Privacy Policy

Ricerca in FOLBlog

Mac

A futura memoria

 Scritto da alle 21:19 del 20/03/2009  10 Risposte »
Mar 202009
 

Parole sante...

Charlie Miller, intervistato riguardo alla performance che ieri gli ha consentito, in pochi secondi, di violare la sicurezza di MacOSX attraverso una falla di Safari, ha risposto così alla domanda sul motivo che l’ha spinto a concentrare le sue attenzioni sul browser Apple e non sugli altri browser:

“Why Safari?  Why didn’t you go after IE or Safari?

It’s really simple. Safari on the Mac is easier to exploit.  The things that Windows do to make it harder (for an exploit to work), Macs don’t do. Hacking into Macs is so much easier. You don’t have to jump through hoops and deal with all the anti-exploit mitigations you’d find in Windows.

It’s more about the operating system than the (target) program.  Firefox on Mac is pretty easy tooThe underlying OS doesn’t have anti-exploit stuff built into it.”

Tradotto a spanne significa:

E’ veramente facile. Safari su Mac è più semplice da bucare. I meccanismi presenti in Windows per ostacolare gli exploit di questo genere, non esistono sul Mac. Violare i Mac è così semplice. Non devi diventar matto ad aggirare tutte le contromisure anti-exploit che si trovano in Windows.

La causa principale è il sistema operativo, non il programma preso di mira. Anche Firefox su Mac è abbastanza facile da violare. Il sottostante sistema operativo non ha alcuna protezione anti-exploit.

Più chiaro di cosi…

Technorati Tag: ,Apple,MacOSX,,,Leopard,Safari
Mar 192009
 

Come da previsione, anche quest’anno Apple MacOSX è stato il primo sistema operativo ad essere violato al Pwn2Own2009[1] (la sfida tra hacker che si tiene all’interno del CanSecWest 2009) “grazie” a Safari.

A riuscirci è stato Charlie Miller, la stessa persona che violò MacOSX lo scorso anno (sempre grazie a Safari), ma stavolta ci ha messo pochi secondi anziché qualche minuto.
Miller si è concentrato su Safari perchè sostiene che, per 5.000 dollari in palio, non vale nemmeno la pena provare a violare Firefox o Internet Explorer, più resistenti, ma comunque non del tutto immuni.

Charlie Miller non è stato il solo a violare MacOSX sfruttando falle di sicurezza di Safari; a riuscirci sono stati anche Julien e Nils.
E mentre Jiulien e Nils son riusciti a violare anche Firefox, Nils è il solo che è riuscito a violare anche IE8 (la versione inclusa in Windows 7) grazie a quello che è stato definito un “brillante bug” del browser Microsoft e che ha consentito di aggirare le protezioni DEP e ASLR.
Ovviamente i dettagli sulle tecniche utilizzate per violare i sistemi presi di mira, verranno resi noti solo dopo che i relativi produttori avranno rilasciato delle patch che rimediano alle falle di sicurezza.

Ancora nessuno ha tentato di violare Google Chrome; probabilmente ci tenterà Nils durante il secondo giorno.

Quest’anno ci sono due novità che mi pare valga la pena rimarcare.
La prima è che il Pwn2Own si estende anche alle seguenti piattaforme mobili:

  • Blackberry(TBA)
  • Android(Dev G1)
  • iPhone(locked 2.0)
  • Nokia/Symbian(N95-1)
  • Windows Mobile (HTC Touch)

E fino ad ora tutte hanno resistito agli attacchi.

La seconda novità, che mi ha stupito non poco, è che tra i sistemi messi alla prova manca Linux.
Questa assenza potrebbe essere considerata attraverso varie chiavi di lettura:

  1. qualcuno potrebbe vederci la conferma del declino di interesse nei confronti di Linux come piattaforma desktop (c’era Windows 7 ma non Linux…);
  2. altri potrebbero interpretare il fatto come la conferma che è inutile tentare di violare Linux perché è troppo sicuro;
  3. altri potrebbero pensare che non si è trovato l’accordo su quale distribuzione testare.

Tenderei ad escludere la 2 perchè, come si può notare, sia MacOSX che Windows 7 sono stati violati sfruttando falle di sicurezza di Firefox.
E’ presumibile che anche la versione che gira sotto Linux le contenga dato che, molto probabilmente Firefox per MacOSX è molto molto simile (identico?) a Firefox per Linux.

Inoltre mi ha colpito che la piattaforma di test Microsoft fosse Windows 7 e non Vista (magari con l’SP2 RC installato).
A prescindere dal fatto che ha fatto più bella figura di un sistema operativo già collaudato come Leopard, non so quanto sia equa la competizione tra quest’ultimo ed un sistema operativo in versione beta.
Suppongo però che Microsoft abbia voluto sfruttare questo appuntamento per ottenere un feedback altamente qualificato sulla sicurezza di Windows 7 e di IE8.
Inoltre sembrerebbe ormai chiaro che Microsoft ha abbandonato Vista (ritenuto forse ormai talmente compromesso nell’immagine che non conviene più tentare di difenderlo) e sta puntando a tutta birra verso Windows 7.


