hit counter
Apple continua ad avere un approccio miope ed anacronistico sugli aspetti di Sicurezza - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Apple continua ad avere un approccio miope ed anacronistico sugli aspetti di Sicurezza

Apple continua ad avere un approccio miope ed anacronistico sugli aspetti di Sicurezza

  • Comments 21
  • Likes

Nella descrizione relativa al problema del browser Safari del Security Advisory appena pubblicato da Microsoft di cui vi ho parlato nel post precedente, i più aggiornati tra voi avranno riconosciuto l'accesa discussione di questi giorni sul problema "Carpet Bombing" (ZDNet: Why Apple must fix Safari ‘carpet bombing’ flaw immediately), uno dei 3 problemi segnalati ad Apple da Dhanjani.

Quello che sta scaldando la blogosfera è l'atteggiamento di Apple che accetta di  considerare "vulnerabilità" solo 1 delle 3 segnalazioni di Dhanjani, preferendo classificare le altre due come "richieste di nuove funzionalità" (in Microsoft le chiamiamo DCR, design change request). Ho riportato, traducendole, le considerazioni di Dhanjani, giudicate voi:

  • "carpet bomb": il browser Safari non può essere configurato per chiedere il consenso dell'utente prima di scaricare un contenuto da Internet. Safari lo fa in modo silente e lo salva nella posizione predefinita (a meno che l'utente non l'abbia esplicitamente modificata)
  • Sandbox not Applied to Local Resources: per esempio, diversamente da quanto fa Internet Explorer, Safari non avvisa l'utente quando una risorsa locale, come un file HTML, tenta di invocare dello scripting client side.

safari_security_thumb[1] Sinceramente mi sono stupito nel vedere che queste funzionalità di sicurezza  fossero assenti in un browser così recente che è uscito vantando "...to be secure from day one", come indica lo stralcio della pagina web di Apple che ha riportato ZDNET (scusatemi ma non ho resistito... ).

Ribadisco un concetto espresso in un post recente sempre a proposito dell'atteggiamento di Apple: è davvero triste vedere che le disavventure passate di Microsoft con gli aspetti di sicurezza non siano servite da lezione per i nuovi vendor che ora si ritrovano a dover gestire le stesse problematiche, e che si ricommettano gli stessi errori, a tal punto da far dire a tanti "Stop using Safari".

Tecnicamente ed egoisticamente parlando, Apple potrebbe anche aver ragione (anche se in Microsoft la definizione di vulnerabilità farebbe rientrare queste problematiche come tali), peccato che si stia parlando di funzionalità di sicurezza che credo siano ormai irrinunciabili per un browser, sia alla luce delle minacce ormai comprovate, sia dalla dimostrazione di queste nuove tipologie di attacchi in cui si riescono a sommare due debolezze in due prodotti diversi, magari lievi in sé, ma che sommate possono produrre un rischio combinato ben più serio.

Se si intende procedere per il miglioramento della sicurezza di Internet e per una estesa interoperabilità, è necessario che tutti facciano la loro parte nel prendere sul serio le problematiche di sicurezza e fare tutto il possibile per migliorare i propri prodotti: io credo che Microsoft sia su questa strada già da tempo, ed è ora che anche Apple si accodi...

Share this post :
Comments
  • D'accordo do un occhio sicuramente,

    preciso che il mio problema era che ho dovuto per ovvie ragioni di performance installare XP sulla partizione che contiene la copy; il problema non è mai stato con shadow copy che funziona (che poi ho capito cosa fosse). do questa notizia a vantaggio del dr Intini con il quale mi scuso per il monopolio che la mia conversazione sta prendendo talvolta uscendo dal topic.

    buona serata a tutti

  • Ciao, per qualsiasi problema con Vista resto a disposizione.

  • Ciao Gasno, le tue parole confermano ulteriormente l'opinione che ho espresso in questo post e in questo: http://blogs.technet.com/feliciano_intini/archive/2008/03/31/non-godo-dei-tempi-duri-che-sta-attraversando-la-sicurezza-di-apple.aspx

    Secondo me, Apple sta appunto commettendo lo stesso errore che Microsoft fece diversi anni fa: di preoccuparsi prevalentemente della user experience e della sua reputazione di relazioni pubbliche, e non affrontando con la dovuta urgenza e serietà la revisione completa degli aspetti di sicurezza (stando ai diversi dati pubblici a disposizione di tutti, relativi alla gestione delle vulnerabilità). Fino ad ora ha potuto sicuramente approfittare di una focalizzazione degli attacchi verso MS, ma se punta ad aumentare la sua quota di mercato (come credo sia normale) dovrà ben presto far fronte ad una serie di minacce che riuscirà a gestire solo se cambia approccio, non con quello attuale. E' per questo che sì, io credo che ora Microsoft sia più virtuosa di Apple nel miglioramento dei propri prodotti rispetto alla sicurezza, anche tenendo conto che il lavoro di Apple in tal senso dovrebbe essere più facile (meno vincoli applicativi, governo dell'HW), invece ha l'approccio della Microsoft di 10 anni fa. Solo che 10 anni fa il tema sicurezza non era così sentito, ora è ben chiaro a tutti, anche se Apple sembra non preoccuparsene in modo adeguato: da qui i termini "miope" ed "anacronistico". Naturalmente, it's only my opinion... e certamente una opinione di parte.

  • E' indubbio che l'arrivo di Google Chrome segnerà il vero e proprio scoppio della "1a Guerra

  • Qualche giorno fà, per la precisione il 3 di settembre, Google ha reso disponibile per il download

  • [English version below: " Microsoft Security Bulletin Risk Analysis – April 2009 " ] Come già

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment