Torna indietro   Hardware Upgrade Forum > Hardware Upgrade > News

KIOXIA 3 SSD in prova: Exceria e Exceria Plus (M.2 PCIe) e Exceria SATA
KIOXIA 3 SSD in prova: Exceria e Exceria Plus (M.2 PCIe) e Exceria SATA
La nuova linea di SSD consumer di KIOXIA approda ora nei negozi, online e non. Sono giunti in redazione tre modelli appartenenti a serie differenti, che abbiamo analizzato per capire bene come vanno e come si posizionano nel mercato. Ecco le nostre considerazioni
Hyundai Ioniq elettrica: ansia da batteria e pareri ragionati di un utilizzatore curioso
Hyundai Ioniq elettrica: ansia da batteria e pareri ragionati di un utilizzatore curioso
Due settimane con una delle auto elettriche più apprezzate e, a modo suo, nemmeno molto cara. Ecco diverse considerazioni fuori dai denti, molto personali, da parte di chi l'ha guidata con curiosità e quel filo di diffidenza che porta a farsi domande. Trovando anche delle risposte, probabilmente solo temporanee, su un tema di cui si parlerà sempre di più.
Canon svela EOS R5 e R6, due nuove mirrorless 35mm avanzate e performanti
Canon svela EOS R5 e R6, due nuove mirrorless 35mm avanzate e performanti
La EOS R5 è una "big megapixel" ad alte performance, che si pone in concorrenza con Sony A7R e Nikon D850 - in casa Canon, può essere considerata la versione mirrorless della 5Ds. La EOS R6, dal canto suo, può essere considerata l'erede spirituale della 7D Mark II, con assonanze che arrivano a scomodare nientemeno che la EOS-1D X Mark III.
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 18-05-2020, 11:02   #61
DjLode
Senior Member
 
L'Avatar di DjLode
 
Iscritto dal: Oct 2000
Città: Reggio Emilia
Messaggi: 14902
Quote:
Originariamente inviato da recoil Guarda i messaggi
https://www.corriere.it/tecnologia/2...?refresh_ce-cp


non si capisce cosa vuol dire comunità di esperti
se è open source per tutti, lo guarderanno ANCHE quelli esperti, se lo vedono solo gli esperti allora è come dire che è in mano al governo e basta
comunque parla di questa settimana, quindi se lo pubblicano sarà nel giro di poco e lo sapremo...

ci sarà anche un server e non so se vedremo i sorgenti di quello, probabilmente solo app poi che fine fanno le informazioni invitate al server chi lo sa, ho paura che sarà una scatola nera ma sarei felice di essere smentito
Io in verità avevo letto un articolo non su un quotidiano online, qualche settimana fa. Se lo recupero lo posto.
Anche io avevo lo stesso dubbio, codice al governo o pubblico per tutti?
Io non ho sicuramente le capacità per "leggerlo" tutto quanto, ma se fosse rilasciato visibile a tutti e ci fossero cose poco chiare, sarebbe una figuraccia per l'azienda che lo sta scrivendo. Penso non possa permetterselo.
Vediamo in futuro, anche io spero che le mie perplessità siano eliminate tutte.
__________________
Twinkle, twinkle, little star how I wonder what you are.
DjLode è offline   Rispondi citando il messaggio o parte di esso
Old 18-05-2020, 16:52   #62
WarSide
Senior Member
 
Iscritto dal: Oct 2008
Messaggi: 7065
Quote:
Originariamente inviato da recoil Guarda i messaggi
https://www.corriere.it/tecnologia/2...?refresh_ce-cp


non si capisce cosa vuol dire comunità di esperti
se è open source per tutti, lo guarderanno ANCHE quelli esperti, se lo vedono solo gli esperti allora è come dire che è in mano al governo e basta
comunque parla di questa settimana, quindi se lo pubblicano sarà nel giro di poco e lo sapremo...

ci sarà anche un server e non so se vedremo i sorgenti di quello, probabilmente solo app poi che fine fanno le informazioni invitate al server chi lo sa, ho paura che sarà una scatola nera ma sarei felice di essere smentito
Vuol dire codice closed source con alcuni NDA dispensati a un po' di persone che dovranno metterci la faccia per dire che è tutto buono e bello.

Il backend è probabile sia una black box, ma se il client è fatto bene e non ci sono "codici che sbloccano la segnalazione di esser positivi" e non è necessario registrarsi per poter usare l'app, allora siamo già un passo avanti.
Quantomeno, per poter deanonimizzare i dati, sarà necessario chiedere ai gestori di telefonia i tabulati del traffico internet (e lo si fa dietro mandato).
__________________
MERCATINO VENDO: Le mie 80+ Trattative del Mercatino
WarSide è offline   Rispondi citando il messaggio o parte di esso
Old 18-05-2020, 21:10   #63
cdimauro
Senior Member
 
L'Avatar di cdimauro
 
Iscritto dal: Jan 2002
Città: Germania
Messaggi: 24408
Quote:
Originariamente inviato da WarSide Guarda i messaggi
Che li forniscano al governo, sinceramente non me ne può fregare di meno
E, parimenti, il governo se ne può fregare di quello che vuoi tu.
Quote:
Voglio i sorgenti resi pubblici a tutti e con build riproducibile. In questo modo posso essere certo che l'app sullo store è esattamente il compilato del codice aperto.
Qual sarebbe il problema se questo controllo lo facesse il governo?

y = f(x)

Se da la stessa x ottengo sempre l'y che mi aspetto, non me ne può fregar di meno chi, cosa sia, e come lavori la f per produrla.
Quote:
Ma se ci vorrà un "codice di sblocco" per eseguire l'upload dei dati, e lo stesso sarà fornito dal SSN, è palese che i dati non sono forniti anonimamente, ma "semplicemente" pseudonimizzati (passano dall'essere anonimi a pseudonimizzati nel momento in cui sono associati al codice di sblocco, che a sua volta sarà sicuramente legato ad una anagrafica).
Senz'altro, ma dalla precedente notizia non mi pare che l'app si comporti così. Mi pare che venisse generato un codice univoco legato allo specifico telefonino/bluetooth, e questo garantirebbe la privacy.

Poi è passato già un po' di tempo, e non ricordo i dettagli.
Quote:
Originariamente inviato da WarSide Guarda i messaggi
Vuol dire codice closed source con alcuni NDA dispensati a un po' di persone che dovranno metterci la faccia per dire che è tutto buono e bello.
E va benissimo così: i sorgenti sarebbe meglio che non circolassero, perché se saltasse fuori una falla zero day potresti mettere a rischio tutti gli utenti che utilizzano l'app.
Quote:
Il backend è probabile sia una black box, ma se il client è fatto bene e non ci sono "codici che sbloccano la segnalazione di esser positivi" e non è necessario registrarsi per poter usare l'app, allora siamo già un passo avanti.
Quantomeno, per poter deanonimizzare i dati, sarà necessario chiedere ai gestori di telefonia i tabulati del traffico internet (e lo si fa dietro mandato).
Infatti.
__________________
Per iniziare a programmare c'è solo Python con questo o quest'altro (più avanzato) libro
@LinkedIn Non parlo in alcun modo a nome dell'azienda per la quale lavoro
Ho poco tempo per frequentare il forum; eventualmente, contattatemi in PVT. Fanboys
cdimauro è offline   Rispondi citando il messaggio o parte di esso
Old 18-05-2020, 21:47   #64
WarSide
Senior Member
 
Iscritto dal: Oct 2008
Messaggi: 7065
Quote:
Originariamente inviato da cdimauro Guarda i messaggi
E, parimenti, il governo se ne può fregare di quello che vuoi tu.
Fintanto che non mi obbligano ad usarla, possono fare quel che vogliono.
Come io posso consigliare caldamente a chiunque conosco di non installare quella roba.

Quote:
Originariamente inviato da cdimauro Guarda i messaggi
Qual sarebbe il problema se questo controllo lo facesse il governo?

y = f(x)

Se da la stessa x ottengo sempre l'y che mi aspetto, non me ne può fregar di meno chi, cosa sia, e come lavori la f per produrla.
Quindi dovrei fidarmi di un'azienda terza (tralascio chi siano gli investitori di quell'azienda) e del reparto it disastrato della PA? No grazie.

Quote:
Originariamente inviato da cdimauro Guarda i messaggi
E va benissimo così: i sorgenti sarebbe meglio che non circolassero, perché se saltasse fuori una falla zero day potresti mettere a rischio tutti gli utenti che utilizzano l'app.
Infatti.
Security through obscurity, evviva evviva.

Come se per disassemblare un'app ci voglià chissà cosa. Le uniche persone a cui mettono i bastoni tra le ruote sono quelli che possono fare code review e beccare bug, non quelli a caccia di exploit. Qualsiasi esperto di security scriverebbe la stessa cosa.
__________________
MERCATINO VENDO: Le mie 80+ Trattative del Mercatino
WarSide è offline   Rispondi citando il messaggio o parte di esso
Old 18-05-2020, 21:53   #65
Saturn
Senior Member
 
L'Avatar di Saturn
 
Iscritto dal: Dec 2001
Città: Planet Saturn (♄)
Messaggi: 3899
Quote:
Originariamente inviato da Redazione di Hardware Upgrade Guarda i messaggi
Arrivano le prime schermate ma anche la documentazione relativa al funzionamento dell'applicazione di Bending Spoons, Immuni, ossia l'app per il contenimento del contagio da COVID-19. Ecco allora le schermate e come dovrebbe funzionare il meccanismo secondo la documentazione.
Perchè la redazione non aggiunge alla notizia un bel sondaggio per vedere chi non installerà e chi invece installerà la suddetta app italiana ?





Dai forza apriamo "il televoto" che sono curioso di vedere i risultati !

Ultima modifica di Saturn : 18-05-2020 alle 22:28.
Saturn è offline   Rispondi citando il messaggio o parte di esso
Old 18-05-2020, 22:28   #66
cdimauro
Senior Member
 
L'Avatar di cdimauro
 
Iscritto dal: Jan 2002
Città: Germania
Messaggi: 24408
Quote:
Originariamente inviato da WarSide Guarda i messaggi
Fintanto che non mi obbligano ad usarla, possono fare quel che vogliono.
Sappiamo che non sarà il caso.
Quote:
Come io posso consigliare caldamente a chiunque conosco di non installare quella roba.
De gustibus.
Quote:
Quindi dovrei fidarmi di un'azienda terza (tralascio chi siano gli investitori di quell'azienda)
Gli investitori non hanno nulla a che fare con gli sviluppatori e il prodotto finale.

Il tuo è chiaramente un attacco ad hominen: nota fallacia logica.
Quote:
e del reparto it disastrato della PA? No grazie.
E questi sono pregiudizi. Non puoi sapere se saranno degli esperti di sicurezza et similia ad analizzare i sorgenti.

Mentre se fossero pubblici chi si passerebbe il tempo ad analizzare i sorgenti? Tu, visto che ci tieni tanto? E chi altri?
Quote:
Security through obscurity, evviva evviva.
Che è almeno "sicura" quanto il pubblicare i sorgenti.
Quote:
Come se per disassemblare un'app ci voglià chissà cosa.
Ci vogliono skill certamente migliori di quelle di tanti altri programmatori. Roba non affatto comune.
Quote:
Le uniche persone a cui mettono i bastoni tra le ruote sono quelli che possono fare code review e beccare bug, non quelli a caccia di exploit. Qualsiasi esperto di security scriverebbe la stessa cosa.
Quanti potrebbero essere quelli che possono fare code review? Quanto quelli in grado disassemblare applicazioni a caccia di exploit?

A naso la bilancia pende enormemente a favore dei primi.

Il che implica che la tanto vituperata "Security through obscurity" ha certamente il suo perché. Eccome.

Infine, quando ci saranno protezioni hardware in grado di evitare che il codice (altrui) venga disassemblato, il cerchio si chiuderà (e ancora una volta a favore della STO): voglio vedere poi come faranno i cacciatori di exploit. Magari cercheranno di emulare Neo, ma chissà dove andranno a sbattere.
__________________
Per iniziare a programmare c'è solo Python con questo o quest'altro (più avanzato) libro
@LinkedIn Non parlo in alcun modo a nome dell'azienda per la quale lavoro
Ho poco tempo per frequentare il forum; eventualmente, contattatemi in PVT. Fanboys
cdimauro è offline   Rispondi citando il messaggio o parte di esso
Old 19-05-2020, 20:32   #67
Tasslehoff
Senior Member
 
L'Avatar di Tasslehoff
 
Iscritto dal: Nov 2001
Città: Kendermore
Messaggi: 5922
Quote:
Originariamente inviato da cdimauro Guarda i messaggi
Mentre se fossero pubblici chi si passerebbe il tempo ad analizzare i sorgenti? Tu, visto che ci tieni tanto? E chi altri?
Devo dissentire, c'è una grossa comunità italiana che sarebbe più che disposta a fare le nottate spulciando il codice dell'applicazione, tutta gente che sarebbe stata più che disponibile a dare una mano se fosse stata coinvolta e non fosse stata etichettata come "anti-trax".
Non parlo di divulgatori o personaggi alla Aranzulla, parlo di professori universitari come Zanero, di gente che passa da un big all'altro come Valsorda o Bonfiglio, parlo di gente che ha una lista lunga un Km di CVE come Gubello, insomma gente con gli attributi (e questi sono solo i più celebri che mi sono venuti in mente per primi).

Quote:
Il che implica che la tanto vituperata "Security through obscurity" ha certamente il suo perché. Eccome.
No su questo concordo pienamente con WarSide, sono quasi 170 anni che questo paradigma si è dimostrato errato, tanto lato pratico quanto quello concettuale.
Tanto più è critica l'applicazione quanto più deve basarsi sul paradigma del security by design e deve essere aperta per l'analisi delle vulnerabilità.
__________________
https://tasslehoff.burrfoot.it | Cloud? Enough is enough! | SPID… grazie ma no grazie
"Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say."
Tasslehoff è offline   Rispondi citando il messaggio o parte di esso
Old 19-05-2020, 21:12   #68
WarSide
Senior Member
 
Iscritto dal: Oct 2008
Messaggi: 7065
Quote:
Originariamente inviato da Tasslehoff Guarda i messaggi
Devo dissentire, c'è una grossa comunità italiana che sarebbe più che disposta a fare le nottate spulciando il codice dell'applicazione, tutta gente che sarebbe stata più che disponibile a dare una mano se fosse stata coinvolta e non fosse stata etichettata come "anti-trax".
Non parlo di divulgatori o personaggi alla Aranzulla, parlo di professori universitari come Zanero, di gente che passa da un big all'altro come Valsorda o Bonfiglio, parlo di gente che ha una lista lunga un Km di CVE come Gubello, insomma gente con gli attributi (e questi sono solo i più celebri che mi sono venuti in mente per primi).

No su questo concordo pienamente con WarSide, sono quasi 170 anni che questo paradigma si è dimostrato errato, tanto lato pratico quanto quello concettuale.
Tanto più è critica l'applicazione quanto più deve basarsi sul paradigma del security by design e deve essere aperta per l'analisi delle vulnerabilità.
Dopo aver letto la sua risposta, ho evitato appositamente di rispondere. Non sarebbe servito a niente.

Avrei potuto portare tanti esempi per smontare quel che ha scritto, ma sarebbe una perdita di tempo.

Forse, se aggiungessi in firma il link al mio profilo linkedin, si eviterebbero sparate alla marchese del grillo. Ma scrivo qui un po' per nostalgia ed un po' per cazzeggio
__________________
MERCATINO VENDO: Le mie 80+ Trattative del Mercatino
WarSide è offline   Rispondi citando il messaggio o parte di esso
Old 19-05-2020, 22:30   #69
cdimauro
Senior Member
 
L'Avatar di cdimauro
 
Iscritto dal: Jan 2002
Città: Germania
Messaggi: 24408
Quote:
Originariamente inviato da Tasslehoff Guarda i messaggi
Devo dissentire, c'è una grossa comunità italiana che sarebbe più che disposta a fare le nottate spulciando il codice dell'applicazione, tutta gente che sarebbe stata più che disponibile a dare una mano se fosse stata coinvolta e non fosse stata etichettata come "anti-trax".
Non parlo di divulgatori o personaggi alla Aranzulla, parlo di professori universitari come Zanero, di gente che passa da un big all'altro come Valsorda o Bonfiglio, parlo di gente che ha una lista lunga un Km di CVE come Gubello, insomma gente con gli attributi (e questi sono solo i più celebri che mi sono venuti in mente per primi).
Ma non vedo preclusioni in tal senso: il governo potrebbe far firmare loro accordi di non divulgazione delle loro analisi, che condividerebbero soltanto con lui.
Quote:
No su questo concordo pienamente con WarSide, sono quasi 170 anni che questo paradigma si è dimostrato errato, tanto lato pratico quanto quello concettuale.
Tanto più è critica l'applicazione quanto più deve basarsi sul paradigma del security by design e deve essere aperta per l'analisi delle vulnerabilità.
Questa, però, non è una dimostrazione, ma una speranza nonché presa di posizione soggettiva.

Non c'è alcun motivo per cui un codice debba necessariamente essere aperto per l'analisi delle vulnerabilità.

La differenza fra codice aperto e chiuso sta esclusivamente nel diverso audience. Certamente non nella mancanza di possibilità di analizzarlo alla ricerca di eventuali vulnerabilità.
Quote:
Originariamente inviato da WarSide Guarda i messaggi
Dopo aver letto la sua risposta, ho evitato appositamente di rispondere. Non sarebbe servito a niente.

Avrei potuto portare tanti esempi per smontare quel che ha scritto, ma sarebbe una perdita di tempo.
Finora non hai portato esempi, ma fallacie logiche, e dubito che la cosa sarebbe cambiata.
Quote:
Forse, se aggiungessi in firma il link al mio profilo linkedin, si eviterebbero sparate alla marchese del grillo. Ma scrivo qui un po' per nostalgia ed un po' per cazzeggio
Questa al più si configurerebbe come un'altra fallacia logica: il ricorso all'autorità. O al più grezzo "ce lo misuriamo e ce l'ho più grande".

Ma quel che dovrebbe contare in una discussione sono i FATTI. E solo quelli. Per chi ne può portare, ovviamente.
__________________
Per iniziare a programmare c'è solo Python con questo o quest'altro (più avanzato) libro
@LinkedIn Non parlo in alcun modo a nome dell'azienda per la quale lavoro
Ho poco tempo per frequentare il forum; eventualmente, contattatemi in PVT. Fanboys

Ultima modifica di cdimauro : 19-05-2020 alle 22:34.
cdimauro è offline   Rispondi citando il messaggio o parte di esso
Old 19-05-2020, 22:53   #70
WarSide
Senior Member
 
Iscritto dal: Oct 2008
Messaggi: 7065
Quote:
Originariamente inviato da cdimauro Guarda i messaggi
Questa al più si configurerebbe come un'altra fallacia logica: il ricorso all'autorità. O al più grezzo "ce lo misuriamo e ce l'ho più grande".

Ma quel che dovrebbe contare in una discussione sono i FATTI. E solo quelli. Per chi ne può portare, ovviamente.
Tranquillo, non ti tedierò con altre fallacie logiche.

PS: Chi ha il link al profilo linkedin qui sei tu e, sinceramente, è la prima volta che vedo un utente in un forum farlo. Sarà una moda italiana nata ultimamente.
__________________
MERCATINO VENDO: Le mie 80+ Trattative del Mercatino
WarSide è offline   Rispondi citando il messaggio o parte di esso
Old 19-05-2020, 23:24   #71
cdimauro
Senior Member
 
L'Avatar di cdimauro
 
Iscritto dal: Jan 2002
Città: Germania
Messaggi: 24408
Quote:
Originariamente inviato da WarSide Guarda i messaggi
Tranquillo, non ti tedierò con altre fallacie logiche.
Ottimo. Così potrò andare finalmente a nanna, che domani si lavora.
Quote:
PS: Chi ha il link al profilo linkedin qui sei tu e, sinceramente, è la prima volta che vedo un utente in un forum farlo. Sarà una moda italiana nata ultimamente.
Sarà la prima volta per te, ma l'ho visto fare ad altri utenti tempo fa, e ho seguito la "moda".

Che poi significava, e significa ancora (almeno per me), avere la possibilità di entrare in contatto con gli utenti del forum anche a livello professionale, e non per "misurarselo" (a me non serve, peraltro: mi basta argomentare).

Ad esempio giusto da qualche ora ho aggiunto un'altra connessione con un utente del forum, che adesso non conosco più soltanto in forma anonima.

Notte
__________________
Per iniziare a programmare c'è solo Python con questo o quest'altro (più avanzato) libro
@LinkedIn Non parlo in alcun modo a nome dell'azienda per la quale lavoro
Ho poco tempo per frequentare il forum; eventualmente, contattatemi in PVT. Fanboys
cdimauro è offline   Rispondi citando il messaggio o parte di esso
Old 21-05-2020, 21:20   #72
Tasslehoff
Senior Member
 
L'Avatar di Tasslehoff
 
Iscritto dal: Nov 2001
Città: Kendermore
Messaggi: 5922
Quote:
Originariamente inviato da cdimauro Guarda i messaggi
Ma non vedo preclusioni in tal senso: il governo potrebbe far firmare loro accordi di non divulgazione delle loro analisi, che condividerebbero soltanto con lui.

Questa, però, non è una dimostrazione, ma una speranza nonché presa di posizione soggettiva.

Non c'è alcun motivo per cui un codice debba necessariamente essere aperto per l'analisi delle vulnerabilità.

La differenza fra codice aperto e chiuso sta esclusivamente nel diverso audience. Certamente non nella mancanza di possibilità di analizzarlo alla ricerca di eventuali vulnerabilità.
Certamente gli approcci che suggerisci sono *teoricamente* fattibili, la STO non preclude certo ai pentest o a qualsiasi analisi di vulnerabilità, sicurezza etc etc...

Il problema è che storicamente quando la STO è stata adottata come strategia primaria tutto il resto è scomparso, perchè nel momento in cui precludi l'accesso alle informazioni (in questo mi riferisco chiaramente a quelle inerenti l'architettura e il codice, non certo ai dati che essi dovranno veicolare) allora automaticamente ti devi preoccupare di coinvolgere i soggetti che facciano queste analisi.
E fare questo vuol dire estendere la platea di quanti sono coinvolti, e quindi rendere l'obscurity un po' meno oscura, e quindi tenderai e non fare tutto questo concentrandoti solo sui pochi soggetti che hai scelto.
Al contrario rilasciare i sorgenti porta spontaneamente i soggetti competenti (non tutti, ma certamente un numero consistente in un caso di così ampia visibilità e portata mediatica) ad analizzare e integrare il lavoro di analisi iniziale.

Poi sappiamo bene (perchè l'abbiamo osservato tante volte nella storia dell'IT) che questo atteggiamento porta a trascurare (quando va bene) o ignorare i problemi di sicurezza perchè nessuno ha modo di rilevarli prima che la vulnerabilità venga sfruttata.
Sappiamo tutti che queste analisi costano (tanto), e qualsiasi progetto ha un budget finito (insufficiente), storicamente non si taglia sulle features ma su quello che viene percepito come accessorio (la sicurezza in tal senso è in pole position), se poi puoi beneficiare del falso senso si sicurezza dovuto alla chiusura del codice, il mix è perfetto

Ma al di la di queste considerazione a metà tra lo psicologico e il tecnico c'è un altro aspetto per cui è anche più importante pubblicare il codice di questa app, la trasparenza.
Sappiamo tutti che è impossibile renderne l'uso obbligatorio, pertanto l'unico modo per incentivarne l'utilizzo è creare un clima di fiducia (e storicamente lo Stato non è mai stato in pole position per quanto riguarda la fiducia dei cittadini eh...), imho la più totale trasparenza è il modo più semplice per aumentarla, e rendere disponibile i sorgenti è qualcosa che va fortemente in quella direzione.
__________________
https://tasslehoff.burrfoot.it | Cloud? Enough is enough! | SPID… grazie ma no grazie
"Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say."

Ultima modifica di Tasslehoff : 21-05-2020 alle 21:25.
Tasslehoff è offline   Rispondi citando il messaggio o parte di esso
Old 22-05-2020, 06:36   #73
cdimauro
Senior Member
 
L'Avatar di cdimauro
 
Iscritto dal: Jan 2002
Città: Germania
Messaggi: 24408
Quote:
Originariamente inviato da Tasslehoff Guarda i messaggi
Certamente gli approcci che suggerisci sono *teoricamente* fattibili, la STO non preclude certo ai pentest o a qualsiasi analisi di vulnerabilità, sicurezza etc etc...

Il problema è che storicamente quando la STO è stata adottata come strategia primaria tutto il resto è scomparso, perchè nel momento in cui precludi l'accesso alle informazioni (in questo mi riferisco chiaramente a quelle inerenti l'architettura e il codice, non certo ai dati che essi dovranno veicolare) allora automaticamente ti devi preoccupare di coinvolgere i soggetti che facciano queste analisi.
E fare questo vuol dire estendere la platea di quanti sono coinvolti, e quindi rendere l'obscurity un po' meno oscura, e quindi tenderai e non fare tutto questo concentrandoti solo sui pochi soggetti che hai scelto.
Mi sembra un discorso troppo generale / astratto. Potresti fare degli esempi in cui ciò sia avvenuto?
Quote:
Al contrario rilasciare i sorgenti porta spontaneamente i soggetti competenti (non tutti, ma certamente un numero consistente in un caso di così ampia visibilità e portata mediatica) ad analizzare e integrare il lavoro di analisi iniziale.
Questa è sostanzialmente la cosiddetta "legge di Torvalds" (che legge non è) descritta ne "La cattedrale e il bazaar".

Il problema è che avere tanti "occhi" non garantisce che ci sia competenza nell'analisi dei sorgenti né tanto meno che si riescano a trovare falle anche importanti.

Un esempio classico nonché estremamente famoso nel mondo open source è quello del bug trovato in OpenSSL, e che risulta ben sintetizzato dal meme che gira da allora:
http://pocitace.tomasek.cz/debian-ra...80ipepkza7.jpg

Dileggiato persino da Dilbert:
http://pocitace.tomasek.cz/debian-ra...o9hcjp7aw9.jpg

Eppure quel bug è rimasto lì, a bella posta, per tanti anni e nessuno se n'era accorto, neppure i tanti ricercatori di falle ed esperti di sicurezza che analizzano quei sorgenti, in quello che possiamo ben definire come il componente più importante in termini di sicurezza che viene usato in un sistema (OK, adesso c'è TSL, ma ci siamo capiti).
Quote:
Poi sappiamo bene (perchè l'abbiamo osservato tante volte nella storia dell'IT) che questo atteggiamento porta a trascurare (quando va bene) o ignorare i problemi di sicurezza perchè nessuno ha modo di rilevarli prima che la vulnerabilità venga sfruttata.
A volte succede proprio il contrario: i problemi arrivano dopo che la falla è stata trovata e il fix già disponibile.

Qui entriamo nel ginepraio dell'aggiornamento dei sistemi...
Quote:
Sappiamo tutti che queste analisi costano (tanto), e qualsiasi progetto ha un budget finito (insufficiente), storicamente non si taglia sulle features ma su quello che viene percepito come accessorio (la sicurezza in tal senso è in pole position), se poi puoi beneficiare del falso senso si sicurezza dovuto alla chiusura del codice, il mix è perfetto
Mi sembra ancora un discorso molto generale. Magari dipende dall'azienda e dal progetto, ma grosse realtà non mettono assolutamente sotto gamba la sicurezza, che il codice sia open source (con i periodici aggiornamenti CVE) o closed (le patch devono passare dalla revisione del team di sicurezza).
Quote:
Ma al di la di queste considerazione a metà tra lo psicologico e il tecnico c'è un altro aspetto per cui è anche più importante pubblicare il codice di questa app, la trasparenza.
Sappiamo tutti che è impossibile renderne l'uso obbligatorio, pertanto l'unico modo per incentivarne l'utilizzo è creare un clima di fiducia (e storicamente lo Stato non è mai stato in pole position per quanto riguarda la fiducia dei cittadini eh...), imho la più totale trasparenza è il modo più semplice per aumentarla, e rendere disponibile i sorgenti è qualcosa che va fortemente in quella direzione.
L'avevo detto prima, ma cosa succederebbe se dei malintenzionati trovassero delle falle zero-day nell'app, e le sfruttassero? Metteresti a rischio la sicurezza di milioni di utilizzatori.

Perché alla fine il nocciolo della questione sta tutto qui: l'apertura del codice consente potenzialmente di poterlo visionare a caccia di falle (ma vedi sopra), ma questo vale sia per i buoni sia per i cattivi.

Pubblicheresti lo schema completo dell'antifurto di casa tua, con annessi sorgenti completi?

Rendere pubblico qualcosa comporta anch'esso dei rischi alla sicurezza.

