Cerca nel blog

2009/03/20

Gara: Firefox, IE8, Safari bucati in pochi secondi

Browser colabrodo bucati: dei tre grandi non si salva nessuno, neanche IE8


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Anche quest'anno si tiene a Vancouver il CanSecWest, una conferenza annuale sulla sicurezza informatica che include una gara, chiamata Pwn2Own e organizzata dalla società di sicurezza informatica Tipping Point, che invita i concorrenti a prendere il controllo da remoto di un computer pienamente aggiornato agendo esclusivamente attraverso il suo browser. Chi ci riesce si porta a casa il computer posseduto e un premio in denaro.

E' andata malissimo. Il ricercatore di sicurezza Charlie Miller ha ripetuto il successo dell'anno scorso (segnalato qui): in una manciata di secondi è riuscito a entrare in un MacBook Apple dotato di tutte le patch di aggiornamento semplicemente inducendo l'utente del MacBook a cliccare su un link visualizzato in una pagina Web tramite il browser Safari. Si è portato così a casa il MacBook e 10.000 dollari, come da regolamento.

In cambio, la Tipping Point acquisisce i diritti sulla falla e sulla tecnica utilizzata per sfruttarla e si coordinerà con Apple per il rattoppo. I dettagli della tecnica verranno pubblicati solo quando sarà pronto l'aggiornamento che tura la vulnerabilità.

Anche il nuovissimo Internet Explorer 8 di Microsoft non ha resistito. Un ricercatore che si è identificato soltanto come Nils ha ripetuto lo stesso tipo di attacco contro Windows 7, che include IE8, e si è portato a casa il Sony Vaio che aveva bucato e un po' di dollari, sotto gli occhi probabilmente lucidi del team di sicurezza di Microsoft.

Nils è poi riuscito a bucare Safari e Firefox, completando la terna delle umiliazioni. Dopo il primo giorno di gara, soltanto Chrome (il browser di Google) era imbattuto.

Non c'è insomma da stare tranquilli, a prescindere dal sistema operativo che usate: molti pensano che il Mac sia invulnerabile, ma la realtà è che anche un Mac può essere violato semplicemente convincendo l'utente a visitare un sito-trappola. Per questo siete voi la prima linea di difesa del vostro computer.

92 commenti:

Alfred Borden ha detto...

C'è un motivo per cui Opera non è stato testato?

dyk74 ha detto...

Lo so che sono pedante... ma la sicurezza principale sta tra la tastiera e la sedia... qundi se una persona fa click su qualunque cosa gli capiti a portata di mouse non mi stupisco se si possa accedere ad una macchina sia essa Win, MacOS o altro...

Hayabusa ha detto...

Il fatto che nel 90% dei casi il problema stia tra la tastiera e la sedia conta solo fino ad un certo punto.
Analogamente con quanto si fa con le automobili occorre distinguere una sicurezza intrinseca del mezzo (del software) e una dovuta al pilota (all'utente), cercando da un lato di migliorare la prima, fino al punto di sopperire anche in parte agli errori di chi conduce, e dall'altro lato di dare una maggiore consapevolezza all'essere umano ai comandi.

Sulle auto odierne abbiamo ABS, ESP, cruise control adattativo, ecc ecc... Ovviamente tutto questo non serve a niente se decidi di entrare in autostrada in contromano, ma aiuta nel caso prendessi una curva in maniera un po' troppo disinvolta.

Sul software siamo ancora ben lungi dal raggiungere uno scopo del genere se "basta un click" per far saltare l'intero sistema (e non solo lo specifico software), il problema è che non so nemmeno se queste manifestazioni servano a qualcosa: scopro un bug e me lo tengo in tasca per un anno in attesa di utilizzarlo alla prossima gara e intascarmi il premio. Il software risolverà magari quello specifico bug, ma non cambia nulla: ce ne saranno sempre altri.

Forse sarebbe più utile ripensare il software alla base (un tentativo del genere è chrome con il suo schema a "sandbox")

Nico ha detto...

Quoto dyk74.

L'anello più debole della catena di sicurezza IT è l'uomo.

psionic ha detto...

Ma scusa, se ha indotto l'utente a cliccare un link... non e' un problema di browser.

Come fa un browser ad impedire che un utente faccia una cosa del genere?

Puo' avvisarlo, certo, ma se lui vuole farlo lo stesso, non c'e' sicurezza che tenga...

Takky ha detto...

@psionic:
Sì, ma se cliccando semplicemente su un Link regalo la mia macchina ad uno Scrpt Kiddie allora è un grossissimo problema del Browser. Non si è parlato di scaricare software o altro.

@Hayabusa:
Difatti Chrome ha passato indenne la prima fase. Ma anche IE8 sembrava aver introdotto qualcosa del genere se non ricordo male.
La manifestazione serve a persone come Nils (che ha bucato tutti e tre i sistemi) ad essere spronati a rendere pubblici gli Exploit affinché possano essere "risolti" e non cadere in tentazione della vendita al Mercato Nero.

@Disinformatico:
Qui parla di 2 minuti e 5'000$ dollari di ricompensa.
http://dvlabs.tippingpoint.com/blog/2009/03/18/pwn2own-2009-day-1---safari-internet-explorer-and-firefox-taken-down-by-four-zero-day-exploits

psionic ha detto...

@Takky:

Uhmm... forse hai ragione. D'altra parte capita di finire in pagine che ospitano qualche virus/malware. Almeno a me e' capitato (raramente, per fortuna) ed e' solo grazie al controllo residente che non me me lo sono beccato :-S. Pero' se viene creato un malware nuovo, che gli antivirus non riconoscono ancora...

marcov ha detto...

Non c'è da stare tranquilli, a prescindere dal sistema operativo che usate.
Si parlava di browser non capisco cosa c'entri il sistema operativo. Ti sei sbagliato o era una considerazione generica sul fatto che win mac o linux bisogna sempre essere attenti?

Anonimo ha detto...

Ma l'utente utilizzato per navigare che diritti aveva?
Comunque si conferma il fatto che la falla maggiore sta tra la tastiera e la sedia..

Vittorio ha detto...

oh finalmente riprendono le notizie di informatica, non ne potevo più di quegli articoli contro gli schiachimisti o lunacomplottisti
:)

John Wayne jr. ha detto...

Quoto chi sottolinea la differenza tra browser e SO e soprattutto chi parla di utente: tutti i SO infatti ormai utilizzano il sistema user/superuser.
La palla "problema" rimbalza in mano all'utente quando questo utilzza il pc come superutente (tanto é mio, non serve che io autorizzi me stesso!), o quando utilizza le solite pw da dizionario...

Ogni volta che uso il mio portatile in giro, tutti mi chiedono come mai debba inserire una password all'inizio e se sono paranoico!!! Senza contare che non ho ancora trovato un amico con un PC in modalità utente normale!

E poi ci si stupisce della diffusione dei virus? Io mi stupisco che ce ne siano così pochi!!

Il paragone con l'auto può essere corretto, ma ricordiamoci che per l'auto esiste la scuola guida, spesso invece chi accende un PC per la prima volta é completamente digiuno di nozioni di informatica!

david ha detto...

Mmm..non capisco.
Potresti spiegare meglio Paolo?
Cioè, si è chiesto a delle persone di aprire qualsiasi cosa gli arrivasse? Così è ovvio che ti infetti!
Cosa dovrebbe fare un browser oltre ad avvisarti??
Comunque m'associo a chi chiede perchè Opera non sia stato testato.
Ciao...

memolo ha detto...

Scusami...ma Internet Explorer 8 è stato l'ultimo ad essere hackerato e per di più solamente da una persona mentre gli altri sono stati bypassati da almeno due concorrenti.

Dan ha detto...

Per Hayabusa:
Infatti se non erro oltre alla competizione annuale c'è anche un programma continuo, per cui puoi segnalare anche anonimamente alla Tipping Point i bug e falle che trovi, e venire ricompensato se sono abbastanza gravi. Oltre a far leva sull'onestà degli hacker o "white hat", si può anche usare l'avidità dei cracker offrendo incentivi e ricompense in denaro. Tutto conta per sviluppare software più sicuro.

"Si parlava di browser non capisco cosa c'entri il sistema operativo. Ti sei sbagliato o era una considerazione generica sul fatto che win mac o linux bisogna sempre essere attenti?"
Troppo spesso ci culliamo nell'illusione del pensiero "uso questo-OS e quest'altro-browser, sono al sicuro", dimenticando che il computer assolutamente sicuro non esiste. Ci sarà sempre un bug, una nuova falla, un inganno per raggirare l'utente... quindi è sempre da tenere presente che la prima sicurezza la dobbiamo implementare noi col cervello, a prescindere appunto del sistema operativo o del browser usato. Non per nulla il primo citato nell'articolo è un Mac.

Mattia Paoli ha detto...

Sicurezza con Firefox su Win è uguale a sicurezza con Firefox su Linux (chessò, Ubuntu)?

Federico ha detto...

Cioè, si è chiesto a delle persone di aprire qualsiasi cosa gli arrivasse? Così è ovvio che ti infetti!

non deve essere ovvio, non si sta dicendo all'utente di cliccare su di un link, scaricare un programma ed installarlo... si sta chiedendo semplicemente di visitare una pagina!

chiunque potrebbe aggiungere un link ad un sito malvagio, anche nei commenti a questa pagina!

Enrico ha detto...

@Federico:
chiunque potrebbe aggiungere un link ad un sito malvagio, anche nei commenti a questa pagina

Tipo questo? Clicca qui!

Anonimous ha detto...

"Si parlava di browser non capisco cosa c'entri il sistema operativo. Ti sei sbagliato o era una considerazione generica sul fatto che win mac o linux bisogna sempre essere attenti?"

risposta semi tecnica, a quanto pare l'exploit sfrutta un buffer overflow in un componente di safari (PCRE - Perl Compatible Regular Expressions) che gira a quanto pare con privilegi di root.
con un buffer overflow si puo far eseguire comandi arbitrari al computer con i privilegi del componente attaccato, se faccio eseguire \bin\sh mi viene aperta una console di root.

david ha detto...

