hit counter
Apple continua ad avere un approccio miope ed anacronistico sugli aspetti di Sicurezza - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Apple continua ad avere un approccio miope ed anacronistico sugli aspetti di Sicurezza

Apple continua ad avere un approccio miope ed anacronistico sugli aspetti di Sicurezza

  • Comments 21
  • Likes

Nella descrizione relativa al problema del browser Safari del Security Advisory appena pubblicato da Microsoft di cui vi ho parlato nel post precedente, i più aggiornati tra voi avranno riconosciuto l'accesa discussione di questi giorni sul problema "Carpet Bombing" (ZDNet: Why Apple must fix Safari ‘carpet bombing’ flaw immediately), uno dei 3 problemi segnalati ad Apple da Dhanjani.

Quello che sta scaldando la blogosfera è l'atteggiamento di Apple che accetta di  considerare "vulnerabilità" solo 1 delle 3 segnalazioni di Dhanjani, preferendo classificare le altre due come "richieste di nuove funzionalità" (in Microsoft le chiamiamo DCR, design change request). Ho riportato, traducendole, le considerazioni di Dhanjani, giudicate voi:

  • "carpet bomb": il browser Safari non può essere configurato per chiedere il consenso dell'utente prima di scaricare un contenuto da Internet. Safari lo fa in modo silente e lo salva nella posizione predefinita (a meno che l'utente non l'abbia esplicitamente modificata)
  • Sandbox not Applied to Local Resources: per esempio, diversamente da quanto fa Internet Explorer, Safari non avvisa l'utente quando una risorsa locale, come un file HTML, tenta di invocare dello scripting client side.

safari_security_thumb[1] Sinceramente mi sono stupito nel vedere che queste funzionalità di sicurezza  fossero assenti in un browser così recente che è uscito vantando "...to be secure from day one", come indica lo stralcio della pagina web di Apple che ha riportato ZDNET (scusatemi ma non ho resistito... ).

Ribadisco un concetto espresso in un post recente sempre a proposito dell'atteggiamento di Apple: è davvero triste vedere che le disavventure passate di Microsoft con gli aspetti di sicurezza non siano servite da lezione per i nuovi vendor che ora si ritrovano a dover gestire le stesse problematiche, e che si ricommettano gli stessi errori, a tal punto da far dire a tanti "Stop using Safari".

Tecnicamente ed egoisticamente parlando, Apple potrebbe anche aver ragione (anche se in Microsoft la definizione di vulnerabilità farebbe rientrare queste problematiche come tali), peccato che si stia parlando di funzionalità di sicurezza che credo siano ormai irrinunciabili per un browser, sia alla luce delle minacce ormai comprovate, sia dalla dimostrazione di queste nuove tipologie di attacchi in cui si riescono a sommare due debolezze in due prodotti diversi, magari lievi in sé, ma che sommate possono produrre un rischio combinato ben più serio.

Se si intende procedere per il miglioramento della sicurezza di Internet e per una estesa interoperabilità, è necessario che tutti facciano la loro parte nel prendere sul serio le problematiche di sicurezza e fare tutto il possibile per migliorare i propri prodotti: io credo che Microsoft sia su questa strada già da tempo, ed è ora che anche Apple si accodi...

Share this post :
Comments
  • e` il toro che da del cornuto all'asino...

  • Dotta citazione Gasno, non c'è che dire! Io, tra i due, preferisco essere il toro, e tu mi sa che tieni per l'asino, forse un po' troppo campanilisticamente... visto che non sembri avere argomentazioni da portare alla discussione!

  • Feliciano,

    sai come stanno le cose? Ormai gli APP£€ user stanno alla frutta su tutto,

    avevano fatto della sicurezza il proprio cavallo di battaglia ma al contrario con Tiger e leopad nel 2007 e 2008 stanno facendo l'album delle figure di cacca Collection  http://blogs.technet.com/security/attachment/3055337.ashx  gratis e in PDF :D :D e vedono Microsoft come il demonio, tu prova a gurdarti i forum dei Mac user e noterai che nel 95% dei post non fanno altro che parlare di Windows Windows Windows,

    Volevano parlare male di alcuni problemi legati (a qualche user pasticcione) riguardo l update SP1, ma hai visto cosa è successo a lro aggiornanto alla 10.5.3 ??? nel migiore dei casi hanno avuto black screen :D :D se sfogli un po le pagine di farai un idea http://www.italiamac.it/forum/showthread.php?goto=newpost&t=244155

    quindi se vengono a Trollare perchè stanno prendendo fuoco e manco il bicarbonato li calma, lasciali perdere non ne vale manco la pena,

    concludendo voglio ricordare a questi giovani..

