Un malware su 6000 siti basati su WordPress

L'exploit kit sapevo che era multipiattaforma. Ma l'attacco in questione non si sa se lo sai o meno.



Ma il problema generale è ben più ampio e non risolve dicendo "blocchiamo javascript".

E non è nemmeno realistico avere una white list di siti su cui abilitare javascript. Primo perchè dovremmo passare le giornate ad aggiungere nuovi siti. Secondo perchè non è detto che tra quei siti "fidati" non ce ne sarà mai nessuno che verrà compromesso un giorno o l'altro.

E' chiaro che le misure devono essere altre, a partire dall'irrobustimento del software fino all'uso di sistemi hips ( che sono ancora usati molto poco in ambito consumer ).

Sono perfettamente d'accordo, io infatti non citavo l'ignoranza dell'utente finale come qualcosa di sbagliato o riprovevole, per lui questi servizi o siti sono uno strumento ed è normale e sacrosanto che non sia interessato a come funzionano o agli aspetti eccessivamente tecnici.
Infatti la mia critica va a chi afferma che al giorno d'oggi sia possibile usare un browser senza javascript, è una soluzione insostenibile quindi bisogna cercarne una più fattibile altrove, ad esempio nella qualità dei prodotti rilasciati e delle soluzioni sviluppate.

Anche qui, scusa ma stai equivocando
Io non ho parlato di figure senior come di esseri onniscenti che fanno tutto e non sbagliano mai; ovviamente ognuno si deve formare su un ambito specifico però ci sono delle conoscenze di base che sono imprescindibili, ad esempio le basi di reti (e con questo non intendo saper assegnare un ip ad una scheda di rete, ma tutta la teoria, le sottoreti, la logica con cui funzionano i principali protocolli di rete etc etc...) piuttosto che le principali best practice di sviluppo valide per ogni linguaggio, la validazione dei dati in ingresso, i principi su database e i servizi più diffusi (da quelli di rete alle directory ldap al funzionamento dei servizi di single sign on),etc etc...
Tutte cose che vengono ampiamente trattate nel primo biennio universitario di informatica, ma che possono benissimo essere approfondite privatamente semplicemente studiando.
Queste sono le basi per poter lavorare seriamente in ambito tecnico IT, il minimo sindacale, poi da li uno si può specializzare su un ambito specifico, sviluppatore, analista, dba, sistemistica, tecnico di rete etc etc etc... diventando senior col tempo, con l'esperienza e affrontando problemi sempre diversi.

Io francamente sono molto scettico riguardo al figura del tecnico senior formatore, è una visione semplicistica che si basa su una cosa che non esiste, ovvero che la conoscenza si veicola dall'alto così con qualche mistico corso, passaggio di consegne o training on the job.
E' una cosa assurda e che non funziona ma guardacaso è sempre l'approccio proposto dai commerciali, che infatti sono generalmente ignoranti su qualsiasi aspetto tecnico, inclusa la gestione delle risorse tecniche.
Anzitutto non è assolutamente detto che un buon tecnico sia anche un buon insegnante (lungi dal considerarmi un buon tecnico, però so per certo di essere un pessimo insegnante, non ne ho la pazienza ed è una cosa che non mi interessa o mi piace fare), in secondo luogo in ambito lavorativo non c'è praticamente mai il tempo per fare quello che descrivi, o meglio nessuna azienda ha le risorse tali da permettersi che una figura senior e una (o più junior stiano fermi a fare dei corsi anzichè lavorare su progetti e fatturare.

Imho naturalmente, poi sarò felice di essere smentito, però nel panorama italiano questo è quello che ho sempre trovato sia in ambito pubblico che privato.

è pieno di siti che usano js per cazzate che si possono ottenere in altro modo. alcuni manco si visualizzano senza js. bene, x me sono siti-spazzatura.

senza js si legge benissimo. dov'è il problema?

toh, io adblock non lo uso, perchè non è necessario. straavanza noscript. chissà perchè.

la vaccata è ritenere che wordpress senza js non funzioni.
e se un sito richiede necessariamente js semplicemente per essere visto, IMHO è sviluppato da un cerebroleso.

Ma non c'è solo il sito in se, un esempio i servizi di analisi degli accessi?
E non parlo certo di Google Analytics, qualsiasi prodotto del genere funziona allo stesso modo, dall'ottimo Piwik ai prodotti Webtrends passando per Omniture.
Tu nel 2015 offriresti un'analisi di log fatta con Webalizer o Awstats? Ottime per problem solving ma non certo per una analisi degli accessi o dei flussi di navigazione.

E come questi tantissimi altri servizi che volente o nolente sono diventati lo standard minimo di fornitura per qualsiasi sito o servizio.
Ma pensa anche soltanto a tutti i servizi o i dispositivi con interfaccia di amministrazione web based (un andazzo da cui purtroppo non ci si riesce a sganciare, e ribadisco purtroppo, ma questo è un altro discorso...) infarciti di javascript per simulare via web quello che fino a ieri facevano i client locali.
Puoi anche rinunciare a fare browsing di un sito, ma se devi lavorare con un dispositivo e questo ha interfaccia web based piena zeppa di javascript che fai? Ti rifiuti di usare quel dispositivo adducendo come scusa una sorta di obiezione di coscienza del javascript?

Pensa alle webmail, tu credi che al giorno d'oggi ci sia qualcuno disposto a lavorare con Squirrelmail?
E non mi riferisco certo a Gmail, la versione del 2002 di iNotes IBM faceva col javascript cose che con Gmail sarebbero impensabili anche oggi.

E' un approccio non sostenibile, una variabile che comunque non possiamo controllare, tanto vale concentrarsi su quello che invece è controllabile ovvero la qualità del software rilasciato.

Non hai capito l'articolo.

Qui stanno dicendo che a causa di una vulnerabilità in Wordpress, i cattivi stanno hackerando i server di terzi per ridirigere la gente su un server (loro probabilmente o gestito coi piedi da terzi quindi hackerato) con l'exploit kit. Come scopo ultimo è infettare gli utenti (ovviamente), ma qui si parla solo di server compromessi con dentro l'exploit kit.

Il grafico e i dati sono riferiti ai server compromessi. Oltre 6000 siti compromessi.

Concordo, quasi tutti i siti di news oltreoceano hanno COME MINIMO 5 ma in genere anche 10 js da siti diversi, e una valanga di tracker da Ghostery.

L'ultima volta che ne ho aperto uno è partito un "orcozzeus!!!!" perchè ghostery mi aveva riempito la pagina con la lista di tracker bloccati.

Quindi non si sa niente sull'infezione lato client? Possibile che abbiano scoperto tutto ciò, ma non abbiano uno straccio d'idea di quale sia il target finale?

Fantastico, disattiva javascript e torni a 10 anni fa come utilizzo del web
Oggi come oggi non esiste sito che non utilizzi javascript. Ajax è la prima cosa a saltare senza javascript.

aspetta. io sto parlando dal lato utente e di visualizzazione del sito, non del lato server-webmaster.
per l'amministrazione, si suppone che sul TUO server sai cosa gira, quindi js puoi anche tenerlo attivo (ci mancherebbe che non ti fidi del tuo stesso codice :-p )

Se un sito altrui manco si VEDE senza js attivo, io tendo ad abbandonarlo immediatamente o trovare workaround per visualizzarlo senza js, se proprio è una cosa che voglio vedere periodicamente.