|
| Precedente :: Successivo |
| Autore |
Messaggio |
Zeus News
Ospite
|
|
| Top |
|
 |
silviop
Eroe
Registrato: 11/04/23 17:14
Messaggi: 47
|
 Inviato: 23 Lug 2024 20:14 Oggetto: |
 |
|
| Non capisco se il dibattito sia tra security by oscurity (che e' un modello ormai assodato come perdente), oppure proprio che nessuno oltre al produttore dell OS dovrebbe occuparsi di sicurezza (come fa apple). |
|
| Top |
|
|
francescodue
Dio minore
Registrato: 26/09/08 11:00
Messaggi: 565
|
| Inviato: 23 Lug 2024 21:50 Oggetto: |
|
|
Non ho seguito nei dettagli la questione, fortunatamente non mi ha toccato.
Noto però che sembra essere già partita la classica corsa dello scaricabarile.
Mi pare evidente, però, una tragica mancanza di buonsenso: se un sistema è un colabrodo di sicurezza per gli utenti privati, per quale motivo dovrebbe essere una roccia per le aziende?
MS e associati rincorrono solo il guadagno immediato, cosa giusta, ma non guardano ad un palmo dal naso, cosa criminale.
Nell'antichità si creava un programma, o un aggiornamento, che veniva definito "versione alfa"; dopo attento esame interno si passava alla "versione beta", rilasciata a tutti quelli che volevano rischiare; infine si passava alla "versione RC", non ancora definitiva ma che, salvo casi eclatanti, alla peggio non creava danni anche se non funzionava come previsto. Solo alla fine di questo lungo iter si rilasciava la "versione stabile".
Certo un processo lento, ma quello che veniva installato era nettamente più testato di quello attuale. E, soprattutto, veniva installato solo se serviva.
La sicurezza veniva fornita da tutti questi passaggi e dal fatto che chi doveva materialmente dare l'ok all'aggiornamento aveva una discreta conoscenza dei pro e dei contro.
Altra cosa in qualche modo collegata: visto che il processo era lento, e di conseguenza costoso, si cercava di semplificare al massimo le "comunicazioni" tra i vari software, per evitare l'insorgere di interferenze e malfunzionamenti. |
|
| Top |
|
|
milux
Eroe
Registrato: 22/04/08 07:09
Messaggi: 74
Residenza: verso i Balcani
|
| Inviato: 24 Lug 2024 09:05 Oggetto: |
|
|
Che sappia io l'accordo del 2009 riguardava il Sistema Operativo e IE.
(1) Il caso riguarda l’impresa Microsoft Corporation (in appresso «Microsoft») e la vendita abbinata, potenzialmente
illegale, del suo browser Internet Explorer con Windows,
il suo sistema operativo dominante per PC client.
credo che le API non c'entrino nulla |
|
| Top |
|
|
Ripper_92
Semidio
Registrato: 11/09/09 11:03
Messaggi: 227
|
| Inviato: 24 Lug 2024 12:21 Oggetto: |
|
|
| silviop ha scritto: | | Non capisco se il dibattito sia tra security by oscurity (che e' un modello ormai assodato come perdente), oppure proprio che nessuno oltre al produttore dell OS dovrebbe occuparsi di sicurezza (come fa apple). |
stando all'articolo (non ho seguito la vicenda), il fatto di aver esposto queste api e guardando al "prima di esporle" secondo me non è classificabile come security by obscurity, non è che prima ci fossero le api ma non erano visibili, non c'erano proprio perché microsoft si interfacciava con i propri servizi internamente al sistema operativo, al massimo ci accedevi forzando qualcosa, non è una scelta architetturale di offuscare la cosa, semmai è un classico buco di sicurezza (ripeto, non mi sono informato nello specifico cosa sia successo) |
|
| Top |
|
|
{utente anonimo}
Ospite
|
| Inviato: 24 Lug 2024 21:10 Oggetto: |
|
|
| Qualcuno mi corregga se sbaglio, ma mi pare che Microsoft stia cercando di coprire la luna con un dito. In Windows NT le api native (e private) esistevano da molto prima della sentenza UE, semplicemente non erano documentate né supportate. Quindi potevano cambiare in qualunque momento e non si sapeva bene come effettuare le chiamate, ma esistevano eccome. Da qualche parte devo ancora avere il libro di Peter Norton relativo alle api native di windows 2K. Le aziende di sicurezza, gli smanettoni e i malintenzionati già le sfruttavano. Certo Microsoft ha perso l'esclusiva di combinare casini istituzionali, ma non mi pare che il resto sia cambiato molto. |
|
| Top |
|
|
Gladiator
Dio maturo
Registrato: 05/12/10 21:32
Messaggi: 14238
Residenza: Purtroppo o per fortuna Italia
|
| Inviato: 27 Lug 2024 14:54 Oggetto: |
|
|
Francamente non capisco cosa c'entri la sicurezza del sistema nei confronti dei malintenzionati con questo episodio dove, se non ho capito male, è stato un aggiornamento buggato di Crowdstrike a generare il problema.