[1]

Il CanSecWest è forse la più importante conferenza sulla sicurezza informatica; si tiene con cadenza annuale a Vancouver.
All’interno della manifestazione è prevista una sfida tra hacker (Pwn2Own) che, con in palio premi in danaro e computer, tentano di violare la sicurezza dei sistemi operativi più popolari.

La sfida si svolge in 3 giorni, con livelli di sicurezza degradanti: man mano che si installano plugin ed applicazioni, il livello di sicurezza tende a diminuire in quanto ciascun software incrementa la probabilità che il sistema contenga una qualche falla di sicurezza.
Queste le regole per la competizione di quest’anno:

  • Giorno 1: Installazione di default senza alcuna applicazione aggiuntiva (dovrebbe essere lo scenario più sicuro)
  • Giorno 2: Si aggiungono flash, java, .net, quicktime
  • Giorno 3: Si aggiungono alcune delle applicazioni più note come Acrobat Reader, etc.
Technorati Tag: Apple,Microsoft,,,sicurezza dati,,,Firefox,Linux,

Aridatece l’iMac di prima!

 Scritto da alle 00:15 del 06/03/2009  28 Risposte »
Mar 062009
 

iMachecavolo!

Che delusione!
Ho aspettato per mesi questa nuova serie di iMac ed ora che è stata presentata rimpiango la vecchia.
Migliorie poche (diciamo nulle o quasi) prezzo più alto.

La ATI HD4850 è disponibile solo sull’iMac da € 1699,00, previo lauto pagamento di € 180,00 aggiuntivi!
Si è incredibilmente puntato sulla grafica Nvidia che tante “soddisfazioni” ha dato in passato alla Apple ed ai suoi clienti….

E che fine ha fatto la firewire 400?
Ora come cacchio lo collego il mio HD esterno?
Ah già, basta acquistare il solito adattatore!
Non è la stessa cosa che che eliminare la firewire, come è avvenuto per i MacBook per la “gioia” di tutti, ma poco ci manca!

Per “fortuna” è possibile acquistare un iMac ricondizionato vecchia versione a…€ 979,00 con la “bellezza” di 20 Euro di “sconto” sul prezzo che aveva da nuovo. Un affarone!

Credo che sia il caso, più unico che raro, in cui la generazione di prodotti successiva è peggiore (dal punto di vista rapporto qualità/prezzo e prezzo/prestazioni) della precedente.
Insomma, casomai ce ne fosse bisogno, Apple dimostra ancora una volta che i desideri degli utenti non contano niente.

Ringrazio ancora una volta, sentitamente, il solito zoccolo duro che, son certo, farà a gomitate per prendere l’ultima creatura (anche se si tratta di minestra riscaldata).
Che de-lu-sio-ne!

P.S.

Chissà cosa penserà il buon Steve nel vedere ancora quel “piece of junk” del MacMini nel listino Apple….

Technorati Tag: Apple,iMac,

Provato Safari 4 beta

 Scritto da alle 20:24 del 27/02/2009  12 Risposte »
Feb 272009
 

Safari

Come faccio ogni volta che ne viene rilasciata una nuova versione, ho voluto scaricare e provare ad installare Apple Safari 4 beta sul mio Vista 64bit.

Posso finalmente esprimere un giudizio positivo su questo browser.
Finalmente è possibile utilizzare il rendering dei caratteri di Windows, con grande vantaggio per la nitidezza dei caratteri e grande disappunto degli oculisti. 😀

Esempio 1
Rendering caratteri Apple
Con rendering dei caratteri Apple

Rendering caratteri Windows
Con rendering dei caratteri Windows

Esempio 2

Rendering caratteri Apple
Con rendering dei caratteri Apple

Rendering caratteri Windows
Con rendering dei caratteri Windows

Finalmente il layout dell’applicazione si integra con il mio computer, e non con quello di Steve Jobs, e Safari sembra così un’applicazione come le altre, anche in Vista.

Mi piace molto l’idea di unificare barra del titolo e barra dei tab
New tab bar

E la barra di stato ridotta ai minimi termini.
barra di stato
anche se, ad oggi, preferisco la soluzione adottata da Chrome, che fa comparire la barra di stato dinamicamente, solo quando c’è qualcosa da segnalare.

Mi manca invece la possibilità di scorrere gli ultimi URL inseriti nella barra degli indirizzi, così come mi manca il comando “Copia e vai” presente invece in Opera e Chrome (e che in Firefox sostituisco con un’analoga feature di Hyperwords)

Coverflow per i bookmark e la cronologia lo trovo invece molto bello ma scarsamente utile, nel senso che non aggiunge nulla in più oltre che una miglioria estetica.
Preferisco di gran lunga la possibilità di attribuire tag e la funzione di ricerca di Firefox.
Così come ritengo ancora inarrivabile la gestione dei bookmark di Firefox.

