Torna indietro   Hardware Upgrade Forum > Hardware Upgrade > News

HP Elitebook Ultra G1i 14 è il notebook compatto, potente e robusto
HP Elitebook Ultra G1i 14 è il notebook compatto, potente e robusto
Pensato per il professionista sempre in movimento, HP Elitebook Ultra G1i 14 abbina una piattaforma Intel Core Ultra 7 ad una costruzione robusta, riuscendo a mantenere un peso contenuto e una facile trasportabilità. Ottime prestazioni per gli ambiti di produttività personale con un'autonomia lontano dalla presa di corrente che permette di lavorare per tutta la giornata
Microsoft Surface Pro 12 è il 2 in 1 più compatto e silenzioso
Microsoft Surface Pro 12 è il 2 in 1 più compatto e silenzioso
Basato su piattaforma Qualcomm Snapdragon X Plus a 8 core, il nuovo Microsoft Surface Pro 12 è un notebook 2 in 1 molto compatto che punta sulla facilità di trasporto, sulla flessibilità d'uso nelle differenti configurazioni, sul funzionamento senza ventola e sull'ampia autonomia lontano dalla presa di corrente
Recensione REDMAGIC Astra Gaming Tablet: che spettacolo di tablet!
Recensione REDMAGIC Astra Gaming Tablet: che spettacolo di tablet!
Il REDMAGIC Astra Gaming Tablet rappresenta una rivoluzione nel gaming portatile, combinando un display OLED da 9,06 pollici a 165Hz con il potente Snapdragon 8 Elite e un innovativo sistema di raffreddamento Liquid Metal 2.0 in un form factor compatto da 370 grammi. Si posiziona come il tablet gaming più completo della categoria, offrendo un'esperienza di gioco senza compromessi in mobilità.
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 03-03-2018, 07:31   #1
Redazione di Hardware Upg
www.hwupgrade.it
 
Iscritto dal: Jul 2001
Messaggi: 75173
Link alla notizia: https://www.hwupgrade.it/news/sicure...tps_74528.html

Ben 23 mila chiavi crittografiche di altrettanti certificati TSL sono state inviate dal CEO di Trustico ad un partner, rendendole automaticamente compromesse

Click sul link per visualizzare la notizia.
Redazione di Hardware Upg è offline   Rispondi citando il messaggio o parte di esso
Old 03-03-2018, 08:26   #2
marcram
Senior Member
 
L'Avatar di marcram
 
Iscritto dal: Jul 2008
Messaggi: 5263
Email o non email, a me pare che tutto il discorso si basi sul fatto che il venditore possiede copia delle chiavi dei clienti.
A questo punto dovremmo leggere sui siti "certificato da ABC e/o modificato da ABC"...
marcram è offline   Rispondi citando il messaggio o parte di esso
Old 03-03-2018, 14:38   #3
mar81
Senior Member
 
L'Avatar di mar81
 
Iscritto dal: Apr 2003
Città: Brescia
Messaggi: 2320
Ci vorrebbe una bella blockchain per creare un sistema trustless.
mar81 è offline   Rispondi citando il messaggio o parte di esso
Old 03-03-2018, 14:42   #4
mar81
Senior Member
 
L'Avatar di mar81
 
Iscritto dal: Apr 2003
Città: Brescia
Messaggi: 2320
L'errore è sempre umano...
mar81 è offline   Rispondi citando il messaggio o parte di esso
Old 03-03-2018, 21:03   #5
Noir79
Senior Member
 
L'Avatar di Noir79
 
Iscritto dal: Mar 2009
Città: Londonistan
Messaggi: 9752
Ma lol, ecco perché il nostro manager IT mi ha detto che devo reinstallare i certificati SSL su tutti i siti l'altro giorno!
__________________
"If a politician is not allowed to criticize an ideology anymore this means that we are lost, and it will lead to the end of our freedom" - Geert Wilders
La mia Nuova e Possente Gloriosa Macchina da Guerra
Noir79 è offline   Rispondi citando il messaggio o parte di esso
Old 03-03-2018, 23:09   #6
Wikkle
Senior Member
 
