:)
Alcune funzionalità sono disabilitate, accedi per attivarle e partecipare!
Activity results for #sicurezza
-
Keylogger senza permessi di root su Linux (Xorg)
Leggendo questo articolo http://www.ilsoftware.it/articoli.asp?tag=Wirenet-ruba-dati-personali-dai-sistemi-Mac-OS-X-e-Linux_9129 mi era parso abbastanza inverosimile l’esistenza di keylogger funzionanti con i normali permessi di utente (conoscevo solo un metodo che sfrutta /dev/input/eventx che però richiede il root).
Così ho fatto qualche ricerca e ho trovato http://theinvisiblethings.blogspot.it/2011/04/linux-security-circus-on-gui-isolation.html e soprattutto http://www.clshack.com/linux-xinput-simple-keylogger.html.
Praticamente per sapere ogni tasto premuto basta dare un ”xinput test id_della_tastiera” (che si ricava da ”xinput list”), magari salvando l’output in un file, per poi tradurlo dalla tabella data da ”xmodmap -pke”.
Inutile dire che ci sono rimasto un po’ di sasso a vedere quanto è semplice registrare password di root e di account online e bancari.
Più che altro mi chiedo se impedendo l’esecuzione di xinput agli utenti normali vi è qualche complicazione e, se no, per quale assurda ragione in predefinito non è così visto che xinput è preinstallato in tantissime distro. #sicurezza #keylogger #paranoia -
Le password di Diablo 3 sono case-insensitive…
…e anche quelle di WoW e SC2 (che dovrebbe essere StarCraft ). Non la sapevo sta cosa :D
http://us.battle.net/d3/en/forum/topic/5152409863
Tra l’altro ciò implica che le password nei loro database siano salvate in chiaro, quindi se venissero bucati sarebbero utilizzabili senza sforzi di sorta.
E il tipo della Blizzard è sulla linea ”’it’s not a bug, it’s a feature” :D
-
ridicolo… e decisamente preoccupante
-
non per forza. Potrebbe essere fatto un toUpper prima di salvarla, e fare toUpper ogni login.
-
+1
-
infatti… non implica proprio nulla la cosa
-
vero, non ci avevo pensato :)
-
-
inoltre battle.net ha altri sistemi di sicurezza oltre alla mera password, io ad esempio ho abilitato gli avvisi via SMS, inoltre e’ possibile abilitare un autenticator, sia acquistare un dispositivo fisico sia utilizzare l’app per Android e iPhone.
-
… Francamente non ci vedo niente di tanto incredibile…
Alla fine basta saperlo, uno si sceglie la pass un po’ più lunga, con numeri e simboli.
Parliamo poi di un gioco online, non della tua mail aziendale.In compenso, dal thread:
”Can confirm this as true for Alphabetic characters.”
Whew, I’m glad my uppercase numbers are safe then.
-
”basta saperlo” vuol dire che quando scegli la password è ben visibile l’avviso che sia case-insensitive? no, te lo chiedo perché io non ho un account Blizzard e quindi non lo so
-
Francamente, nemmeno io. Dopo Diablo 2 ho imparato a stare lontano da quella roba, da troppa dipendenza. Ma ricordo che su Diablo 2 quando creavi l’account diceva quali erano le regole per la pass. Certo, se c’è gente che se ne lamenta sul forum probabilmente non sarà più così…
Del resto, visto la naturalezza con cui lo diceva il tipo della Blizzard, credo sia scritto almeno da qualche parte. Del resto è così dal primo giorno di WoW, mi par di capire.
-
-
Alla fine basta saperlo, uno si sceglie la pass un po’ più lunga, con numeri e simboli.
La password ha un soft-cap di 16 caratteri, quelli successivi non vengono utilizzati.
Per fortuna c’è un authenticator gratuito :|
-
-
tutto sto problema non lo vedo sinceramente. Si, ci sono meno combinazioni possibili.. ma una password di 16 caratteri alfanumerici e con simboli speciali mi sembra sufficientemente sicura, specialmente considerando che si tratta di giochi online e non di dati sensibili…
-
Sei così tranquillo anche se il tuo account è utilizzabile per fare acquisti/vendite con moneta reale alle aste del gioco ??
Io direi che è una grave falla nella sicurezza.
-
-
-
Linus e la richiesta di pwd di root: https://plus.google.com/u/0/102150693225130002912/posts
si lamenta, giustamente, dell’assurdità di dover ”diventare” root anche per operazioni banalissime.
speriamo che questa sua osservazione venga presa sul serio! #root #sicurezza #uccidetevisubito-
mi era sfuggito! Rotolissimo!
-
Io e torvalds condividiamo lo stesso gusto per le distribuzioni ben pensate per l’utente, cosí come l’amore per i giudizi pacati.
-
Effettivamente ”please just kill yourself now” è molto diplomatico :-D
-
Linus Torvalds si conferma sempre molto pesato e riflessivo nei giudizi! ;-)
Però ha (quasi) ragione: perché tutte quelle funzionalità richiedono la password di root? Non si possono fare le stesse cose con sudo? Perché Suse non usa sudo?