@federico
..sì, ma che sito?
Ognuno fa le cose a proprio rischio e pericolo...
A me è capitato forse 2 volte di "fare marcia indietro", perchè avira o lo stesso browser (opera) m'avvisavano della (possibile)pericolosità di un sito.
E, detto francamente, non vado nei siti più puliti del mondo!

dovella ha detto...

E mai possibile che nessuno tra voi si sia interrogato su come è stato bucato il giocattolo Safari +OSX?
E nessuno tra voi ha evidenziato che Windows 7 +I E8 erano in Beta verso il ramo RC (perchè l RC non è chiusa ne tantomeno è la 7058 compresa di RC1 IE8) .

Spero che con quest'altro esempio evidente si metta fine agli spot acchiappagonzi.

Anonimo ha detto...

Ma l'utente aveva diritti di amministrazione o no?
perchè ad esempio il livello user non ha diritti di scrivere su c, può solo scrivere sulla sua cartella, e quindi è MOOOOOOOLTO più difficile impestarsi il pc... tutto sta anche nei diritti col quale vengono eseguite certe operazioni, è vero che comunque è possibile override_are i diritti utente, ma comunque è una complicazione in più...

S. Guardie P. ha detto...

cos'è un safari bucati???
scusate l'ignoranza

Daniele ha detto...

L'espressione "colabrodo bucati" è tautologica. La parola "colabrodo" si usa di norma per dare l'idea di un recipiente bucato, per cui si dovrebbe dire semplicemente "browser-colabrodo", o "browser pentole bucate".

Anonimo ha detto...

@S Guardie
Safari è un browser,al pari di Internet Explorer, Firefox, Opera etc...
e serve principalmente per navigare in internet :)

"bucare" è gergo informatico e significa trovare una vulnerabilità e sfruttarla...

Paolo Attivissimo ha detto...

Dovella,

a cosa ti riferisci con "spot acchiappagonzi"?

Paolo Attivissimo ha detto...

Daniele,

I browser colabrodo sono stati bucati dai ricercatori. "Bucare" non è aggettivo, è participio, quindi nessuna tautologia.

Paolo Attivissimo ha detto...

Per chi chiede delucidazioni sulla dinamica e le regole della gara, il regolamento è pubblicato presso il sito che ho linkato nell'articolo.

Paolo Attivissimo ha detto...

Gizmodo scrive che Chrome è sopravvissuto alla prima tornata.

http://tinyurl.com/c9sxpg

barbagianni ha detto...

scusate se vado controcorrente ma a me sto fatto che la colpa è principalmente dell'utente non mi va prorpio giù. Il computer ormai lo usano tutti compreso mio padre che ha 74 anni suonati. Ha senso secondo voi che solo perchè clicca su un link tipo manuale delle belle donne tutte nude (cit. Alan Ford) si ritrovi un malware grosso come un tacchino?

stefano ha detto...

"Bucati in pochi secondi" non e' proprio esatto: http://tinyurl.com/d8htv4

theDRaKKaR ha detto...

con tutti i buffer overflow che puoi scovare nei miei programmi è un miracolo che io sia ancora vivo :)

a parte gli scherzi, se c'è un errore di programmazione di questo genere, non è il link in sè ad essere pericoloso, ma l'effetto che esso ha su un browser

per far capire il concetto meglio, in pratica un browser potrebbe andare in buffer overflow quando l'utente clicca su un URL che ha, che so, una lunghezza in caratteri superiore di un certo numero: il browser è programmato per gestire un URL lungo fino a quel certo numero e l'input maggiore lo porta in, appunto, buffer overflow. A quel punto parti del programma in memoria vengono sovrascritte dalla parte debordante dell'URL in input .Se l'URL in input è formato in un modo malizioso e SE quelle parti di memoria contenevano del codice il danno è fatto. L'URL infatti può essere formato in modo che i valori numerici dei caratteri diventino istruzioni nella memoria (per il semplice motivo che nella memoria anche le istruzioni non sono ce numeri). Le istruzioni ovviamente sono "maliziose" e servono per far prendere il controllo del pc all'attaccante. E' comunque giusto considerare che se NESSUNA parte del browser è eseguita ad un administrator, non è possibile iniettare del codice pericoloso sfruttando il buffer overflow: il codice iniettato ha gli stessi diritti di quello originale. Questo è il motivo per cui molti tecnici raccomandano l'uso di profili utente con bassi privilegi.

Spero che un po' di questa spiegazione sia comprensibile ai non addetti ai lavori perché è per loro che l'ho scritta ^_^

Lanf ha detto...

Scusa, ma sono almeno vent'anni che sono disponibili librerie che offrono funzioni di input a lunghezza arbitraria, variabile e troncabile. Ogii come oggi un buffer overflow significa solo... beh, inserite parolacce a piacere.

Lanf

K.Hiei ha detto...

Scusate,ma se avesse usato NoScript(Non permettendo ovviamente gli script dal link cliccato) ?

dovella ha detto...

@Paolo Attivissimo

Per spot acchiappagonzi mi riferisco a questo ad esempio http://tinyurl.com/czwrmn
e a tanti altri slogan lanciati in questi anni da una società che tutto può garantire tranne che la versa sicurezza.

theDRaKKaR ha detto...

beh dai dovella sicuramente può garantire più sicurezza di un pc con windows.. e quello afferma, nei suoi spot

theDRaKKaR ha detto...

