L'ultimo guaio di sicurezza informatica si chiama Cloudbleed

Redazione di Hardware Upg · 27-02-2017, 10:34

Link alla notizia: http://www.hwupgrade.it/news/sicurez...eed_67396.html

Come sempre, a rischio dati sensibili e privati degli utenti, anche se fino ad ora non è ben chiara l'estensione del problema. La falla è comunque già stata tappata, anche se il bug è stato sfruttato almeno fin da settembre

Click sul link per visualizzare la notizia.

frankie · 27-02-2017, 12:18

Non ho capito come ed in che modo, ma c'è in ballo una legge per rendere la criptazione dei dati obbligatoria su HD in base a certi dati...

tanto poi ci pensano nel cloud a perderli...

Sandro kensan · 27-02-2017, 13:40

Ma se cloudflare ha tutti i nostri dati che trasmettiamo e riceviamo da un sito Internet allora tutti i siti internet che usano cloudflare (e sono la maggior parte) sono sicuri solo se cloudflare non vende i nostri dati oppure se non ha ingiunzioni USA di conservare/filtrare/intercettare i nostri dati.

Vuol dire che la NSA quando ha messo i propri software su cloudflare (come ha messo Yahoo) ha intercettato il 50% dei siti e del traffico mondiale.

Zenida · 27-02-2017, 19:17

Ho avuto a che fare con cloudflare sull'host di Altervista... mai più.

Tutti i benefici mirabolanti di velocità (e ora di sicurezza) che vantavano sono stati smentiti in pochissimo tempo.

Il difetto più grave è che per velocizzare i caricamenti fornisce una copia cache come layer supplementare al browser che visita il sito. Questo per dimezzare i tempi di caricamento fornendo un servizio migliore. Peccato che questa cache può essere anche molto vecchia. Infatti, io che sviluppavo su Altervista, ad ogni modifica non vedevo mai i cambiamenti se non dopo moltissimo tempo. Inutile cancellare la cache del browser, è Cloudflare a fornire una copia cache obsoleta.
Inoltre, maschera il codice originale, quindi, quando dovevo scovare un bug, mi riportava la riga di un file che non esisteva realmente sull'host.

Per gli sviluppatori non è il massimo avere a che fare con questi servizi. Sono più le rogne che ti portano, che non i vantaggi

Wikkle · 27-02-2017, 20:22

Quote:

Originariamente inviato da Zenida

Ho avuto a che fare con cloudflare sull'host di Altervista... mai più.

.............io che sviluppavo su Altervista...........

Per gli sviluppatori non è il massimo avere a che fare con questi servizi.

Anche sviluppare su Altervista è un bel grattacapo..

Agat · 27-02-2017, 23:01

Ma solo io m'aspettavo/o un FBI seizing

http://crimeflare.com/

Robotex · 28-02-2017, 02:46

Quote:

Originariamente inviato da Zenida

Il difetto più grave è che per velocizzare i caricamenti fornisce una copia cache come layer supplementare al browser che visita il sito. Questo per dimezzare i tempi di caricamento fornendo un servizio migliore. Peccato che questa cache può essere anche molto vecchia. Infatti, io che sviluppavo su Altervista, ad ogni modifica non vedevo mai i cambiamenti se non dopo moltissimo tempo. Inutile cancellare la cache del browser, è Cloudflare a fornire una copia cache obsoleta.
Inoltre, maschera il codice originale, quindi, quando dovevo scovare un bug, mi riportava la riga di un file che non esisteva realmente sull'host.

Per gli sviluppatori non è il massimo avere a che fare con questi servizi. Sono più le rogne che ti portano, che non i vantaggi

Non so se hai mai acceduto al pannello di CloudFlare, ma ha un pulsante "Cancella cache" e ha apposta un interrutore "Modalità sviluppo" che scavalca completamente la cache e le ottimizzazioni proprio per le necessità che hai nominato.

fano · 28-02-2017, 09:22

Ragazzi tutto molto bello, ma sto parser HTML lo hanno scritto in C? Lo hanno fatto a botte di scanf()? Come si può nel 2017 per cose che devono di estrema sicurezza usare un linguaggio degli anni '50?

Io lo trovo incredibile...

Riccardo82 · 28-02-2017, 10:49

Hanno usato RAGEL che genera codice C / C++ e ASM.

Inoltre non è colpa di Ragel ma della loro implementazione.

CloudFare va usato in produzione.
Per i test e la per-produzione ci vogliono degli ambienti differenti per permettere a chi sviluppa di poter sistemare eventuali bug.

Quindi non è colpa di CloudFare se viene usato in modo improprio...

A maggior ragione che, come dice Robotex, per ragioni commerciali e di targheting ti permette di disabilitare aclune fuznioni dal pannello di controllo.

polhallen · 28-02-2017, 13:04

che beffa ricevere un'email da project zero Google e leggere un problema del genere.

Zenida · 01-03-2017, 18:54

Quote:

Originariamente inviato da Wikkle

Anche sviluppare su Altervista è un bel grattacapo..

Da hobbysta e non da professionista è una scelta forzata se cerchi un host gratuito con funzionalità minime degne di nota. A parte i downtime elevati, il resto non è proprio da buttare.

Quote:

Originariamente inviato da Robotex

Non so se hai mai acceduto al pannello di CloudFlare, ma ha un pulsante "Cancella cache" e ha apposta un interrutore "Modalità sviluppo" che scavalca completamente la cache e le ottimizzazioni proprio per le necessità che hai nominato.