    Microsoft al contrario delle vostre dicerie  E UNA FAMIGLIA ,

    non ho mai visto un azienda cosi aperta tra Tecnici Developers Evangelist Presidenti Direttori Ceo etc essere cosi socievoli umili e altruisti nei confronti degli User Consumer a partire da Redmond per finire in Italia.

    Grazie!!!!!!!

  • Caro Dovella, su daiiii...., se fai così tutti crederanno che ti paghiamo !!! :-) Ammiro il tuo entusiasmo per Microsoft, ma se sicuramente non siamo diavoli, non siamo nemmeno angeli ;-)

    Aiutami anche tu a non infiammare il blog con la semplice contrapposizione e con toni più pacati...grazie!

  • Carissimo Feliciano, con tutta la buona volontà di questo mondo,

    ma quando uno mi entra a gamba tesa in modo volgare senza portare un contenuto un idea un filo logico discutibile come vuoi rispondere?

  • ...ecco appunto ...come nel calcio è bene rispondere con fair play e rispetto, ed evitare così l'insorgere della violenza negli stadi! :-)

  • Alzo le mani Doctor Feliciano :D !!!!!!!!! Invidio la tua  saggezza!!

  • Facendo appello al mio spirito di collaborazione e ammettendo umanamente la fraintendibilita` di quanto ho scritto in precedenza (senza chiedere scusa,sarebbe ipocrita, ma nemmeno esaltando il significato del mio precedente intervento) mi permetto di sottolineare quanto possa essere quantomeno messo in discussione quello che microsoft ha da dire a proprio vantaggio in merito alla sicurezza (dopo che il mio computer e` stato messo a dura prova in molteplici occasioni da crash che hanno implicato spesso la perdita di dati). il mio caso non e` isolato ma direi che in quanto cliente microsoft e in qualche modo figliol prodigo di questa "Grande Famiglia" mi aspetto che alla prossima uscita di un sistema operativo questo migliori la mia esperienza d'uso, non come e' capitato con l'ultimo prodotto di questa "Grande Famiglia".

    servono dati a supporto della mia tesi che cosi' succintamente ho esposto? la mia esperienza e' a sufficienza... perche' se non lo e' mi pare che sia il caso di mettere in discussione a sua volta anche il concetto di "Grande Famiglia".

    e ben poco "saggio" trovo il fatto che qualcuno dia dell'asino ad un cliente microsoft mettendo sul personale quello che era nelle intenzioni di essere una emozionale (forse troppo) ma sincera espressione di pensiero negativo nei confronti dell'operato di Microsoft.

    infine mi permetto di mettere in luce quanto sia opportuno che l'utente dovella faccia uno slancio di generosita` comunicativa e posti il link anche degli interventi come minimo poco gradevoli sempre nello stesso forum.

    Ringrazio

  • Ecco Gasno, qui la volevo, ad esporre la sua opinione: se lei avesse letto a fondo il post in oggetto e quello correlato (in esso richiamato) avrebbe compreso il mio intento comunicativo, non credo così oscuro, teso a far presente che:

    - sono l'ultimo che possa negare le problematiche di Microsoft in area sicurezza (anche se credo che quelle più serie siano in gran parte un ricordo del passato)

    - ma d'altra parte non capisco perché debbano negarle gli altri vendor, che stanno dimostrando lo stesso percorso di problemi e di recupero.

    Poi lei commette, mi perdoni, l'errore diffuso di accomunare i problemi di prestazioni del suo PC, di cui mi dolgo sinceramente a nome della mia azienda, ma che ritengo slegati dagli aspetti di sicurezza di cui stiamo discutendo in questa sede (trattandosi di Security Blog). Accolgo la sua lamentela e la inoltro a chi di dovere...

    Infine ci tengo a ribadire che il mio commento di risposta al suo non la toccava personalmente, avendo detto "tu mi sa che tieni per l'asino", dove, evidentemente, l'asino in questione era riferito ad Apple, riutilizzando l'immagine colorita che lei stesso ha usato per primo.