@lanf

il mio esempio di lunghezza dell'URL era appunto solo un esempio, il buffer overflow avviene quando un dato in input è più grande del massimo valore che può prendere in input il tipo di dato offerto dal programma. Anche numerico.
Linguaggi di programmazione come il C e il C++ demandano al programmatore, per filosofia, il controllo di queste cose, per cui non c'è "libreria" che tenga: o ci stai attento oppure ti esponi al rischio. E' vero che puoi usare oggetti di terze parti che hanno dei meccanismi di controllo, ma gli oggetti standard di quei linguaggi non li hanno e francamente non credo siano molti i programmatori che vadano a cercare e imparare e utilizzare queste librerie col controllo dell'input!
Come al solito il discorso si riduce ai bug e agli aggiornamenti: la parola d'ordine è tenere il software sempre aggiornanto, anzi c'è anche un'altra: utilizzare software di qualità, prodotto da programmatori di qualità ^_^

Anonimo ha detto...

Per esempio Opera permette di bloccare gli script su una pagina che stai visitando, ti avverte se un eventuale link sul quale stai cliccando è taroccato e via dicendo...
c'è browser e browser, e se poi al tuo utente dai privilegi declassati anche windows può diventare quasi sicuro... :)
l'utente administrator andrebbe usato solo per la manutenzione della macchina, e per quei programmi che richiedono l'uso con privilegi elevati fare un run-as...

dovella ha detto...

@theDRaKKaR

Se vuoi scherzare dimmelo prima cosi evitiamo lunghi e noiosi discorsi.

Nico ha detto...

@dovella,
sono principalmente un utente pc (win e linux) e lavoro nel campo sicurezza.
quegli spot sono molto realistici seguendo le statistiche. Se prendiamo win come 100 (virus e vulnerabilità per home user) mac sta 6, linux sta a 3.
Ma il problema rimane sempre l'utente.. metti un inesperto in mano il miglior prodotto del mondo e questo diventerà insicuro.
La sicurezza totale non può esistere se non viene presa in considerazione la preparazione dell'utente.
Ci sono molti più pc, ergo molti più utenti che devono essere educati meglio.. non solo ad aprire il borsellino per comprare sempre il nuovo software di sicurezza.
Quindi non acchiappa nessun gonzo quella pubblicità.. a parità di gonzaggine dell'utente sta più sicuro sotto mac, per i motivi che ho spiegato.

theDRaKKaR ha detto...

dovè, leggi la risposta di nico e fai conto che sia la mia

saluti scherzosi

Ciro ha detto...

Miller also told reporters that he targeted Safari on Mac OS X because he believes that it is the easiest to exploit. Windows, on the other hand, he claims is tougher because of its address randomization feature and other security measures.

santino83 ha detto...

@dovella

che ci vuoi fare, la Apple se la tira anche perchè tutti gli hacker di questo mondo hanno una predilezione per microsoft, quindi sicuramente è piu sicuro usare Apple che Microsoft.
Che poi non capisco il discorso di IE8... apparte che iummaginao abbiano usato Safari 3 (non credo il 4), Firefox 3 e IE8 perchè sono le ultime versioni, anche se IE8 in Rc, e cmq ie6 e 7 da mo che li hanno bucati e che li bucano in continuazione, è inutile :) e poi è stata usata la IE8 proprio appunto per il discorso sandbox che doveva proteggerlo e invece non basta

dovella ha detto...

@Nico
Se vogliamo portare qui gli esperti di sicurezza non ho alcun problema a mandargli una Mail per invitarli in questa discussione.
Intanto possiamo dare un occhiata a questa http://tinyurl.com/59nq9x
quella del 2007 non era differente cosi come la parziale del 2009.
Gli spot sono realistici? Dici di essere un esperto di sicurezza ma queste tue parole mi destano molta preoccupazione
Io uso Vista e non uso Av. (non consiglio a tutti di fare come me)
sono straconvinto che l'user sia la causa principale di qualsiasi danno (sicurezza & co.)
E su OSX di danni evidenti ce ne sono a migliaia , solo che l'user ignora la possibilità che queste problematiche derivino proprio dalla SICUREZZA.
Tuttavia ti consiglio una lettura di questo post http://tinyurl.com/cp2ufz

Se ti vuoi divertire di piu (magari a snoccialoare le problematiche dell User con le "probabili" cause vai qui http://tinyurl.com/ynl64z

Concludo
E molto piu sicuro un PC e un PC user che nel 99% dei casi è dotato di software AV all'avanguardia che un Mac+OSX che cammina come un branco di fanciulle nude che escono dal villaggio solitario andando incontro ad una mandria di ex ergastolani .

dovella ha detto...

Aggiungo.
Divertito leggo quest'articolo
Intervista a Charlie Miller da ZDnet

http://blogs.zdnet.com/security/?p=2941

“Why Safari? Why didn’t you go after IE or Safari?

It’s really simple. Safari on the Mac is easier to exploit. The things that Windows do to make it harder (for an exploit to work), Macs don’t do. Hacking into Macs is so much easier. You don’t have to jump through hoops and deal with all the anti-exploit mitigations you’d find in Windows.

E’ veramente facile. Safari su Mac è più semplice da bucare. I meccanismi presenti in Windows per ostacolare gli exploit di questo genere, non esistono sul Mac. Violare i Mac è così semplice. Non devi diventar matto ad aggirare tutte le contromisure anti-exploit che si trovano in Windows.

La causa principale è il sistema operativo, non il programma preso di mira. Anche Firefox su Mac è abbastanza facile da violare. Il sottostante sistema operativo non ha alcuna protezione anti-exploit.

Nico ha detto...

dovella,
ognuno ha diritto alle proprie idee.

Ho solo fatto notare che l'affermazione che "sono spot acciuffagonzi" non è, a mio modestissimo avviso, corretta. E lo dico da NON user mac. Posso capire che non li trovi divertenti, ma è soggettivo.
Se ti senti protetto da Vista senza AV, avrai i tuoi motivi.

Comunque siamo stati off topic abbastanza, mi scuso.

dovella ha detto...

@Nico

Nessun Off topic.
IL sito tratta di "SMASCHERARE LE BUFALE" ed il post è inerente alla sicurezza informatica.
Nel mondo Apple esiste un assoluta disinformazione da parte degli user e da parte della società verso i propri clienti.
Ho anche notato che a differenza di prima nei "SITI UFFICIALI" sono stati rimossi molti slogano dove prima si metteva ine videnza il fattore sicurezza di OSX.
Gli user Windows o OSX devono prendere coscienza del fattore sicurezza........anzi i WIndows user a mio avviso si preoccupano piu del dovuto
al contrario i Mac user dovrebbero cominciare a preoccuparsi seriamente.

theDRaKKaR ha detto...

@dovella

tu hai detto che è uno spot acchiappagonzi, non hai detto che i meriti di MacOs sono pochi, affermazione che avremmo potuto condividere!

Un piccolo accenno i link che hai portato:
1) il numero si patch rilasciate dai produttori dei vari sistemi operativi (tra l'altro l'elaborato è di tale Jeff Jones, dirigente Microsoft). Quando parliamo di patch rilasciate ci riferiamo alle vulnerabilità scoperte e poi corrette. La prima cosa che salta agli occhi è che Apple, la comunità di Ubuntu e la RedHat fanno un grandissimo lavoro *attivo* per riparare le vulnerabilità dei loro sistemi.. D'altra parte lo stesso autore nel documento dichiara che la tua tesi non è che un sistema è più sicuro di un altro, ma che *secondo lui* ha un impatto più negativo sul sistema IT un OS che richiede molte patch rispetto da uno che ne richiede poche: è detto da Microsoft che ha al suo attivo un numero francamente mostruoso di pezze, sia generale sia mediamente per prodotto.. mediamente rilascia 6000 patch all'anno http://www.gss.co.uk/news/article/3105/go

2)la seconda questione, cioè di quale OS è più o meno vulnerabile al malware è trita e ritrita: fatto sta che un OS è PRIMA DI TUTTO più o meno vulnerabile in proporzione alla quantità di malware che statisticamente lo affligge. Possiamo fare tutti i discorsi che vogliamo sui motivi che portano Windows ad essere vittima di infiniti malware: rimane il fatto che se prendi un utente generico X e lo metti davanti a MacOs incorri mediamente in molti meno problemi di sicurezza. Punto.
Questo significa che, piaccia o no, sia un merito rubato o no, la pubblicità è vera. Fino ad oggi. Quindi non acchiappagonzi...
Se poi tu sei convinto che Vista senza AV sia per un utente generico X più sicuro di MacOS sono contento per te. Io penso che questo forse valga per l'utente dovella e non per l'utente generico X che non rispecchia assolutamente l'utente generico X.

Concludendo, possiamo parlare sulla faccia tosta della Apple che come si dice a Roma, ci marcia su questo fatto. Ma non possiamo mica dire che siccome la Apple ci marcia MacOs è sicuro quanto Windows:
LA FUORI NON CI SONO TUTTI QUESTI MALWARE PER MACOS, MA CI SONO PER WINDOWS!

theDRaKKaR ha detto...

ERRATA:

1)D'altra parte lo stesso autore nel documento dichiara che la tua tesi non è che un sistema è più sicuro di un altro,
era
D'altra parte lo stesso autore nel documento dichiara che la sua tesi non è che un sistema è più sicuro di un altro,

2)Io penso che questo forse valga per l'utente dovella e non per l'utente generico X che non rispecchia assolutamente l'utente generico X.
era
Io penso che questo forse valga per l'utente dovella e non per l'utente generico X che non rispecchia assolutamente l'utente dovella.

dovella ha detto...

@theDRaKKaR

Non sto qui a discutere i meriti di OSX (sarebbe un altro spreco di tempo per tutti )
Stiamo parlando di sicurezza?
Bene
Il rapporto di Jeff Jones non è altro che la trascrizione di cio che trovi nei siti dedicati all'argomento .
Se hai un po di tempo libero vatti a raccogliere i dati e presenta il rapporto a tuo nome,
il risultato sarà identico ;)

1 100 o 1000 malware per un OS contano poco,
come prima ti dicevo i "WINDOWS USER" nel 99% dei casi sono protetti (soprattutto se l Os è genuine con ogni update)
Al contrario il Mac user è il berasglio piu facile per ogni mal intenzionato
pensa che è bastato un semplicissimo Ilife da p2p per infettare tonnellate di utenti.

PS. Hai mica letto l'intervista al Hacker su zdnet che prima ho linkato ? ;)

Dan ha detto...

"1 100 o 1000 malware per un OS contano poco,
come prima ti dicevo i "WINDOWS USER" nel 99% dei casi sono protetti (soprattutto se l Os è genuine con ogni update)"

Tu non conosci molti "windows user", vero?
La maggioranza sa cos'è un antivirus perchè ne ha sentito parlare dagli amici, o lo ha trovato preinstallato quando ha comprato il computer. Antivirus che, passati 30 giorni, non è mai più stato aggiornato. E lo stesso vale per WindowsUpdate e i vari altri programmi, la maggior parte non sono più stati aggiornati dalla nascita del sistema, o da quando è passato l'amico smanettone a fare una revisione generale.
Considerando la quantità di bug scoperti ogni mese per windows e il tempo che rimangono senza patch, la maggioranza dei windows user _non_ è protetta. A maggior ragione visto che la quantità di malware per un OS conta eccome (preferiresti vivere in un quartiere dove bazzicano mille o un solo ladro?)

E a proposito di "spot acchiappagonzi"... come definiresti tutte le campagne pubblicitarie che dal 1995 a oggi hanno chiamato Windows un sistema sicuro, affidabile, stabile..?

"scusate se vado controcorrente ma a me sto fatto che la colpa è principalmente dell'utente non mi va prorpio giù. Il computer ormai lo usano tutti compreso mio padre che ha 74 anni suonati. Ha senso secondo voi che solo perchè clicca su un link tipo manuale delle belle donne tutte nude (cit. Alan Ford) si ritrovi un malware grosso come un tacchino?"
Di sicuro nessuno dice che la colpa è esclusivamente sua, per carità. Il software dovrebbe essere intrinsecamente sicuro e di buona qualità, e in caso contrario il produttore penalizzato dal mercato. Ma come non credo che tuo padre sia saltato in macchina o in bicicletta senza sapere come guidarle, o tua madre carichi la lavatrice nuova senza aver dato una letta al manuale d'istruzioni, non si dovrebbe comprare un computer a Mediaworld e poi sedercisi davanti pretendendo di poterlo usare senza rischi, specialmente se ci si vuole avventurare in quel Bronx che è internet. Qualunque cosa ci si proponga di usare, bisogna preoccuparsi di saperla usare.

Marco Casati ha detto...

Ocio che Dovella è una barzelletta nella rete :D

Le sue incursioni "Anti Apple" e "pro Vista" sono leggendarie :)

iMaccanici ha detto...

@ dovella:

Ti prego, non sei degno di inquinare un blog prestigioso come questo.
Sparisci, altrimenti stavolta davvero vengo a picchiarti.

Anonimo ha detto...

Infatti il 99% dei pc zombificati lo sanno tutti, sono su MacOS e Ubuntu
mentre chi ha windows e un qualsiasi antivirus è totalmente immune da virus, spyware, e altro malware di qualsiasi genere...

ma per favore...

a parte che windows è intrinsecamente più debole a causa di una presunta user-friendlyness (per esempio l'autoplay attivo di default su QUALSIASI periferica), ma comunque anche se fosse il sistema operativo fatto meglio della terra, è quello più bersagliato perchè il più diffuso, è ovvio che quindi risulterebbe meno sicuro comunque...

Preferiresti stare su un Tiger bersagliato da 10000 cannoni oppure su un autoblindo preso di mira da 1 cannone solo?

Anonimo ha detto...

P.S. l'atteggiamento di dovella ricorda molto quello di alcuni famosi complottisti, la Verità non è frutto di fatti provati da chi ha competenza nel settore, ma è soltanto un vago sentore di chi con la materia in questione non ha niente a che fare

e poi una volta che gli si fanno notare le incongruenze, o fatti reali
glissano sull'argomento, o ripetono l'argomentazione con altre parole... :)

Federico ha detto...

il problema è non sappiamo quale parametro utilizzare per misurare la qualità di un software. forse dobbiamo contare numero di bug?

Contare il numero di bug sembra ragionevole, però attenzione: se un software ha tanti bug vuol dire che è stato scritto male... oppure vuol dire che i tester hanno svolto un ottimo lavoro ed hanno scovato tutti i pochi bug presenti?

e invece se un software ha pochi bug vuol dire che è stato scritto bene? Chissà, magari sono i tester che non sono stati messi in condizione di lavorare bene!

è meglio un software di cui vengono rilasciate a raffica molte patch che correggono problemi di sicurezza, oppure meglio un software con pochissimi aggiornamenti?

purtroppo non lo possiamo sapere: il problema, il vero problema, è che non è tecnicamente possibile contare il numero di bug presenti in un software, ed i bug conosciuti sono soltanto una minima parte dei bug totali!

P.S. l'atteggiamento di dovella ricorda molto quello di alcuni famosi complottisti, la Verità non è frutto di fatti provati da chi ha competenza nel settore, ma è soltanto un vago sentore di chi con la materia in questione non ha niente a che fare

Uhm dovella non lo so, ma io sono pronto ad un confronto tecnico :-)

Windows è percepito come il sistema meno sicuro sulla terra, e ci sono ottime ragioni per ritenerlo poco sicuro, il malware è un ottimo indicatore di questo.

Quello su cui intendo insistere è che purtroppo ci sono molti software che sono percepiti come sicuri, e sono percepiti così per ragioni più che valide, ma che invece non lo sono per davvero!

Simone Locci ha detto...

@theDRaKKaR
Linguaggi di programmazione come il C e il C++ demandano al programmatore, per filosofia, il controllo di queste cose, per cui non c'è "libreria" che tenga: o ci stai attento oppure ti esponi al rischio. E' vero che puoi usare oggetti di terze parti che hanno dei meccanismi di controllo, ma gli oggetti standard di quei linguaggi non li hanno e francamente non credo siano molti i programmatori che vadano a cercare e imparare e utilizzare queste librerie col controllo dell'input!

mi scuso per l'OT, sono uno studente e vorrei sapere se con il C++ l'utilizzo per troncare dati in input della libreria iomanip e della funzione setw(x) è un buon modo per evitare un overflow, se hai qualche riferimento riguardo postamelo che me lo vedo, ti ringrazio tanto in anticipo

Anonimous ha detto...

@Simone

è preferibile usare compilatori con sistemi di difesa dello stack.
(prova a cercare gcc stack guard)

Anonimo ha detto...

@federico
windows per essere sicuro ha bisogno di un po' di settaggi e programmi di terze parti, per esempio usare un utente declassato, disabilitare l'autoplaty, installare un buon antivirus, installare un buon antimalware (spybot S&D), e allora diventa sicuro, il problema è che non è così che un buon S/O user friendly si deve porre... ovvero se windows si propone ad utenti che di informatica ne capiscono il giusto e l'onesto dovrebbe uscire di default con i settaggi corretti...

il famigerato UAC di vista, si può disabilitare (e molti malware lo fanno) e la scalabilità non è nè chiara (a volte scala i privilegi a volte no)
e sopratutto chiede una CONFERMA (ovvero cliccare su un pulsante)
hai mai provato a fare una modifica di sistema su Ubuntu? O hai la password di un super-utente o te lo scordi... :)
questa è la differenza...

dovella ha detto...

@Guido

LOL , ma che cavolo dici :DDD
L Uac lo disabilità il software?

AAA. cercasi killer per ammazzare me stesso
pagamento postecipato.

Anonimo ha detto...

lo UAC è disabilitabile, ed esiste del malware (quindi software) che lo bypassa
inoltre lo UAC non chiede password chiede solo di cliccare su un pulsante quindi non solo è possibile via sw, ma il primo cretino che passa può mettersi a fare modifiche di sistema sul pc

se lascio il mio pc con ubuntu alla mercè di chi passa, per fare modifiche di sistema ci vuole la password di un super utente (che sia l'utente stesso o che sia un utente con privilegi di amministratore) e linux non consente password vuote, quindi o sai la password dell'utente oppure scordati di fare qualsiasi modifica di sistema...

Poorman ha detto...

L'espressione "colabrodo bucati" è tautologica.

Beh, ma se un colabrodo ha già di per sé dei buchi, un "colabrodo bucato" ne ha molti di più!!!!

Come al solito il discorso si riduce ai bug e agli aggiornamenti: la parola d'ordine è tenere il software sempre aggiornanto, anzi c'è anche un'altra: utilizzare software di qualità, prodotto da programmatori di qualità ^_^

E non dimenticare: testato da tester di qualità. (sono un programmatore che si toglie il sassolino dalla scarpa...)

Violare i Mac è così semplice. Non devi diventar matto ad aggirare tutte le contromisure anti-exploit che si trovano in Windows.

Sapevo che Windows, da XP SP2, introduce dei trucchi per evitare gli exploit (ho sentito nominare il Data Execution Prevention o, in Svista, l'address space randomization), eppure chissà perché, i cracker riescono a trovare ugualmente bachi e fare exploit, o non si spiegherebbe l'IE8 bucato, e nemmeno il continuo rilascio di patch per Windows.

Insomma, non so se si riuscirà mai a ottenere un sistema operativo intrinsecamente sicuro.

E a proposito di "spot acchiappagonzi"... come definiresti tutte le campagne pubblicitarie che dal 1995 a oggi hanno chiamato Windows un sistema sicuro, affidabile, stabile..?

E non solo le campagne pubblicitarie! Anche i sedicenti giornalisti hanno la loro parte! Chi non ricorda il caso Turani "Lungo corno o lunga antenna"? A me fa ridere ancora oggi. Chi se l'è perso non è un Fedele Lettore di Attivissimo.

Per non parlare di certi articoli del Secolo XIX terrificanti già dai titoli: "Windows 98, sistema veloce, sempre connesso ad internet". E "Windows XP, accelera il sistema".
E che dire del Corriere, con il suo "leggendario Windows 95" e il "felicissimo Windows Me"???

Poorman ha detto...

Qualunque cosa ci si proponga di usare, bisogna preoccuparsi di saperla usare.

