Nuovo articolo sul rilevamento e sulla distribuzione degli aggiornamenti di sicurezza Microsoft

Feliciano Intini — Thu, 12 Feb 2009 13:22:00 GMT

Nel porre mano all'aggiornamento della pagina in cui vi riepilogo le risorse utili all'approfondimento di bollettini di sicurezza e affini (scusatemi se non riesco a farlo sempre in modo tempestivo) ho scoperto che dallo scorso mese è stato modificato...(read more)

Whitepaper "Windows Update Explained"

Feliciano Intini — Wed, 08 Oct 2008 17:14:20 GMT

Forse la maggior parte di voi non avrà bisogno di consultare questo recente piccolo whitepaper fresco di pubblicazione ( annunciato da pochi giorni sul blog di Microsoft Update), "Windows Update Explained" perché ritiene di conoscere...(read more)

Gli attacchi DNS aiutano a colpire i meccanismi di aggiornamento online insicuri (per ora sono a rischio Sun Java, Winzip, Winamp, Mac OS X, OpenOffice, iTunes, Linkedin Toolbar, DAP, Notepad++, Speedbit)

Feliciano Intini — Tue, 29 Jul 2008 13:23:48 GMT

Avrei voluto intitolare questo post con "La rivincita di Windows Update", ricordando il post in cui avevo dovuto smontare le false accuse portate a Windows Update di poter essere un veicolo di infezione malware, ma non volevo darvi l'impressione...(read more)

In arrivo aggiornamenti per migliorare le prestazioni di Windows Update

Feliciano Intini — Fri, 04 Jul 2008 15:50:22 GMT

Non so se ricordate tutto il polverone scoppiato lo scorso settembre su Windows Update che si era aggiornato in modo silente e questo aveva fatto urlare allo scandalo... Ecco, credo che l'impegno di essere più trasparenti preso in quell'occasione...(read more)

Windows Update si aggiorna senza consenso: spieghiamo il vero e il falso

Feliciano Intini — Fri, 14 Sep 2007 13:55:53 GMT

So che ne sentivate la mancanza: eccovi un'altra puntata della mia rubrica Anti-FUD. E' una puntata un pò speciale perché questa volta l'asserzione di base, quello che viene contestato a Microsoft è vero, almeno in parte: dov'è allora il FUD in questo caso ? Al solito approccio dei media di prendere spunto da una notizia magari vera solo in parte (come in questo caso) per scegliere di amplificare selettivamente solo i dettagli errati che permettono di ottenere "lo scoop", la notizia di prima pagina che attira la maggiore attenzione dei lettori: quale miglior argomento di qualcosa che possa far apparire Microsoft come il solito Grande Fratello ?

Ora io vi dico la mia, poi voi leggete gli articoli che ho riportato in fondo al post e ditemi se il tono e i messaggi sono equilibrati e obiettivi nel fornire i fatti.

Non mi dilungo nella spiegazione tecnica che è stata fornita direttamente dal Program Manager di Windows Update in questo post. La sintesi è questa:

Windows Update aggiorna automaticamente solo i file necessari al suo funzionamento
quando questo è necessario viene effettuato senza chiedere ulteriore conferma all'utente
questo non avviene se l'utente ha spento Automatic Updates
avviene da sempre, da quando esiste WU
è un aspetto che non interessa WSUS o SMS, e quindi le realtà aziendali

Il mio parere è questo: il punto 2 può essere migliorato, ossia riconosco la necessità di migliorare la trasparenza delle funzionalità di Windows e potrei anche preferire di poter scegliere più esplicitamente se essere avvisato o meno anche degli aggiornamenti del motore di Automatic Updates. E' per questo che apprezzo molto questo passo del post di cui detto: "The point of this explanation is not to suggest that we were as transparent as we could have been; to the contrary, people have told us that we should have been clearer on how Windows Update behaves when it updates itself. This is helpful and important feedback, and we are now looking at the best way to clarify WU’s behavior to customers so that they can more clearly understand how WU works.". Inoltre è auspicabile che si possa pensare di modificare le funzionalità di WU per poter chiedere all'atto dell'installazione di Windows non solo come e se essere avvisati degli aggiornamenti ma anche per lo stesso engine. Mi farò carico di sollecitare direttamente il gruppo di prodotto della necessità di una tale modifica.

Detto questo, che è l'unica parte vera della notizia, quello che potete leggere negli articoli che hanno trattato sull'argomento (ComputerWorld, eWeek, ZDNet ) è più una speculazione sulla malafede con cui Microsoft avrebbe tenuto nascosto questo funzionamento (smentito dal punto 4), per fare aggiornamenti nascosti di Windows (smentito dal punto 1), anche se l'utente non vuole gli aggiornamenti (smentito dal punto 3), con danno per le aziende che devono poter controllare tutto per verificare la compatibilità applicativa (smentito dal punto 5), senza menzionare la NECESSITA' di fare tali aggiornamenti per garantire il servizio che l'utente ha accettato di utilizzare se non lo ha disabilitato.

Potrei sbagliarmi, ma mi sembra che il mio antivirus non mi chieda conferma degli aggiornamenti delle firme e dell'engine di scansione ogni volta che lo fa: se l'ho installato io ho bisogno che funzioni come dovrebbe ed è quindi normale che l'engine abbia bisogno di aggiornarsi. Il fatto che lo faccia senza annoiarmi ogni volta non ha destato in me il desiderio di manifestare il mio disappunto al suo produttore per violazione della mia privacy ...

Security e Virtualization Blog di Feliciano Intini (e il suo team PCfSV2) : Windows Update(WU)/Microsoft Update(MU)

Nuovo articolo sul rilevamento e sulla distribuzione degli aggiornamenti di sicurezza Microsoft

Whitepaper "Windows Update Explained"

Gli attacchi DNS aiutano a colpire i meccanismi di aggiornamento online insicuri (per ora sono a rischio Sun Java, Winzip, Winamp, Mac OS X, OpenOffice, iTunes, Linkedin Toolbar, DAP, Notepad++, Speedbit)

In arrivo aggiornamenti per migliorare le prestazioni di Windows Update

Windows Update si aggiorna senza consenso: spieghiamo il vero e il falso