto trasporta malware che può attaccare PC Windows, mentre solo uno su 36 è infetto da malware per Mac OS X.

È un problema quasi di natura etica, secondo Sophos, che paragona gli utenti Mac alle persone affette da Chylamidia, una malattia sessualmente trasmissibile che spesso i portatori non sanno di avere. Perciò l’azienda inglese invita tali utenti a “comportarsi da cittadini responsabili“, controllando i propri dispositivi con software antivirus.

I Mac vengono infettati con le stesse modalità dei PC Windows: drive USB, allegati email, visita di siti compromessi. Ma sono ancora molto più sicuri, rispetto al sistema operativo rivale, non tanto per la minore vulnerabilità (di cui anzi alcuni esperti dubitano), quanto perché, tra i criminali informatici, non c’è una tradizione consolidata di attacco ai Mac, storicamente troppo pochi. Nonostante ciò, ora che i dispositivi col sistema operativo della Apple sono molti di più, in percentuale, i rischi crescono sempre di più, anche perché gli autori di malware sanno che sono pochi i Mac dotati di antivirus. Inoltre tali utenti, abituati a pagare molto di più degli altri, risulterebbero più appetibili per il furto di password e numeri di carte di credito. Il malware più diffuso sul Mac si chiama Flashback, ruba le password e ha infettato finora circa 600 mila Mac, l’1 per cento del totale.

Link utili e altre risorse su questo argomento

Comments No Comments »

Il CAPTCHA è quel test che sempre più spesso bisogna superare – per dimostrare di essere umani, e non “bot” che cercano di violare i sistemi – quando si compila un modulo sul web. La sua economicità rende il CAPTCHA molto conveniente, per chi gestisce un sito, ma per gli utenti può essere un ostacolo anche insormontabile.

L‘accessibilità è infatti il problema maggiore del CAPTCHA, perché gli utenti che ci vedono poco o niente, non riescono in alcun modo a superare il test, tanto che il W3C ha redatto delle Linee guida sull’inaccessibilità dei CAPTCHA. Anche l’alternativa audio (non adatta ai sordi) richiede un intervento manuale, perciò si stanno cercando alternative accessibili, tra cui quella di contenitori centralizzati di test logici, da cui i singoli siti dovrebbero pescare domande a caso. Un altro ambito che pone enormi problemi è anche quello della fruizione in mobilità.

Nel frattempo, gli spammer non stanno a guardare, ed escogitano strategie sempre più efficaci per violare i CAPTCHA, normalmente basate sui sistemi di riconoscimento dei testi (OCR), tanto che si diffondono soluzioni, come quella di NuCaptcha, che offrono CAPTCHA in video. Un sistema efficace adottato dagli spammer è quello di attivare sul Web un servizio a cui gli umani richiedono l’accesso, ad esempio una collezione di immagini porno. All’utente che chiede di accedere, viene proposto un CAPTCHA, ricavato dal sito esterno che lo spammer vuole attaccare. Ottenuta dall’utente la soluzione, quest’ultima puà essere “riciclata” per superare la barriera del sito bersaglio.

Link utili su questo argomento

Comments No Comments »

Ci sono molte prove, ormai, che il Cloud Computing non sia una moda passeggera. L’83% delle nuove aziende di software del 2012 saranno incentrate sulla fornitura di servizi via web, anziché sulla distribuzione di pacchetti da installare, secondo una ricerca di IDC. Sempre IDC dice che il mercato Cloud cresce il quintuplo del mercato software nel suo complesso. Secondo Cisco, invece, il traffico Cloud sta aumentando di 12 volte, in un arco temporale di 5 anni, non tanto a causa del download di musica o lo streaming di film, ma soprattutto per lo scambio di dati tra datacenter. E così via.

Per le aziende IT, tutto ciò richiede di adottare tre accortezze, secondo Maria Korolov, presidente di Trombly International.

  1. Innanzi tutto, chiedersi se i propri fornitori di software “tradizionale” hanno una strategia per passare al software come servizio (SaaS), che già garantisce, a chi lo vende, un flusso più continuo e regolare sia di aggiornamenti, sia di conseguenti ricavi. Chi rimane ancorato al vecchio modello, rischia di diventare marginale, sul mercato.
  2. Questo non significa che bisogna sempre preferire la soluzione SaaS. Ogni volta bisogna accertarsi di avere una exit strategy. Il Cloud Computing pullula di nuovi operatori. Questo significa che molti falliranno. Perciò bisogna essere sicuri di poter scaricare i propri dati e trasferirli presso un nuovo provider. Una buona mossa è quello di aspettare a vedere chi sarà il vincitore, nello specifico segmento che ci interessa
  3. Infine, non dare mai per garantite né la sicurezza, né la conformità. Se avesse accesso ai tuoi dati un dipendente che poi viene licenziato? I fornitori affidabili sono quelli che fanno cose tipo fornire i risultati di analisi indipendenti, così come strumenti di monitoraggio e verifica, oltre a consentire di controllare direttamente i privilegi di accessi per i propri utenti.

Link utili su questo argomento

Comments 1 Comment »

Uno dei motivi per cui le tecnologie Open Source sono particolarmente apprezzate è quello della sicurezza, perché la visibilità del codice ad una vasta community consentirebbe il massimo del controllo. Se questo è vero, è utile confrontare tra loro, e in modo equanime, le diverse piattaforme, attorno alle quali si aggregano schiere di accaniti e poco obiettivi fan. Uno studio indipendente ha confrontato le caratteristiche di sicurezza di 5 CMS Open Source, prendendo in considerazione il numero di vulnerabilità (“una componente implicita di un sistema che ne rappresenta un punto debole nel suo funzionamento”), tramite l’analisi di tutte le rispettive documentazioni e annunci ufficiali. È emerso dallo studio un buon livello di sicurezza, in generale, con alcune differenze:

  • WordPress ha una sola vulnerabilità seria e questo rappresenta un sicuro punto di forza;
  • Drupal ha una più alta percentuale di vulnerabilità serie, ma è per il fatto che ha un basso numero di vulnerabilità in generale; in compenso ha il vantaggio di avere una struttura tutta modulare, con un codice di base molto ridotto, che la rende più sicura;
  • TYPO3 sembrerebbe essere quello che se la cava peggio, con 18 vulnerabilità serie, ma pare che segua un metodo di valutazione dei bug più restrittivo degli altri;
  • Joomla pure sembra cavarsela bene: ha il più alto numero di vulnerabilità, ma di serie ce n’ha solo 3 (come Drupal);
  • SilverStripe, meno nota in Italia, si colloca più o meno nella media.

Link utili su questo argomento

Comments No Comments »