    Mi scuso per averle dato del tu senza permesso e la ringrazio di questa occasione di scambio di opinioni... un po' barocca!

    Ciao Gasno, senza rancor!

  • Vede signor Intini,

    quello che lei chiama errore Apple lo ha reso il suo cavallo di battaglia, ovvero il fatto che gli utenti siano spinti a considerare il computer come un apparecchio che fornisce un servizio in quanto tale ovvero come commistione di HW e SW... un pregio insomma che conduce e finora ha condotto a floridi risultati in ambito di sicurezza "percepita" che mi perdoni la franchezza ma è l'unica che conta...

    finora Apple nega due dei tre punti perchè molto probabilmente sono molto poco percepiti dai clienti e credo che anche microsoft sia indotta a orientarsi verso il cliente nel decidere quali sono le problematiche verso le quali concentrare la propria attenzione.

    due politiche diverse quelle di Microsoft ed Apple dove una è più cautelativa MS e l'altra più sensibile all'opportunità o meno di certe azioni.

    L'unica cosa che mi porta ad avere un sincero prurito all'ego è la manifestazione del fatto che Apple non si cura dei problemi di sicurezza mentre microsoft viene considerata più virtuosa in tal senso e ciononostante tocca al mio PC Sony Vaio l'arduo compito rovinarmi una giornata intera per procedere alla reinstallazione del software quando il mio mac conserva la stessa installazione da un anno a questa parte (regolarmente in back up attraverso time machine).

    Ben lungi dal considerare Microsoft una grande famiglia sono stato piacevolmente sorpreso dalla solerzia e dalla competenza che lei con la sua moderata ma trasparente risposta ha manifestato di avere.

    No Hay Problema per il discorso del darsi del tu naturalmente...

  • Gasmo ,

    Non ho ben capito il problema relativo ai miei Link.

    Può essere più chiaro?

  • non credo sia opportuno continuare in questa sede questa questione;

    Rimane che io gradisco che mi venga dato del tu al di là delle occasioni strettamente professionali...

  • @Gasmo.

    Se vogliamo approfondire il discorso Vaio a livello tecnico possiamo

    la invito a venire nella sezione Vista di Hardware Upgrade

    http://www.hwupgrade.it/forum/forumdisplay.php?f=127

    e le anticipo che noi abbiamo shadow copy che non necessita nemmeno di un HD esterno tanto per essere chiari per non parlare poi di Windows home Server che se connesso ad altri dispositivi crea interi back up del sistema sempre disponibili .

    In ogni caso le anticipo che le installazioni OEM che siano Sony, Dell , Acer etc, sono piene di  Bloatware .

    Ma le garantisco che una volta installato il sistema operativo a regola d'arte e se lei ritiene opportuno come (Feliciano le consiglierà) un buon antivirus che va a sposarsi col sistema,

    (io consiglio One Care per la perfetta ) , in nessun caso riceverà problemi anzi le dirò di piu ultimamente a  malincuore avverto molti piu crash e problematiche varei per OSx che sia Leopard o Tiger che per Vista.

    Quindi per i problemi con Vaio l'aspetto su HwUp.

    saluti

  • Gasno è il nickname; in ogni caso le shadow copy non mi hanno salvato purtroppo proprio perchè presenti nello stesso HD, apprezzo la tua attenzione alla mia problematica.

    rimane che i problemi ci sono in tutte le direzioni e che ancora una volta non è il caso di rinfacciarsele in questo caso...

    mi spiace che lei si ostini a darmi del lei...

  • a scusa non avevo capito.

    Allora diamoci del tu.

    Ho abbastanza buona fede, ma ti dico a priori che in nessun caso da me trattato mi è mai capitato di vedere problematiche con il magico Shadow Copy quindi i casi a questo punto sono 2

    o menti , o non sai usare il PC,

    Voglio vedere coi miei occhi bloccare Vista,

    non dico sia impossibile ma è molto molto molto improbabile,

    per questa questione ti rinnovo l'invito su hwup.

    per quanto riguarda la sicurezza qui cè Feliciano.

    Ed è per questo che ti dico in sintesi se vuoi parlare delle problematiche APple relative al theard allora puoi continuare , in caso contrario io sono di la.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment