VLC, Popcorn Time e Kodi: porte di accesso per Hacker tramite l’utilizzo dei sottotitoli

Bar sport un par di palle!

Finché ti scrivi il tuo programma da solo riempitelo pure di bug quanto ti pare, ma se fai un programma\script baggato, che usano milioni di persone come vlc e kodi o che serve un'infrastruttura più grande che ospita anche dati personali come il caso imagemagik di pochi giorni fà su yahoo....non ci sono scuse....tanto più se le cose vengono fatte quando si conosce già la pericolosità.

Se vi và bene così avanti tutta allora. Poi non lamentatevi se il personaggio di turno magari indagato, con millemila capi d'accusa, colpevole ma non processato, recidivo diventa un ministro di qualcosa o assessore qui e là e continua a fare disastri....lo si sapeva si dice a posteriori... bah

La sicurezza informatica non è un tema da bar sport, se la vedi così amen, spero che non ti succeda mai. Sappi xò che come te, sono molti a prenderla sotto gamba.


Ho capito, ma oggi è vlc domani chissà che cosa. Il fatto è che c'è l'usanza di fare e dare in pasto al pubblico, senza controllare la correttezza del software; questi che saltano fuori ormai settimanalmente sono tremendi svarioni di cattiva programmazione ed uno dei motivi è il fatto che i programmatori (e mi ci metto anche io) copiano\incollano funzioni e codice xkè "tanto funziona" senza poi preoccuparsi di vedere se sono baggati. Il tema della sicurezza informatica è trascurato molto dagli utenti e anche dagli stessi programmatori purtroppo: xkè richiede risorse, tempo e spesso denaro.

come già detto, nell'open se ne può accorgere chiunque e chiunque può correggerlo. nel closed (che generalmente è pure a pagamento) no.
in altri termini, mi sembra molto meno difendibile MS coi bachi decennali di SMB che non VLC per un vettore d'attacco così poco comune (e peraltro non facilmente attivabile: uso vlc da sempre e non ho mai scaricato un sottotitolo).

fra parentesi è altamente probabile (se non certo) che NSA e similari paghino delle persone per infilare bug nei sw più diffusi, che siano open o closed.
ma nell'open è un po' più semplice accorgersene e di certo non c'è da pregare questa o quella sw house di metterci una pezza.

Dovrebbe essere così in teoria, xò purtroppo in pratica non lo è. Anche tu fossi programmatore, ma chi te lo fa fare di andare a vedere il sorgente di un software che nemmeno usi in cerca di bug? Il codice è aperto, ma in quanti lo guardano? e chi è capace di debuggarlo?

Non fraintendermi io la penso come te.

Il discorso NSA è più complicato di così cmq, non solo pagano, ma se vogliono attaccare un sistema lo studiano, dalle resistenze usate ai chip al software che ci gira sopra, alla fine acquisiscono così tanta conoscenza che lo conoscono meglio di chi lo ha inventato.

Ti rimando alla lettura di questo articolo un po' vecchiotto ma attualissimo come non mai, così capisci un po' come la penso io (anche in vista del futuro delle Internet of Things IoT): http://theinvisiblethings.blogspot....r-security.html

Non ho ben capito come la pensi, nel senso che prima dici che dovrebbe essere così, ma non lo è ..e poi dici che la pensi come lui (/me); ad ogni modo, non è che il discorso del "controllo condiviso del codice" open source è da intenderesi come una roba tipo: "..questa mattina mi sveglio e mi metto a spulciare le righe di codice alla ricerca di una falla-bug-problema..ecc..".

Diciamo che per la mia esperienza ho sempre visto che i problemi vengono risolti per spunti degli utenti (le bug list) o xké dal momento che in tantissimi lavorano sui progetti (sia sul codice principale presente ad esempio su ghithub, sia sulle varie branch disponibili), l'errore "salta fuori".

Ovviamente questa è la mia opinione basata sulla mia esperienza

non è che uno si mette a debuggare una cosa che non usa e non gli interessa.
ma magari se uno studia ingegneria informatica e deve scrivere una tesina sul TCP o su SMB, si va a vedere il codice come è stato implementato in una distribuzione linux e se trova un errore lo segnala e/o lo corregge.
se invece uno si occupa di compressione video, si spulcerà il codice di xvid o di VLC.
ecc ecc.

ognuno fa quel che sa fare con le competenze che ha: se conosci C potrai ravanare nelle robe fatte in C, se consoci php, puoi curiosare in un cms, se non sai nulla e sai solo l'inglese puoi tradurre un sw ed imparare ad usarlo 10000 volte meglio che guardando un tutorial su Youtube.

E t'assicuro che questi non sono solo uno sfizio o una pippa da nerd: acquisisci anche competenze molto dettagliate ed approfondite sul tema.

Bug corretto: arrivato oggi la nuova versione dei software VLC e collegati.

Almeno su windows si, almeno quello. Sulle altre distribuzioni linux a volte non arrivano mai.

vero.
il modello x cui il SO è aggiornato insieme agli applicativi è sempre meno sostenibile, imho.
x se non vedo perchè non posso aggiornare libreoffice indipendentemente dalle librerie di base del sistema o dal Desk.env.