[torvalds mode ON] Poi ci ripenso: dai, cazzo, sei lo sviluppatore del kernel, perché non sprechi una maledetta decina di minuti per configurare il sistema per fare tutto con sudo? Che non lo sai che esiste? Che cazzo stai a lamentarti, visto che la soluzione è così semplice? [torvalds mode OFF]
Sinceramente, quando sento questi rant, trovo ogni volta buffo e disarmante che il principale sviluppatore del kernel non pensi neanche lontanamente a cambiare le impostazioni di default della propria distro in modo che siano più comfortevoli per lui (come facciamo noi poveri umani), e preferisca lamentarsi in modo così pesante, come un lamer appena passato da windoz a linuz.
Ma gli vogliamo bene lo stesso… ;-)
-
perché non sprechi una maledetta decina di minuti per configurare il sistema per fare tutto con sudo?
tra 2 giorni
oh ma com’é che nemmeno il 2012 sará l’anno del desktop linux?
-
-
-
il numero di volte in cui bisogna inserire la password di root su opensuse IS TOO DAMN HIGH!
-
…a patto che la sicurezza non ne risenta!
E poi chissà come le singole distro potrebbero implementare in 1000000 modi diversi questa richiesta :D -
Whoever moron thought that it’s ”good security” to require the root password for everyday things like this is mentally diseased.
dai cazzo!
-
-
I siti conoscono il numero di cellulare dal quale si naviga
Nel Regno Unito la compagnia O2 comunica i dati dei clienti e il loro numero di cellulare ai portali visitati tramite telefonino. Sembra che sia una pratica diffusa dappertutto e da molte compagnie.
Non so cosa ne pensate o se qualcuno lo aveva già segnalato, in ogni caso
http://www.ilfattoquotidiano.it/2012/01/28/navighi-telefonino-sito-internet-conosce-numero/187172/ #privacy #O2 #internet #sicurezza-
il mio smart non conosce il mio numero nemmeno se glielo chiedo espressamente
:D-
eheheheh! non credo però,nella mia ignoranza, che sia un problema legato al dispositivo… piuttosto all’infrastruttura!
-
Già. Non mi sembra, tecnicamente, una cosa molto diversa dall’isp che comunica il tuo ip.
Però trattandosi del numero telefonico, trovo che sia piuttosto inquietante…-
+1
Più per una questione di raccolta di indirizzi a cui spammare sms che per altro.. -
+1
specie per chi si porta appresso lo stesso numero di cell da anni.
-
-
-
-
immagino valga solo quando si naviga 3G infatti ;)
-
Si, solo quando navighi col 3G, alcuni operatori tra l’altro ti inseriscono un javascript nelle pagine che visiti per farti scaricare la versione a bassa risoluzione e far risparmiare banda(a loro).
-
-
pensa che anni fa sulla rete tre potevi vedere tutti i computer in connessione da parte degli utenti.. alla faccia della rete in sicurezza :D
-
-
grossa falla di sicurezza in iOS: http://www.bgr.com/2011/11/08/hacker-uncovers-major-ios-security-flaw-video/
ho sempre ”sparato a zero” sulle falle di Android e sulla (per me criminale) politica di Google per il suo market, ma a quanto pare anche gli altri stanno con le braghe calate!
#iOS #sicurezza #epicfail -
http://www.oneopensource.it/01/07/2011/ios-batte-android-in-sicurezza-parola-di-symantec/
iOs batte Andorid in sicurezza. Parola di Symantec. Sarà perché controllano anche quante volte vai in bagno ?
#iOs #android #sicurezza-
La registrazione a pagamento è richiesta anche da Google. La stessa google che non chiede agli utenti di fidarsi ciecamente del market: se infatti installo una cosa su Android sono prima informato sui permessi che l’applicazione chiede al sistema, al contrario di quanto accade con iCoso. Alla fine dunque sono sistemi di sicurezza diversi, impossibili da confrontare in maniera diretta.
-
+1 sono pienamente d’accordo, è l’esplicazione del mio concetto :) sui bagni.
-
-
dire che è dovuto alla solita differenza tra le modalità di pubblicazione delle app: Apple le spulcia tutte, ergo non passano le ”porcate”, Google fa entrare chiunque, ergo passano le ”porcate”.
-
-
Nedanfor ha pubblicato un nuovo commento all’attività: 1 anno, 11 mesi fa
In risposta a:Andbax: Periodo caldo per la pirateria informatica. Ci si mette anche lo stato italiano a installate trojan sui pc degli indagati. http://www.repubblica.it/politica/2011/06/22/news/mail_spia_hacker-18041273/?ref=HRER1-1 VediSe becco in strada Bisignani gli racconto che gli sarebbe bastato usare Ubuntu per non finire in galera… chissà come ci rimane :P
#trojan #madeinitaly #Bisignani #sicurezza -
Scorri tra 14 notizie.
Loading ...
Secondo me è normalissimo che un SO fornisca delle API di questo genere.
Questo problema va risolto fornendo nuove API per la digitazione sicura delle password che non consentano keyloggin et simila.
No, va risolto isolando le applicazioni con privilegi normali.
È una storia vecchia comunque, si sa che Xorg non è stato pensato con la sicurezza in mente.
Pensa solo a come puoi fare una foto di tutto lo schermo con qualsiasi applicazione, o a come puoi interagire con le altre applicazioni.
Ah, e SELinux è una soluzione ad alcuni dei problemi di Xorg
sai se wayland utilizza un approccio più sicuro da questo punto di vista?
Sembra di no, per adesso