Mi sembra quindi decisamente pretestuoso e atto solo a generare ulteriore confusione questa dichiarazione rilasciata, evidentemente, con il solo scopo di sviare le responsabilità e provare ad approfittare di una situazione in cui, forse, M$ per una volta non è responsabile del problema ma prova a guadagnarsi un qualche vantaggio. |
|
| Top |
|
|
Gladiator
Dio maturo
Registrato: 05/12/10 21:32
Messaggi: 14238
Residenza: Purtroppo o per fortuna Italia
|
| Inviato: 27 Lug 2024 14:59 Oggetto: |
|
|
| francescodue ha scritto: | Non ho seguito nei dettagli la questione, fortunatamente non mi ha toccato.
Noto però che sembra essere già partita la classica corsa dello scaricabarile.
Mi pare evidente, però, una tragica mancanza di buonsenso: se un sistema è un colabrodo di sicurezza per gli utenti privati, per quale motivo dovrebbe essere una roccia per le aziende?
MS e associati rincorrono solo il guadagno immediato, cosa giusta, ma non guardano ad un palmo dal naso, cosa criminale.
Nell'antichità si creava un programma, o un aggiornamento, che veniva definito "versione alfa"; dopo attento esame interno si passava alla "versione beta", rilasciata a tutti quelli che volevano rischiare; infine si passava alla "versione RC", non ancora definitiva ma che, salvo casi eclatanti, alla peggio non creava danni anche se non funzionava come previsto. Solo alla fine di questo lungo iter si rilasciava la "versione stabile".
Certo un processo lento, ma quello che veniva installato era nettamente più testato di quello attuale. E, soprattutto, veniva installato solo se serviva.
La sicurezza veniva fornita da tutti questi passaggi e dal fatto che chi doveva materialmente dare l'ok all'aggiornamento aveva una discreta conoscenza dei pro e dei contro.
Altra cosa in qualche modo collegata: visto che il processo era lento, e di conseguenza costoso, si cercava di semplificare al massimo le "comunicazioni" tra i vari software, per evitare l'insorgere di interferenze e malfunzionamenti. |
Adesso invece per diminuire i costi e velocizzare il processo si saltano i passaggi e si rilascia il SW ancora in "beta" quando non in "alfa" e con i SW sempre più complessi e pesanti la frittata è presto fatta. |
|
| Top |
|
|
zeross
Amministratore
Registrato: 19/11/08 12:04
Messaggi: 8076
Residenza: Atlantica
|
| Inviato: 29 Lug 2024 12:11 Oggetto: |
|
|
| Gladiator ha scritto: | Francamente non capisco cosa c'entri la sicurezza del sistema nei confronti dei malintenzionati con questo episodio dove, se non ho capito male, è stato un aggiornamento buggato di Crowdstrike a generare il problema.
Mi sembra quindi decisamente pretestuoso e atto solo a generare ulteriore confusione questa dichiarazione rilasciata, evidentemente, con il solo scopo di sviare le responsabilità e provare ad approfittare di una situazione in cui, forse, M$ per una volta non è responsabile del problema ma prova a guadagnarsi un qualche vantaggio. |
In realtà Microsoft sostiene che dato che in base ad un accordo extragiudiziale, ha dovuto aprire alcune parti del nucleo interno del suo sistema operativo a fornitori di terze parti che abbiano sottoscritto con Microsoft stessa degli accordi di non divulgazione e collaborazione, in seguito a ciò, il sistema operativo NT diviene vulnerabile a codice scritto male da queste terze parti, per colpa della imposizione della Unione Europea, mentre senza quest imposizione ( che dovrebbe interessare solo i paesi europei) Crowdstrike non avrebbe potuto con un errore di programmazione del suo programma Falcon Sensor bloccare i computer in un eterno riavvio. |
|
| Top |
|
|
Gladiator
Dio maturo
Registrato: 05/12/10 21:32
Messaggi: 14238
Residenza: Purtroppo o per fortuna Italia
|
| Inviato: 29 Lug 2024 18:36 Oggetto: |
 |
|
@ zeross
Questo lo posso anche capire, non accettare vista la qualità e affidabilità del codice scritto dagli sviluppatori di M$ e dalla scarsa efficacia del testing da essa effettuato, capire ma non condividere sia chiaro.
Però nell'articolo si riporta anche che:
| Citazione: | | Microsoft ipotizza che[...] ciò avrebbe pesanti conseguenze sulla possibilità di tenere al riparo dalle azioni di malintenzionati i componenti più importanti di Windows. |
E questo non assolutamente realistico ed è ciò che io contesto nella loro faziosa analisi. |
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
