hit counter
03 June 2008

Apple continua ad avere un approccio miope ed anacronistico sugli aspetti di Sicurezza

Nella descrizione relativa al problema del browser Safari del Security Advisory appena pubblicato da Microsoft di cui vi ho parlato nel post precedente, i più aggiornati tra voi avranno riconosciuto l'accesa discussione di questi giorni sul problema "Carpet Bombing" (ZDNet: Why Apple must fix Safari ‘carpet bombing’ flaw immediately), uno dei 3 problemi segnalati ad Apple da Dhanjani.

Quello che sta scaldando la blogosfera è l'atteggiamento di Apple che accetta di  considerare "vulnerabilità" solo 1 delle 3 segnalazioni di Dhanjani, preferendo classificare le altre due come "richieste di nuove funzionalità" (in Microsoft le chiamiamo DCR, design change request). Ho riportato, traducendole, le considerazioni di Dhanjani, giudicate voi:

  • "carpet bomb": il browser Safari non può essere configurato per chiedere il consenso dell'utente prima di scaricare un contenuto da Internet. Safari lo fa in modo silente e lo salva nella posizione predefinita (a meno che l'utente non l'abbia esplicitamente modificata)
  • Sandbox not Applied to Local Resources: per esempio, diversamente da quanto fa Internet Explorer, Safari non avvisa l'utente quando una risorsa locale, come un file HTML, tenta di invocare dello scripting client side.

safari_security_thumb[1] Sinceramente mi sono stupito nel vedere che queste funzionalità di sicurezza  fossero assenti in un browser così recente che è uscito vantando "...to be secure from day one", come indica lo stralcio della pagina web di Apple che ha riportato ZDNET (scusatemi ma non ho resistito... ).

Ribadisco un concetto espresso in un post recente sempre a proposito dell'atteggiamento di Apple: è davvero triste vedere che le disavventure passate di Microsoft con gli aspetti di sicurezza non siano servite da lezione per i nuovi vendor che ora si ritrovano a dover gestire le stesse problematiche, e che si ricommettano gli stessi errori, a tal punto da far dire a tanti "Stop using Safari".

Tecnicamente ed egoisticamente parlando, Apple potrebbe anche aver ragione (anche se in Microsoft la definizione di vulnerabilità farebbe rientrare queste problematiche come tali), peccato che si stia parlando di funzionalità di sicurezza che credo siano ormai irrinunciabili per un browser, sia alla luce delle minacce ormai comprovate, sia dalla dimostrazione di queste nuove tipologie di attacchi in cui si riescono a sommare due debolezze in due prodotti diversi, magari lievi in sé, ma che sommate possono produrre un rischio combinato ben più serio.

Se si intende procedere per il miglioramento della sicurezza di Internet e per una estesa interoperabilità, è necessario che tutti facciano la loro parte nel prendere sul serio le problematiche di sicurezza e fare tutto il possibile per migliorare i propri prodotti: io credo che Microsoft sia su questa strada già da tempo, ed è ora che anche Apple si accodi...

Share this post :
Filed under: , ,
 

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS

Comments

# Gasno said:

e` il toro che da del cornuto all'asino...

03 June 08 at 3:11 PM
# Feliciano Intini said:

Dotta citazione Gasno, non c'è che dire! Io, tra i due, preferisco essere il toro, e tu mi sa che tieni per l'asino, forse un po' troppo campanilisticamente... visto che non sembri avere argomentazioni da portare alla discussione!

04 June 08 at 2:50 AM
# dovella said:

Feliciano,

sai come stanno le cose? Ormai gli APP£€ user stanno alla frutta su tutto,

avevano fatto della sicurezza il proprio cavallo di battaglia ma al contrario con Tiger e leopad nel 2007 e 2008 stanno facendo l'album delle figure di cacca Collection  http://blogs.technet.com/security/attachment/3055337.ashx  gratis e in PDF :D :D e vedono Microsoft come il demonio, tu prova a gurdarti i forum dei Mac user e noterai che nel 95% dei post non fanno altro che parlare di Windows Windows Windows,

Volevano parlare male di alcuni problemi legati (a qualche user pasticcione) riguardo l update SP1, ma hai visto cosa è successo a lro aggiornanto alla 10.5.3 ??? nel migiore dei casi hanno avuto black screen :D :D se sfogli un po le pagine di farai un idea http://www.italiamac.it/forum/showthread.php?goto=newpost&t=244155

quindi se vengono a Trollare perchè stanno prendendo fuoco e manco il bicarbonato li calma, lasciali perdere non ne vale manco la pena,

concludendo voglio ricordare a questi giovani..

Microsoft al contrario delle vostre dicerie  E UNA FAMIGLIA ,

non ho mai visto un azienda cosi aperta tra Tecnici Developers Evangelist Presidenti Direttori Ceo etc essere cosi socievoli umili e altruisti nei confronti degli User Consumer a partire da Redmond per finire in Italia.

Grazie!!!!!!!

04 June 08 at 10:40 AM
# Feliciano Intini said:

Caro Dovella, su daiiii...., se fai così tutti crederanno che ti paghiamo !!! :-) Ammiro il tuo entusiasmo per Microsoft, ma se sicuramente non siamo diavoli, non siamo nemmeno angeli ;-)

Aiutami anche tu a non infiammare il blog con la semplice contrapposizione e con toni più pacati...grazie!

04 June 08 at 11:04 AM
# dovella said:

Carissimo Feliciano, con tutta la buona volontà di questo mondo,

ma quando uno mi entra a gamba tesa in modo volgare senza portare un contenuto un idea un filo logico discutibile come vuoi rispondere?

04 June 08 at 11:13 AM
# Feliciano Intini said:

...ecco appunto ...come nel calcio è bene rispondere con fair play e rispetto, ed evitare così l'insorgere della violenza negli stadi! :-)

04 June 08 at 11:27 AM
# dovella said:

Alzo le mani Doctor Feliciano :D !!!!!!!!! Invidio la tua  saggezza!!

04 June 08 at 11:31 AM
# Gasno said:

Facendo appello al mio spirito di collaborazione e ammettendo umanamente la fraintendibilita` di quanto ho scritto in precedenza (senza chiedere scusa,sarebbe ipocrita, ma nemmeno esaltando il significato del mio precedente intervento) mi permetto di sottolineare quanto possa essere quantomeno messo in discussione quello che microsoft ha da dire a proprio vantaggio in merito alla sicurezza (dopo che il mio computer e` stato messo a dura prova in molteplici occasioni da crash che hanno implicato spesso la perdita di dati). il mio caso non e` isolato ma direi che in quanto cliente microsoft e in qualche modo figliol prodigo di questa "Grande Famiglia" mi aspetto che alla prossima uscita di un sistema operativo questo migliori la mia esperienza d'uso, non come e' capitato con l'ultimo prodotto di questa "Grande Famiglia".

servono dati a supporto della mia tesi che cosi' succintamente ho esposto? la mia esperienza e' a sufficienza... perche' se non lo e' mi pare che sia il caso di mettere in discussione a sua volta anche il concetto di "Grande Famiglia".

e ben poco "saggio" trovo il fatto che qualcuno dia dell'asino ad un cliente microsoft mettendo sul personale quello che era nelle intenzioni di essere una emozionale (forse troppo) ma sincera espressione di pensiero negativo nei confronti dell'operato di Microsoft.

infine mi permetto di mettere in luce quanto sia opportuno che l'utente dovella faccia uno slancio di generosita` comunicativa e posti il link anche degli interventi come minimo poco gradevoli sempre nello stesso forum.

Ringrazio

04 June 08 at 12:12 PM
# Feliciano Intini said:

Ecco Gasno, qui la volevo, ad esporre la sua opinione: se lei avesse letto a fondo il post in oggetto e quello correlato (in esso richiamato) avrebbe compreso il mio intento comunicativo, non credo così oscuro, teso a far presente che:

- sono l'ultimo che possa negare le problematiche di Microsoft in area sicurezza (anche se credo che quelle più serie siano in gran parte un ricordo del passato)

- ma d'altra parte non capisco perché debbano negarle gli altri vendor, che stanno dimostrando lo stesso percorso di problemi e di recupero.

Poi lei commette, mi perdoni, l'errore diffuso di accomunare i problemi di prestazioni del suo PC, di cui mi dolgo sinceramente a nome della mia azienda, ma che ritengo slegati dagli aspetti di sicurezza di cui stiamo discutendo in questa sede (trattandosi di Security Blog). Accolgo la sua lamentela e la inoltro a chi di dovere...

Infine ci tengo a ribadire che il mio commento di risposta al suo non la toccava personalmente, avendo detto "tu mi sa che tieni per l'asino", dove, evidentemente, l'asino in questione era riferito ad Apple, riutilizzando l'immagine colorita che lei stesso ha usato per primo.

Mi scuso per averle dato del tu senza permesso e la ringrazio di questa occasione di scambio di opinioni... un po' barocca!

Ciao Gasno, senza rancor!

04 June 08 at 12:39 PM
# Gasno said:

Vede signor Intini,

quello che lei chiama errore Apple lo ha reso il suo cavallo di battaglia, ovvero il fatto che gli utenti siano spinti a considerare il computer come un apparecchio che fornisce un servizio in quanto tale ovvero come commistione di HW e SW... un pregio insomma che conduce e finora ha condotto a floridi risultati in ambito di sicurezza "percepita" che mi perdoni la franchezza ma è l'unica che conta...

finora Apple nega due dei tre punti perchè molto probabilmente sono molto poco percepiti dai clienti e credo che anche microsoft sia indotta a orientarsi verso il cliente nel decidere quali sono le problematiche verso le quali concentrare la propria attenzione.

due politiche diverse quelle di Microsoft ed Apple dove una è più cautelativa MS e l'altra più sensibile all'opportunità o meno di certe azioni.

L'unica cosa che mi porta ad avere un sincero prurito all'ego è la manifestazione del fatto che Apple non si cura dei problemi di sicurezza mentre microsoft viene considerata più virtuosa in tal senso e ciononostante tocca al mio PC Sony Vaio l'arduo compito rovinarmi una giornata intera per procedere alla reinstallazione del software quando il mio mac conserva la stessa installazione da un anno a questa parte (regolarmente in back up attraverso time machine).

Ben lungi dal considerare Microsoft una grande famiglia sono stato piacevolmente sorpreso dalla solerzia e dalla competenza che lei con la sua moderata ma trasparente risposta ha manifestato di avere.

No Hay Problema per il discorso del darsi del tu naturalmente...

04 June 08 at 1:15 PM
# dovella said:

Gasmo ,

Non ho ben capito il problema relativo ai miei Link.

Può essere più chiaro?

04 June 08 at 1:21 PM
# Gasno said:

non credo sia opportuno continuare in questa sede questa questione;

Rimane che io gradisco che mi venga dato del tu al di là delle occasioni strettamente professionali...

04 June 08 at 1:35 PM
# dovella said:

@Gasmo.

Se vogliamo approfondire il discorso Vaio a livello tecnico possiamo

la invito a venire nella sezione Vista di Hardware Upgrade

http://www.hwupgrade.it/forum/forumdisplay.php?f=127

e le anticipo che noi abbiamo shadow copy che non necessita nemmeno di un HD esterno tanto per essere chiari per non parlare poi di Windows home Server che se connesso ad altri dispositivi crea interi back up del sistema sempre disponibili .

In ogni caso le anticipo che le installazioni OEM che siano Sony, Dell , Acer etc, sono piene di  Bloatware .

Ma le garantisco che una volta installato il sistema operativo a regola d'arte e se lei ritiene opportuno come (Feliciano le consiglierà) un buon antivirus che va a sposarsi col sistema,

(io consiglio One Care per la perfetta ) , in nessun caso riceverà problemi anzi le dirò di piu ultimamente a  malincuore avverto molti piu crash e problematiche varei per OSx che sia Leopard o Tiger che per Vista.

Quindi per i problemi con Vaio l'aspetto su HwUp.

saluti

04 June 08 at 1:44 PM
# Gasno said:

Gasno è il nickname; in ogni caso le shadow copy non mi hanno salvato purtroppo proprio perchè presenti nello stesso HD, apprezzo la tua attenzione alla mia problematica.

rimane che i problemi ci sono in tutte le direzioni e che ancora una volta non è il caso di rinfacciarsele in questo caso...

mi spiace che lei si ostini a darmi del lei...

04 June 08 at 1:54 PM
# dovella said:

a scusa non avevo capito.

Allora diamoci del tu.

Ho abbastanza buona fede, ma ti dico a priori che in nessun caso da me trattato mi è mai capitato di vedere problematiche con il magico Shadow Copy quindi i casi a questo punto sono 2

o menti , o non sai usare il PC,

Voglio vedere coi miei occhi bloccare Vista,

non dico sia impossibile ma è molto molto molto improbabile,

per questa questione ti rinnovo l'invito su hwup.

per quanto riguarda la sicurezza qui cè Feliciano.

Ed è per questo che ti dico in sintesi se vuoi parlare delle problematiche APple relative al theard allora puoi continuare , in caso contrario io sono di la.

04 June 08 at 2:11 PM
# Gasno said:

D'accordo do un occhio sicuramente,

preciso che il mio problema era che ho dovuto per ovvie ragioni di performance installare XP sulla partizione che contiene la copy; il problema non è mai stato con shadow copy che funziona (che poi ho capito cosa fosse). do questa notizia a vantaggio del dr Intini con il quale mi scuso per il monopolio che la mia conversazione sta prendendo talvolta uscendo dal topic.

buona serata a tutti

04 June 08 at 2:34 PM
# dovella said:

Ciao, per qualsiasi problema con Vista resto a disposizione.

04 June 08 at 3:05 PM
# Feliciano Intini said:

Ciao Gasno, le tue parole confermano ulteriormente l'opinione che ho espresso in questo post e in questo: http://blogs.technet.com/feliciano_intini/archive/2008/03/31/non-godo-dei-tempi-duri-che-sta-attraversando-la-sicurezza-di-apple.aspx

Secondo me, Apple sta appunto commettendo lo stesso errore che Microsoft fece diversi anni fa: di preoccuparsi prevalentemente della user experience e della sua reputazione di relazioni pubbliche, e non affrontando con la dovuta urgenza e serietà la revisione completa degli aspetti di sicurezza (stando ai diversi dati pubblici a disposizione di tutti, relativi alla gestione delle vulnerabilità). Fino ad ora ha potuto sicuramente approfittare di una focalizzazione degli attacchi verso MS, ma se punta ad aumentare la sua quota di mercato (come credo sia normale) dovrà ben presto far fronte ad una serie di minacce che riuscirà a gestire solo se cambia approccio, non con quello attuale. E' per questo che sì, io credo che ora Microsoft sia più virtuosa di Apple nel miglioramento dei propri prodotti rispetto alla sicurezza, anche tenendo conto che il lavoro di Apple in tal senso dovrebbe essere più facile (meno vincoli applicativi, governo dell'HW), invece ha l'approccio della Microsoft di 10 anni fa. Solo che 10 anni fa il tema sicurezza non era così sentito, ora è ben chiaro a tutti, anche se Apple sembra non preoccuparsene in modo adeguato: da qui i termini "miope" ed "anacronistico". Naturalmente, it's only my opinion... e certamente una opinione di parte.

05 June 08 at 4:44 AM
# Security Blog di Feliciano Intini said:

E' indubbio che l'arrivo di Google Chrome segnerà il vero e proprio scoppio della "1a Guerra

03 September 08 at 9:42 AM
# Codename Losko Weblog said:

Qualche giorno fà, per la precisione il 3 di settembre, Google ha reso disponibile per il download

05 September 08 at 12:33 PM
# Security Blog di Feliciano Intini said:

[English version below: " Microsoft Security Bulletin Risk Analysis – April 2009 " ] Come già

14 April 09 at 7:18 PM

Leave a Comment

Comment Policy: No HTML allowed. URIs and line breaks are converted automatically. Your e–mail address will not show up on any public page.

(required) 
(optional)
(required) 

  
Enter Code Here: Required
Page view tracker