Viceversa, blindare qualcosa potrebbe renderla più sicura. Ad esempio software che gira dentro un'enclave non è soggetto a opere di reverse engineering (codice e dati sono cifrati con una master key di proprietà del solo proprietario).
Dunque i malintenzionati non potrebbero disassemblare alcunché a caccia di bug del codice, perché il codice non è a disposizione. Gli unici tentativi possibili sarebbero quelli di richiamare API a caso cercando di parametri parametri artefatti sperando di innescare un exploit, ma in ogni caso non potrebbero iniettare codice malevolo dentro l'enclave e dunque eventuali falle risulterebbero inutilizzabili.

Le enclave sono la prossima frontiera della sicurezza. E da sviluppatore mi auguro che si diffondano presto (per tutelare le mie opere dell'ingegno senza dover passare necessariamente da costosi brevetti).
__________________
Per iniziare a programmare c'è solo Python con questo o quest'altro (più avanzato) libro
@LinkedIn Non parlo in alcun modo a nome dell'azienda per la quale lavoro
Ho poco tempo per frequentare il forum; eventualmente, contattatemi in PVT. Fanboys
cdimauro è offline   Rispondi citando il messaggio o parte di esso
Old 25-05-2020, 10:49   #74
WarSide
Senior Member
 
Iscritto dal: Oct 2008
Messaggi: 7065
Hanno pubblicato i sorgenti per ois/android https://github.com/immuni-app

Adesso c'è solo da capire se le build generate con quei sorgenti generano esattamente la stessa app scaricabile dal play/apple store.

In caso affermativo spenderò 3/4h durante il w.e. per dare un'occhiata all'app android.
__________________
MERCATINO VENDO: Le mie 80+ Trattative del Mercatino
WarSide è offline   Rispondi citando il messaggio o parte di esso
Old 25-05-2020, 13:09   #75
recoil
Senior Member
 
L'Avatar di recoil
 
Iscritto dal: Jul 2002
Città: Milano
Messaggi: 18102
Quote:
Originariamente inviato da WarSide Guarda i messaggi
Hanno pubblicato i sorgenti per ois/android https://github.com/immuni-app

Adesso c'è solo da capire se le build generate con quei sorgenti generano esattamente la stessa app scaricabile dal play/apple store.

In caso affermativo spenderò 3/4h durante il w.e. per dare un'occhiata all'app android.
credo proprio di sì, ma la conferma non la potremo mai avere...
sicuramente una modifica la devono fare perché adesso l'app spara su www.example.com quando chiedi le FAQ o fai finta di essere positivo, quindi la aggiorneranno per la comunicazione verso il server del governo che si occuperà della parte backend
recoil è offline   Rispondi citando il messaggio o parte di esso
Old 03-06-2020, 10:19   #76
Riky1979
Member
 
Iscritto dal: Apr 2006
Città: Vercelli
Messaggi: 268
Immagino sia già stato commentato ma non ho trovato nemmeno con cerca.
Ho installato Immuni su uno Xiaomi Redmi 8Pro.
Allora ci sono delle stranezze: per essere operativa deve avere Bluetooth attivo e questo era ovvio e noto ma anche il GPS nella modalità "alta precisione" ovvero proprio con il segnale GPS e non nella modalità "bassa precisione" che sfrutta segnali delle celle e wifi.
Inoltre ho notato un consumo elevato di energia durante l'attivazione.
Ho fatto la prova anche spegnendo linea dati e wifi ma ha continuato a funzionare.
Ma non era stato detto che avrebbe usato solo il Bluetooth e non il GPS? In teoria dovrebbe bastare il Bluetooth conoscendo una portata media del segnale si hanno tutti i dati, quindi non capisco la richiesta del GPS.
Inoltre se non usa dati come mi arriverà il segnale che sono stato vicino ad un infetto o potenziale tale servirebbe accedere ad una banca dati e quindi avrebbe anche la componente dati attiva.
Riky1979 è offline   Rispondi citando il messaggio o parte di esso
Old 03-06-2020, 11:02   #77
recoil
Senior Member
 
L'Avatar di recoil
 
Iscritto dal: Jul 2002
Città: Milano
Messaggi: 18102
Quote:
Originariamente inviato da Riky1979 Guarda i messaggi
Immagino sia già stato commentato ma non ho trovato nemmeno con cerca.
Ho installato Immuni su uno Xiaomi Redmi 8Pro.
Allora ci sono delle stranezze: per essere operativa deve avere Bluetooth attivo e questo era ovvio e noto ma anche il GPS nella modalità "alta precisione" ovvero proprio con il segnale GPS e non nella modalità "bassa precisione" che sfrutta segnali delle celle e wifi.
Inoltre ho notato un consumo elevato di energia durante l'attivazione.
Ho fatto la prova anche spegnendo linea dati e wifi ma ha continuato a funzionare.
Ma non era stato detto che avrebbe usato solo il Bluetooth e non il GPS? In teoria dovrebbe bastare il Bluetooth conoscendo una portata media del segnale si hanno tutti i dati, quindi non capisco la richiesta del GPS.
Inoltre se non usa dati come mi arriverà il segnale che sono stato vicino ad un infetto o potenziale tale servirebbe accedere ad una banca dati e quindi avrebbe anche la componente dati attiva.
in questo caso penso sia un problema di Android che ti chiede di autorizzare il GPS anche per usare BLE

su iOS non è così, ti chiede nello specifico il permesso di usare le API nuove per il COVID e basta, niente GPS (anche vedendo i sorgenti)
recoil è offline   Rispondi citando il messaggio o parte di esso
Old 03-06-2020, 11:12   #78
WarSide
Senior Member
 
