Trusted Computing: perchè fidarsi di chi non si fida di noi?

Posted on Sat 18 October 2008 in Censura, Google, Sicurezza • Tagged with apple, Google, gphone, iphone, privacy, Sicurezza, trusted computing

trusted

E' notizia di questi giorni il fatto che Google abbia previsto un meccanismo di "sicurezza" che consentirà a loro stessi di rimuovere automaticamente, dai telefonini GPhone che verranno venduti, le applicazioni non ritenute sicure. Google avrà quindi la possibilità di controllare i propri dispositivi da remoto, accedere alla memoria del telefono e rimuovere quello che non desidera ci sia installato: chi ci assicura che non si mettano a controllare pure il testo degli SMS che inviamo o riceviamo, magari per inviarci pubblicità mirata a seconda delle nostre esigenze?

Della stessa pasta sono fatti anche i dispositivi della Apple, in particolare l'iPhone. Anche questo dispositivo incorpora infatti un chip che impedisce alle applicazioni non consentite di girare sul telefonino. L'unico modo per installare applicazioni sull'iPhone è quello di scaricarle dall'Apple Store, ed ovviamente Apple si riserva il diritto di decidere quali applicazioni possano apparire nello store e quali invece no, ed una nota nella licenza che devono firmare gli sviluppatori di applicazioni per iPhone, si dice anche che essi non possono in alcun modo dire pubblicamente che una loro applicazione è stata esclusa dallo store. Tutto questo in nome della nostra "sicurezza".


Utilizzare SSH senza password: chiavi SSH

Posted on Fri 29 February 2008 in HowTo • Tagged with chiavi, connessione, Linux, openssh, password, Sicurezza, ssh, ssh2

openssh_logo

Quando vogliamo connetterci ad un server SSH, solitamente utilizziamo un comando simile al seguente:

Una volta connessi ci viene richiesta la password di accesso e subito dopo siamo connessi. Digitare ogni volta la password puo' essere scomodo, ed in alcuni casi questo potrebbe addirittura impedirci di creare uno script di automazione per velocizzare alcuni compiti.

Ci vengono in aiuto le chiavi SSH. Generando una coppia di chiavi pubblica/privata di SSH sulla propria macchina, ed esportando la chiave pubblica sul server remoto, possiamo fare in modo di autorizzare la nostra chiave remota, facendo si che le connessioni successive avvengano senza la richiesta di alcuna password.

Supponiamo (a scopo dimostrativo) che il server remoto si trovi all'indirizzo IP 192.168.0.2 e supponiamo inoltre di avere un account chiamato user sulla macchina remota.

Per prima cosa dobbiamo generare la coppia di chiavi sulla nostra macchina locale (n.b: non utilizzo alcuna passphrase, altrimenti mi verrebbe richiesta comunque al primo login di ogni sessione):

andy80@noteboontu:~$ ssh-keygen -t dsa  
Generating public/private dsa key pair.  
Enter file in which to save the key (/home/andy80/.ssh/id_dsa):  
Enter passphrase (empty for no passphrase):  
Enter same passphrase again:  
Your identification has been saved in /home/andy80/.ssh/id_dsa.  
Your public key has been saved in /home/andy80/.ssh/id_dsa.pub.  
The key fingerprint is:  
22:99:69:d2:8d:8e:a5:f1:f4:dc:0f:d8:49:52:53:cd andy80@noteboontu

A questo punto dobbiamo copiare la chiave pubblica appena generata, sul server remoto:

cd ~/.ssh/  
scp id_dsa.pub [email protected]:./id_dsa.pub

Ci verrà chiesta la nostra password remota, per poter effettuare la copia del file. A questo punto dobbiamo connetterci via SSH al server remoto:

Quando abbiamo effettuato correttamente il login, dobbiamo procedere con i seguenti comandi:

cd .ssh  
touch authorized_keys2  
chmod 600 authorized_keys2  
cat ../id_dsa.pub >> authorized_keys2  
rm ../id_dsa.pub

Il gioco è fatto! Le successive connessioni SSH che effettueremo verso il server remoto, avverranno senza la richiesta di alcuna password.


Rilasciato WordPress 2.3.3: corretta una grave falla di sicurezza

Posted on Wed 06 February 2008 in Sicurezza, WordPress • Tagged with aggiornamento, bug, falla, grave, nuova, Sicurezza, upgrade, versione, WordPress, xmlrpc

wordpress_logo

E' stata rilasciata da poche ore la versione 2.3.3 di WordPress. Con questa release viene corretta una falla piuttosto grave che riguarda in particolar modo quei blog che permettono la registrazione di altri utenti.

A causa di un bug in xmlrpc.php è infatti possibile per un utente qualsiasi del blog, editare i contenuti scritti da un altro utente.

Oltre a questo bug, sono stati corretti anche altri piccoli problemi che riguardavano la versione 2.3.2 di WordPress.

E' consigliato un tempestivo aggiornamento, seguendo la procedura indicata sul sito ufficiale.