L'Avatar di Wikkle
 
Iscritto dal: Jun 2005
Messaggi: 12634
Quote:
Originariamente inviato da Noir79 Guarda i messaggi
Ma lol, ecco perché il nostro manager IT mi ha detto che devo reinstallare i certificati SSL su tutti i siti l'altro giorno!
ma lol
__________________
★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★
Asus Maximus IX Hero . i7-7700 KabyLake . 32 Gb Ram . GeForce GTX 1070 Mac Mini 2.5GHz . 16 Gb Ram . SSD 500 Gb
Google Pixel 8 pro iPhone 15 plus Canon EOS 600D Sony DSC-RX100

Wikkle è offline   Rispondi citando il messaggio o parte di esso
Old 04-03-2018, 08:58   #7
zappy
Senior Member
 
L'Avatar di zappy
 
Iscritto dal: Oct 2001
Messaggi: 20025
Quote:
Originariamente inviato da mar81 Guarda i messaggi
L'errore è sempre umano...
no.
altrove si legge che trustico (venditore) voleva far revocare le chiavi a digicert (generatore), ma visto che digicert correttamente ha risposto che solo i clienti di trustico potevano far revocare i certificati, a meno che non fossero compromessi, allora per forzare la mano trustico ha mandato in chiaro le chiavi private x email (APPOSTA, non per errore, non per caso) in modo che queste dovessero per forza essere considerate compromesse da digicert.

insomma, mi pare trustico sia il top della scorrettezza nei confronti dei propri clienti. fossero idioti sarebbe una cosa, ma qui hanno compromesso APPOSTA (mandandole in giro per mail) le chiavi dei loro clienti per loro motivi commerciali.

invece non ho ben capito la frase "decisione di Google che, a sua volta, aveva denunciato la mancata adesione da parte di Symantec sulle normative che regolano il settore della sicurezza online a favore dei governi."...
ma mi sembra anche più preoccupante...
__________________
Mai discutere con un idiota. Ti trascina al suo livello e ti batte con l'esperienza (O.W.)

Ultima modifica di zappy : 04-03-2018 alle 09:01.
zappy è offline   Rispondi citando il messaggio o parte di esso
Old 04-03-2018, 11:52   #8
mar81
Senior Member
 
L'Avatar di mar81
 
Iscritto dal: Apr 2003
Città: Brescia
Messaggi: 2320
Una ragione in più per basare il tutto su blockchain, completamente trustless e immutabile. Sarebbe la soluzione perfetta
mar81 è offline   Rispondi citando il messaggio o parte di esso
Old 05-03-2018, 10:49   #9
Davis5
Senior Member
 
Iscritto dal: Jul 2006
Messaggi: 810
di fatto stanno costringendo tutti i possessori di domini con un minimo di traffico a spendere soldi per un SSL...

e' una presa per il c... ma occorre farla o google ti marchia come una bestia di sito NON sicuro e di declassa nel ranking seo ecc ecc...

Consiglio "comodo" come fornitore, che attraverso il suo reseller ssls.com vende certificati per andare in https:// a prezzi molto interessanti...

tra cui un Extended version a 75 euro!!! (famosa barretta verde nel titolo, oltre al solo lucchetto)
Davis5 è offline   Rispondi citando il messaggio o parte di esso
Old 05-03-2018, 11:13   #10
Wikkle
Senior Member
 
L'Avatar di Wikkle
 
Iscritto dal: Jun 2005
Messaggi: 12634
Quote:
Originariamente inviato da Davis5 Guarda i messaggi
di fatto stanno costringendo tutti i possessori di domini con un minimo di traffico a spendere soldi per un SSL...

e' una presa per il c... ma occorre farla o google ti marchia come una bestia di sito NON sicuro e di declassa nel ranking seo ecc ecc...

Consiglio "comodo" come fornitore, che attraverso il suo reseller ssls.com vende certificati per andare in https:// a prezzi molto interessanti...

tra cui un Extended version a 75 euro!!! (famosa barretta verde nel titolo, oltre al solo lucchetto)
*

Hai totalmente ragione, felice che qualcuno l'abbia capito!!

L'unica cosa in cui spero è che ci sia una class action e una forte multa per questa cosa...
Perchè è veramente assurdo infondere nell'ideale popolare degli utenti, che un sito banalissimo di cui non necessita minimamente di certificato (in quanto non trasmette dati sensibili) venga considerato come sito pericoloso in quanto non c'è il lucchettino verde! Incredibile...

Ovviamente questa "imposizione" per esser gentile nel definirla... crea problemi e menate a internet provider di piccole dimensioni, web designer, web master ecc...

Quindi le zuppe per i lavoratori web e tempo perso che dovranno usare verso i loro clienti per spiegare bene le cose... ma i guadagni per google?

Secondo voi è corretto?
__________________
★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★
Asus Maximus IX Hero . i7-7700 KabyLake . 32 Gb Ram . GeForce GTX 1070 Mac Mini 2.5GHz . 16 Gb Ram . SSD 500 Gb
Google Pixel 8 pro iPhone 15 plus Canon EOS 600D Sony DSC-RX100


Ultima modifica di Wikkle : 05-03-2018 alle 11:17.
Wikkle è offline   Rispondi citando il messaggio o parte di esso
Old 05-03-2018, 11:20   #11
!fazz
Moderatore
 
L'Avatar di !fazz
 
Iscritto dal: Nov 2006
Messaggi: 21673
Quote:
Originariamente inviato da mar81 Guarda i messaggi
Una ragione in più per basare il tutto su blockchain, completamente trustless e immutabile. Sarebbe la soluzione perfetta
non proprio occhio che la blockchain non è la panacea di tutti i mali (se no sarei andato a brevettare una blockain ai nanotubi di carbonio al grafene )

il problema non è l'immutabilità del dato il problema li è il servizio della CA (ovvero la società che associa la tua identità reale alla tua coppia di chiavi asimettriche)

certo puoi sempre inviare via raccomandata una copia della tua chiave e della tua carta di identità a 3.8 miliardi di persone (50%+1 della popolazione mondiale) così potresti usare una CA basata su blockchain al costo di una finanziaria di uno stato medio piccolo
__________________
"WS" (p280,cx750m,4790k+212evo,z97pro,4x8GB ddr3 1600c11,GTX760-DC2OC,MZ-7TE500, WD20EFRX)
Desktop (three hundred,650gq,3800x+nh-u14s ,x570 arous elite,2x16GB ddr4 3200c16, rx5600xt pulse P5 1TB)+NB: Lenovo p53 i7-9750H,64GB DDR4,2x1TB SSD, T1000
!fazz è offline   Rispondi citando il messaggio o parte di esso
Old 05-03-2018, 11:56   #12
WarSide
Senior Member
 
Iscritto dal: Oct 2008
Messaggi: 10333
Vedo che c'è un bel po' di ignoranza in merito a come si gestisce la generazione di un certificato SSL.

NON è necessario dare la propria chiave privata ai vari Comodo, Symantec & co.
Quello che si fa è generare la propria chiave privata in locale e, partendo da quella, generare un CSR (Certificate Signing Request). Nel CSR c'è la chiave pubblica, generata a partire da quella privata, e le info necessarie ad emettere il certificato.

Per i più pigri (e, soprattuto, pirla incompetenti) Trustico permetteva di generare online sia la chiave privata, sia il CSR. Per questo han potuto ottenere la chiave privata.

Infatti quel mentecatto del CEO di Trustico non ha invalidato TUTTI i certificati da loro emessi, ma solo quelli di cui possedeva la private key.

Morale della favola: LE CHIAVI PRIVATE SI GENERANO SULLE PROPRIE MACCHINE E SI GIRA IL SOLO CSR alle varie aziende che generano certificati.

PS: Se non volete spendere $$ per un certificato SSL, c'è Let's Encrypt che è free.

Ultima modifica di WarSide : 05-03-2018 alle 12:02.
WarSide è offline   Rispondi citando il messaggio o parte di esso
Old 05-03-2018, 12:05   #13
marcram
Senior Member
 
L'Avatar di marcram
 
Iscritto dal: Jul 2008
Messaggi: 5263
Quote:
Originariamente inviato da WarSide Guarda i messaggi
Vedo che c'è un bel po' di ignoranza in merito a come si gestisce la generazione di un certificato SSL.

NON è necessario dare la propria chiave privata ai vari Comodo, Symantec & co.
Quello che si fa è generare la propria chiave privata in locale e, partendo da quella, generate un CSR (Certificate Signing Request). Nel CSR c'è la chiave pubblica, generata a partire da quella privata, e le info necessarie ad emettere il certificato.

Per i più pigri (e, soprattuto, pirla incompetenti) Trustico permetteva di generare online sia la chiave privata, sia il CSR. Per questo han potuto ottenere la chiave privata.

Infatti quel mentecatto del CEO di Trustico non ha invalidato TUTTI i certificati da loro emessi, ma solo quelli di cui possedeva la private key.

Morale della favola: LE CHIAVI PRIVATE SI GENERANO SULLE PROPRIE MACCHINE E SI GIRA IL SOLO CSR alle varie aziende che generano certificati.

PS: Se non volete spendere $$ per un certificato SSL, c'è Let's Encrypt che è free.
Ecco, era proprio quello che stavo pensando.
Non so niente di certificati SSL, ma se si tratta di un sistema a chiavi asimmetriche, la chiave privata non si crea appunto in locale?
Che bisogno c'è di comprare una chiave privata da altri? Devono solo certificare la tua chiave/firma pubblica!
marcram è offline   Rispondi citando il messaggio o parte di esso
Old 05-03-2018, 13:27   #14
andbad
Senior Member
 
L'Avatar di andbad
 
Iscritto dal: Dec 1999
Messaggi: 5320
Vorrei però sottolineare che Trustico ha dato a tutti i propri clienti impattati un nuovo certificato di durata uguale al vecchio gratis (e direi che era il minimo).

Poi si, avete ragione su tutto il resto, probabilmente.

By(t)e

P.S.: senza contare la rottura di cazzo di dover cambiare il certificato con 24 ore di preavviso.
__________________
Vicking73: "Arecibo è un radiotelescopio che stà in Brasile"
marzionieddu: "...stiamo cercando qualcosa nel totale silenzio cosmico..."

Ultima modifica di andbad : 05-03-2018 alle 13:38.
andbad è offline   Rispondi citando il messaggio o parte di esso
Old 05-03-2018, 13:47   #15
WarSide
Senior Member
 
Iscritto dal: Oct 2008
Messaggi: 10333
Quote:
Originariamente inviato da andbad Guarda i messaggi
Vorrei però sottolineare che Trustico ha dato a tutti i propri clienti impattati un nuovo certificato di durata uguale al vecchio gratis (e direi che era il minimo).

Poi si, avete ragione su tutto il resto, probabilmente.

By(t)e

P.S.: senza contare la rottura di cazzo di dover cambiare il certificato con 24 ore di preavviso.
Ah beh, allora apposto. Hanno dato un certificato gratuito ai clienti che loro stessi hanno messo a rischio MITM.

