Il terremoto che ha colpito lo stato americano della Virginia lo scorso martedì 23 agosto, seppur lontano dal grado di pericolosità raggiunto in altre parti del mondo, ha rappresentato, con la sua magnitudo 5.8, il più grave evento sismico che ha colpito la zona da oltre un secolo. Lo riferisce l'US Geological Survey in una nota. Scambiato inizialmente per un attacco terroristico dalla popolazione residente, perlopiù nelle zone metropolitane di New York City, Washington, D.C. e Boston, il... (continua)

BackTrack Linux è la famosa distribuzione specificatamente dedicata alla sicurezza: al suo interno un vero e proprio arsenale di tool per hacker, oltre 300 nell'installazione di default. La distribuzione è molto usata dagli amministratori di rete e dagli esperti di sicurezza informatica, in quanto dispone di un ambiente completo per il penetration testing e l'analisi dei sistemi e delle reti. BackTrack Linux dispone anche di un grande archivio di documenti e articoli sulla sicurezza e... (continua)

Con l'obiettivo di realizzare un meccanismo di autenticazione per i siti e le applicazioni web più semplice, sia per l'utente finale che per lo sviluppatore, Mozilla ha presentato la propria soluzione, basata sulla crittografia a chiave pubblica, chiamata BrowserID. Il funzionamento del protocollo è molto semplice: la prima volta che l'utente vuole usare BrowserID, si iscrive al servizio usando un indirizzo e-mail d una password; il sistema a questo punto manda all'indirizzo fornito, un link... (continua)

Da qualche tempo si sente parlare di femtocelle o femto cell, il cui nome presumo derivi dalle ridotte dimensioni dei dispositivi, e forse, di riflesso, anche della rete che si viene a creare utilizzandoli, realizzando così una forma di convergenza tra reti fisse e reti mobili. Non è più necessario infatti l'uso di un telefono ibrido, ovvero appositamente progettato per passare da un tipo di rete all'altra, dal momento che questo passaggio avviene utilizzando il telefono cellulare, che in questo... (continua)

Nel precedente articolo abbiamo introdotto le problematiche sulla finalizzazione di un oggetto, in questo articolo vediamo come evitare di "resuscitare" oggetti già finalizzati. La prima idea è quella di introdurre un flag initialized, che viene settato a true una volta che il costruttore ha completato l'inizializzazione dell'oggetto e lo ha verificato all'inizio dell'esecuzione di ogni metodo. Usando tale strategia non si evita affatto un attacco mediante reimplementazione di finalize() e,... (continua)

Com'è noto in Java la fase di deallocazione della memoria, utilizzata da una determinata istanza è demandata alla garbage collection, che effettua questo compito chiamando il metodo finalize() sull'istanza. La presenza di questo metodo fa sì che il codice realizzato sia vulnerabile ad alcuni attacchi, che possono compromettere il corretto ciclo di vita delle istanze della classe creata. Per mostrare meglio il tipo di vulnerabilità ci affidiamo alla descrizione della classe Vulnerable, di cui ne... (continua)

Sono innumerevoli i canali che possono essere sfruttati per violare la sicurezza di un'applicazione web, in misura uguale alle modalità con cui l'applicazione stessa può collezionare dati provenienti dall'esterno, siano essi forniti mediante la query string dell'URL, ricavati dal completamento dei campi di un modulo inviato mediante richiesta POST, o prelevati dai cookie salvati dal browser del visitatore. E' molto importante inoltre non sottovalutare la configurazione dello stesso interprete ... (continua)

Google ha rilasciato, in via sperimentale, DOM Snitch, un'estensione open source per Chrome, coperta da licenza Apache 2.0, che consente agli sviluppatori di analizzare le proprie applicazioni web in maniera da trovare il codice lato client che le può rendere vulnerabili agli attacchi, evidenziando così tutti i buchi di sicurezza presenti. Bersagli principali di Google sono le due chiamate JavaScript potenzialmente più pericolose: la document.write e l'innerHTML degli elementi HTML; Radoslav... (continua)

Gli attacchi di tipo Cross Site Scripting (XSS) sono una delle insidie più assillanti che possono affliggere un'applicazione web aperta al pubblico; non fidarsi mai dell'input, questo è l'unico principio che può garantire un minimo di sicurezza spingendo gli sviluppatori a porre i giusti meccanismi di filtering dell'input. Input non filtrati possono infatti permettere a utenti malintenzionati di inserire codice di scripting client-side, in grado ad esempio di richiamare – nei casi più innocui –... (continua)

Krzysztof Kotowicz ha recentemente inaugurato, sul sito dzone.com, una serie di tre articoli dedicata all'inclusione di codice remoto nelle aplicazioni PHP. L'autore si prefigge di illustrare i differenti metodi per includere codice remoto, ponendo particolare attenzione alla sicurezza. Nell'articolo d'esordio Kotowicz dà avvio alla serie proponendo un'introduzione, che illustra quelle che sono state negli anni le metodologie con cui venivano incluse porzioni di codice esterno negli script e... (continua)