Iscritto dal: Oct 2008
Messaggi: 7065
Quote:
Originariamente inviato da Riky1979 Guarda i messaggi
Allora ci sono delle stranezze: per essere operativa deve avere Bluetooth attivo e questo era ovvio e noto ma anche il GPS nella modalità "alta precisione" ovvero proprio con il segnale GPS e non nella modalità "bassa precisione" che sfrutta segnali delle celle e wifi.
E' il servizio di Google integrato nel pacchetto GMS che chiede entrambi i servizi attivi per girare, anche se poi, in teoria, l'app immuni usa solo i dati provenienti dal bluetooth.

Ergo o tieni sempre acceso il GPS alla massima precisione, o puoi pure disinstallare l'app perché non traccerebbe niente.
__________________
MERCATINO VENDO: Le mie 80+ Trattative del Mercatino
WarSide è offline   Rispondi citando il messaggio o parte di esso
Old 03-06-2020, 13:10   #79
Riky1979
Member
 
Iscritto dal: Apr 2006
Città: Vercelli
Messaggi: 268
Quote:
Originariamente inviato da WarSide Guarda i messaggi
E' il servizio di Google integrato nel pacchetto GMS che chiede entrambi i servizi attivi per girare, anche se poi, in teoria, l'app immuni usa solo i dati provenienti dal bluetooth.

Ergo o tieni sempre acceso il GPS alla massima precisione, o puoi pure disinstallare l'app perché non traccerebbe niente.
Il problema diventa quindi arrivare a fine giornata con la batteria perchè usando GPS+Bluetooth si consuma parecchio ed anche se non usa il segnale GPS questo è operativo alla massima precisione e massimo consumo.

Inoltre per come è stata sbandierata Immuni basterebbe il bluetooth quindi se un utente l'attiva e vede il segnale GPS acceso lo spegne e se ne va a zonzo pensando di avere tutto operativo perchè ha Immuni e bluetooth attivo mentre non funziona nulla. Non è proprio marginale come cosa soprattutto per la comunicazione con gli utenti che si è fatta, non parlano mai di GPS anche se è essenziale.
Riky1979 è offline   Rispondi citando il messaggio o parte di esso
Old 03-06-2020, 15:15   #80
nx-99
Member
 
Iscritto dal: Feb 2015
Messaggi: 214
C'è sempre il Piano B
nx-99 è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


KIOXIA 3 SSD in prova: Exceria e Exceria Plus (M.2 PCIe) e Exceria SATA KIOXIA 3 SSD in prova: Exceria e Exceria Plus (M...
Hyundai Ioniq elettrica: ansia da batteria e pareri ragionati di un utilizzatore curioso Hyundai Ioniq elettrica: ansia da batteria e par...
Canon svela EOS R5 e R6, due nuove mirrorless 35mm avanzate e performanti Canon svela EOS R5 e R6, due nuove mirrorless 35...
Aorus 17G XB, l'approccio di Gigabyte al mondo dei notebook gaming Aorus 17G XB, l'approccio di Gigabyte al mondo d...
Ryzen 9 3900XT, Ryzen 7 3800XT e Ryzen 5 3600XT: aspettando Zen 3 Ryzen 9 3900XT, Ryzen 7 3800XT e Ryzen 5 3600XT:...
Microsoft Flight Simulator: annunciata l...
Non chiudete il MacBook con una copertur...
Apple Glass più vicini alla realt...
Thermaltake, tappetino M900 XXL RGB: una...
TIM: arriva la fibra ottica a 100Gbps in...
ho.mobile attiva il VoLTE per tutti gli ...
AMD EPYC Milan Zen 3: numero di core inv...
Windows 10 May 2020 Update, OneDrive pu&...
Cradlepoint offre i suoi servizi edge 5G...
OnePlus Buds ufficialmente in arrivo. Ec...
Google Pixel Buds: ecco le cuffie che sa...
GeForce RTX 2000 di fascia alta in pensi...
Master, slave, blacklist: terminologia d...
Con Intel EMA responsabili IT e aziende ...
TomTop, ecco le offerte valide oggi fra ...
K-Lite Codec Pack Update
K-Lite Mega Codec Pack
K-Lite Codec Pack Full
IObit Uninstaller
OCCT
SmartFTP
CrystalDiskInfo
Firefox Portable
Firefox 78.0.2
Radeon Software Adrenalin 2020 20.7.1
Driver NVIDIA GeForce 451.67 WHQL
K-Lite Codec Pack Standard
K-Lite Codec Pack Basic
Opera Portable
Opera 69
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 04:33.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.
Served by www1v
1