La compatibilità con i siti che mi interessano è totale, a differenza di quel che accade con Chrome e Opera e a quel che accadeva con la versione 3 di Safari.
La navigazione veloce e snella, ai livelli di quella di Chrome.
Interessante il comportamento di Firefox, Chrome (aka Iron) e Safari rispetto all’occupazione di RAM.
Aprendo il browser con la medesima pagina iniziale e non navigando, l’occupazione della RAM cresce progressivamente fino a livelli inauditi (evidentemente dato che RAM a disposizione ce n’è, gli esosi tendono ad occuparne il più possibile).
image
Ma quando si inizia la navigazione all’interno del sito, paradossalmente, la quantità di RAM occupata crolla, salvo riprendere ad aumentare cessando la navigazione. 😯
Credo dipenda dal meccanismo di prefetching dei contenuti dei tre i browser.
Conclusione: non c’è grande differenza tra l’occupazione di RAM di Firefox, Chrome (Iron) e quella di Safari, pur essendo il mio Firefox infarcito di estensioni varie.

La sensazione è quella di deja vu, dato che appare chiaro che stavolta Apple ha abbondantemente copiato preso ispirazione dalle cose buone disponibili su altri browser (Google Chrome ed Opera su tutti).
Ad esempio: Top sites è simile a Accesso Rapido di Opera, ma resta il parente povero di Speed Dial.
Ma Apple, come al solito, non si fa mancare un eccesso di entusiasmo e non esita a sopravvalutare il proprio browser, definendo “straordinarie novità” queste arcinote features, presenti da tempo nei browser concorrenti:
Novità?
Impareggiabile?

Niente di nuovo, invece (e purtroppo) sul fronte della sicurezza (almeno fino ad ora che Safari 4 è in versione beta).
Quindi, di sicuro non lo userò per gestire il mio c/c tramite home banking o effettuare acquisti online (la prudenza non è mai troppa). 😉

Alla fine però Safari scala la classifica dei miei browser preferiti e spodesta dal secondo posto Opera.
Al primo posto, al momento inarrivabile, sempre Firefox che con le estensioni consente personalizzazioni impensabili per gli altri browser finora visti.
Le estensioni disponibili per Safari, infatti, non sono nemmeno paragonabili a quelle disponibili per Firefox, sia in termini di quantità che di qualità.

Ah, e Internet Explorer?
Non l’ho citato perchè ora, tomo tomo, cacchio cacchio, è scivolato in ultima posizione tra i miei browser preferiti. 😥

Technorati Tag: ,,beta,test

Supporto Direct3D in VirtualBox

 Scritto da alle 00:15 del 02/02/2009  4 Risposte »
Feb 022009
 

Interessante l’idea illustrata da JeremyVisser: sfruttare la soluzione adottata da Wine e da Parallels (la cui implementazione però pare non essere ben realizzata) anche per VirtualBox:

Attualmente Wine consente alle applicazioni Direct3D di lavorare su Linux incapsulando Direct3D in OpenGL. Questo codice può essere riutilizzato in VirtualBox per aggiungere il supporto a Direct3D tramite l’accelerazione OpenGL che funziona  a partire dalla versione 2.1 di virtualBox.

Le seguenti DLL di Wine andrebbero ricompilate ed aggiunte al sistema operativo guest:

  • libwine.dll
  • wined3d.dll
  • d3d8.dll
  • d3d9.dll

Queste DLL potrebbero poi essere installate tramite VirtualBox guest additions.

Attualmente queste DLL si possono utilizzare in ambiente Windows seguendo le istruzioni sul wiki di Wine.

Installando le DLL nel sistema Windows host, è possibile utilizzare con successo applicazioni Direct3D attraverso OpenGL.

L’idea pare si sia rivelata valida e Robert Millan (aka rmh) è riuscito ad implementarla con successo, tanto che è stato invitato a ricompilare il tutto con kbuild, e condividere la sua soluzione sottoscrivendo l’accordo di collaborazione che consente a Sun di integrare in VirtualBox i contributi di altri utenti.

Insomma, a prescindere da come andrà a finire questa vicenda in particolare, è presumibile che il supporto a Direct3D, già nell’aria, sia realtà già con la prossima release di VirtualBox.

Technorati Tag: ,,,,opensource

Speed Dial e Secure login: FireFox come Opera

 Scritto da alle 16:28 del 26/01/2009  3 Risposte »
Gen 262009
 

Firefox & Opera

Due strumenti che trovo molto utili in Opera e che mancano in Firefox sono:

Accesso rapido (Speed Dial), che consente di memorizzare in una pagina i link preferiti rappresentati con delle miniature dei siti
Speed Dial

Magic Wand che, se abilitato, permette di memorizzare i nomi e le password per l’accesso ai siti protetti e, volendo, di inserire automaticamente i dati personali nei moduli Web.

Magic Wand

Ma due estensioni consentono di dotare Firefox delle medesime funzioni.

Si tratta di Speed Dial
Speed Dial

e di Secure Login.
Secure login

Ancora una volta le estensioni implementate in Firefox consentono di….estenderne la versatilità.

Technorati Tag: Firefox,Opera,estensioni,,,