Magari lo hanno anche generato in automatico assieme alla private key
WarSide è offline   Rispondi citando il messaggio o parte di esso
Old 05-03-2018, 14:29   #16
danieleg.dg
Senior Member
 
L'Avatar di danieleg.dg
 
Iscritto dal: Jun 2011
Messaggi: 895
Quote:
Originariamente inviato da Wikkle Guarda i messaggi
Perchè è veramente assurdo infondere nell'ideale popolare degli utenti, che un sito banalissimo di cui non necessita minimamente di certificato (in quanto non trasmette dati sensibili) venga considerato come sito pericoloso in quanto non c'è il lucchettino verde! Incredibile...
È già successo che navigando attraverso il wifi di un aereo veniva iniettata pubblicità nelle pagine in http.

Quote:
Originariamente inviato da andbad Guarda i messaggi
Vorrei però sottolineare che Trustico ha dato a tutti i propri clienti impattati un nuovo certificato di durata uguale al vecchio gratis (e direi che era il minimo).
Sì, ok, ne hanno fornito uno nuovo gratis, ma dubito che la fiducia torni così facilmente.
danieleg.dg è offline   Rispondi citando il messaggio o parte di esso
Old 05-03-2018, 15:49   #17
andbad
Senior Member
 
L'Avatar di andbad
 
Iscritto dal: Dec 1999
Messaggi: 5320
Quote:
Originariamente inviato da WarSide Guarda i messaggi
Ah beh, allora apposto. Hanno dato un certificato gratuito ai clienti che loro stessi hanno messo a rischio MITM.

Magari lo hanno anche generato in automatico assieme alla private key
Beh, se non lo avessero dato omaggio sarebbe stato peggio, no?

By(t)e
__________________
Vicking73: "Arecibo è un radiotelescopio che stà in Brasile"
marzionieddu: "...stiamo cercando qualcosa nel totale silenzio cosmico..."
andbad è offline   Rispondi citando il messaggio o parte di esso
Old 05-03-2018, 16:11   #18
WarSide
Senior Member
 
Iscritto dal: Oct 2008
Messaggi: 10333
Quote:
Originariamente inviato da andbad Guarda i messaggi
Beh, se non lo avessero dato omaggio sarebbe stato peggio, no?

By(t)e
Sono da denuncia. Altro che omaggio.
WarSide è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


HP Elitebook Ultra G1i 14 è il notebook compatto, potente e robusto HP Elitebook Ultra G1i 14 è il notebook c...
Microsoft Surface Pro 12 è il 2 in 1 più compatto e silenzioso Microsoft Surface Pro 12 è il 2 in 1 pi&u...
Recensione REDMAGIC Astra Gaming Tablet: che spettacolo di tablet! Recensione REDMAGIC Astra Gaming Tablet: che spe...
Dopo un mese, e 50 foto, cosa abbiamo capito della nuova Nintendo Switch 2 Dopo un mese, e 50 foto, cosa abbiamo capito del...
Gigabyte Aero X16 Copilot+ PC: tanta potenza non solo per l'IA Gigabyte Aero X16 Copilot+ PC: tanta potenza non...
Dick Pic addio? L'AI di Flirtini insegna...
WhoFi: riconoscimento biometrico tramite...
Zero-day SharePoint: Microsoft punta il ...
Grab & Go, il nuovo Telepass per chi...
Primo chip quantistico con elettronica e...
Da Microsoft due nuovi Surface Laptop 5G...
Processore NVIDIA N1X slittato al 2026: ...
Tesla, nel secondo semestre più a...
One UI 8 Watch arriva su Galaxy Watch Ul...
Moon Studios scarica Xbox: No Rest for t...
L'idea di JPMorgan: prestiti e finanziam...
Candy Crush: non solo il gioco! Arriva a...
Ecco come siamo riusciti a raccogliere l...
Agentic AI Framework: l'IA basata su age...
Offerte Amazon pazze di luglio: portatil...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 07:04.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Served by www3v
1