Fatto! E anche ripetutamente. Non avviene in tempo reale, c'è comunque da aspettare. Ma questo non risolve il problema del codice mascherato.

Quote:

Originariamente inviato da Riccardo82

Hanno usato RAGEL che genera codice C / C++ e ASM.

Inoltre non è colpa di Ragel ma della loro implementazione.

CloudFare va usato in produzione.
Per i test e la per-produzione ci vogliono degli ambienti differenti per permettere a chi sviluppa di poter sistemare eventuali bug.

Quindi non è colpa di CloudFare se viene usato in modo improprio...

A maggior ragione che, come dice Robotex, per ragioni commerciali e di targheting ti permette di disabilitare aclune fuznioni dal pannello di controllo.

In effetti la cosa migliore è lavorare in locale e poi caricare tutto sull'host. Ma configurare il WAMP in maniera identica all'host non porta mai ad un risultato identico al 100%.

Ovviamente, è la cosa migliore da fare. Ma solo se stiamo parlando di un lavoro professionale.

27-02-2017, 23:01	#6
Agat Senior Member Iscritto dal: Feb 2007 Messaggi: 2515	Ma solo io m'aspettavo/o un FBI seizing http://crimeflare.com/ __________________ As goes google so goes the world \| Artix \| Arch \| Pyvideo \| La tariffazione a 28 giorni è stato un crimine contro l'umanità

28-02-2017, 09:22	#8
fano Senior Member Iscritto dal: Nov 2005 Messaggi: 2095	Ragazzi tutto molto bello, ma sto parser HTML lo hanno scritto in C? Lo hanno fatto a botte di scanf()? Come si può nel 2017 per cose che devono di estrema sicurezza usare un linguaggio degli anni '50? Io lo trovo incredibile... __________________ Cosmos C# Open Source Managed Operating System Cosmos Thread Ufficiale Cosmos Official Site Vuoi collaborare allo sviluppo? Unisciti alla chat!

27-02-2017, 10:34	#1
Redazione di Hardware Upg www.hwupgrade.it Iscritto dal: Jul 2001 Messaggi: 75173	Link alla notizia: http://www.hwupgrade.it/news/sicurez...eed_67396.html Come sempre, a rischio dati sensibili e privati degli utenti, anche se fino ad ora non è ben chiara l'estensione del problema. La falla è comunque già stata tappata, anche se il bug è stato sfruttato almeno fin da settembre Click sul link per visualizzare la notizia.

27-02-2017, 12:18	#2
frankie Senior Member Iscritto dal: Nov 2000 Città: Varees Messaggi: 9155	Non ho capito come ed in che modo, ma c'è in ballo una legge per rendere la criptazione dei dati obbligatoria su HD in base a certi dati... tanto poi ci pensano nel cloud a perderli...

27-02-2017, 13:40	#3
Sandro kensan Senior Member Iscritto dal: Dec 2011 Messaggi: 2903	Ma se cloudflare ha tutti i nostri dati che trasmettiamo e riceviamo da un sito Internet allora tutti i siti internet che usano cloudflare (e sono la maggior parte) sono sicuri solo se cloudflare non vende i nostri dati oppure se non ha ingiunzioni USA di conservare/filtrare/intercettare i nostri dati. Vuol dire che la NSA quando ha messo i propri software su cloudflare (come ha messo Yahoo) ha intercettato il 50% dei siti e del traffico mondiale.

27-02-2017, 19:17	#4
Zenida Senior Member Iscritto dal: Dec 2010 Messaggi: 1574	Ho avuto a che fare con cloudflare sull'host di Altervista... mai più. Tutti i benefici mirabolanti di velocità (e ora di sicurezza) che vantavano sono stati smentiti in pochissimo tempo. Il difetto più grave è che per velocizzare i caricamenti fornisce una copia cache come layer supplementare al browser che visita il sito. Questo per dimezzare i tempi di caricamento fornendo un servizio migliore. Peccato che questa cache può essere anche molto vecchia. Infatti, io che sviluppavo su Altervista, ad ogni modifica non vedevo mai i cambiamenti se non dopo moltissimo tempo. Inutile cancellare la cache del browser, è Cloudflare a fornire una copia cache obsoleta. Inoltre, maschera il codice originale, quindi, quando dovevo scovare un bug, mi riportava la riga di un file che non esisteva realmente sull'host. Per gli sviluppatori non è il massimo avere a che fare con questi servizi. Sono più le rogne che ti portano, che non i vantaggi

28-02-2017, 10:49	#9
Riccardo82 Senior Member Iscritto dal: Apr 2008 Messaggi: 682	Hanno usato RAGEL che genera codice C / C++ e ASM. Inoltre non è colpa di Ragel ma della loro implementazione. CloudFare va usato in produzione. Per i test e la per-produzione ci vogliono degli ambienti differenti per permettere a chi sviluppa di poter sistemare eventuali bug. Quindi non è colpa di CloudFare se viene usato in modo improprio... A maggior ragione che, come dice Robotex, per ragioni commerciali e di targheting ti permette di disabilitare aclune fuznioni dal pannello di controllo.

28-02-2017, 13:04	#10
polhallen Member Iscritto dal: Jan 2008 Città: Milano Messaggi: 33	che beffa ricevere un'email da project zero Google e leggere un problema del genere.

Strumenti
Mostra una versione stampabile Invia questa pagina per email