Questo per me è sempre stato un mistero. Gente che prima di usare un frullatore legge tutto il manuale da cima a fondo, ma che ritiene sia un DIRITTO usare un computer senza saper usare un computer.

Ho regalato L'Acchiappavirus ai miei genitori, mia madre l'ha letto (più o meno...), mio padre NO, ed è lui quello che usa il pc per lavoro (ovviamente è lei che scarica le patch e aggiorna l'antivirus, anche se pensa di potersi fidare del firewall di Windows, mah...)

Poorman ha detto...

è preferibile usare compilatori con sistemi di difesa dello stack (prova a cercare gcc stack guard)

Mi pare che oltre a gcc, anche il compilatore Microsoft da qualche versione abbia introdotto lo stack guard. Ma da qualche parte avevo letto che anche questo sistema è bucabile, ma non chiedermi come, da tempo ho scoperto di non avere doti da cracker e forse è meglio così ;) Ho solo un'infarinatura, giusto per sapere da che nemico devo guardarmi.
p.s. Inoltre esistono exploit non basati sullo stack ma ad esempio sull'heap.

Evk ha detto...

Inviterei tutti quanti a basarsi meno su "titoli a effetto" giornalistici e a chiedersi: ma se è vero che Safari è così "facilmente" "bucabile", come mai non esiste un solo esempio di mac effettivamente "bucati" in Internet?
meditate gente, meditate...

Poorman ha detto...

è quello più bersagliato perchè il più diffuso, è ovvio che quindi risulterebbe meno sicuro comunque

Come disse una volta Attivissimo alla radio, "Microsoft inciampa un po' perché cammina male, un po' perché gli fanno lo sgambetto più spesso che agli altri". ;)

P.S: Sono un programmatore che lavora sotto Windows. Eh, sì. Non che Linux non mi piaccia, ma sotto Linux non son mai stato buono a programmare! :(

Poorman ha detto...

ma il primo cretino che passa può mettersi a fare modifiche di sistema sul pc

Il salvaschermo con password non è la panacea (ci sarà di sicuro il sistema per bucare anche quello) ma aiuta ;)

Simone Locci ha detto...

@Anonimous e Poorman
grazie per i consigli di sugli stack guard

VDBG ha detto...
Questo commento è stato eliminato dall'autore.
VDBG ha detto...

Ma allora come mai nessuno si lamenta di queste limitazioni in Ubuntu mentre in rete se ne sentono di ogni riguardo all'UAC troppo pedante?

Mi sembra che in rete si voglia "darla addosso" a Windows a tutti i costi e ogni volta si cerca solo un pretesto diverso.

Un giorno "l'UAC è troppo invadente", quello dopo "l'utente base ha troppi privilegi, in Ubuntu serve la password" (è solo un esempio, non mi riferisco a questo discorso in particolare):
vogliamo la botte piena e la moglie ubriaca?

Poorman ha detto...

Personalmente trovo lo UAC di Svista tanto fastidioso quanto la continua richiesta di password di Ubuntu!
Ubuntu, Ubuntu, Ubuntu... Sì, è carino, ma... da qualche tempo a questa parte sembra che nel mondo Linux esista solo Ubuntu!
In altre distribuzioni se devi fare dei cambiamenti alla configurazione e vuoi loggarti in modalità grafica come superutente, puoi! (Se fai casini, cavoli tuoi, ovvio).

E' vero che a volte le "misure di sicurezza" dei S.O. sono un controsenso. Per esempio, in Windows Server 2003, Internet Explorer ha attivata di default l'"enhanced security", che ti impedisce praticamente di fare qualsiasi cosa, perfino se ti colleghi a... localhost! Misura di sicurezza iperparanoica: ma che diavolo, sono l'amministratore della macchina, saprò bene cosa ho installato su localhost! Contemporaneamente, come in tutte le versioni di Windows, c'è l'autoplay dal CD automatico, leggerezza già deplorevole su desktop, imperdonabile su un server!

P.S. In azienda usiamo ancora XP e Server 2003, il supporto per Svista viene ogni volta pianificato e ogni volta rimandato, chissà perche!
Non voglio dare addosso a Windows... ma a Svista sì! ;))))

Rado il Figo ha detto...

Bucare è infinito (presente); bucato è participio (passato).

Anonimo ha detto...

@VDBG
ognuno dice la sua, è ovvio che ci siano opinioni divergenti...
Lo UAC a mio avviso è invadente e inutile, molto meglio un utente senza privilegi e usare un super utente (o un sudo o un run-as) quando si devono eseguire operazioni di mantuenzione (o programmi che richiedono privilegi elevati...)

Secondo me tra lo UAC e la richiesta di password di Ubuntu è molto meglio la seconda...
(poi sono uno di quelli che usa la funzione "blocca schermo" ogni volta che si allontana dal pc...) o disconnette l'utente (su windows, molto meglio del salvaschermo con pwd)

Federico ha detto...

@Guido
e sopratutto chiede una CONFERMA (ovvero cliccare su un pulsante)
hai mai provato a fare una modifica di sistema su Ubuntu? O hai la password di un super-utente o te lo scordi... :)
questa è la differenza...


teniamo presente che l'UAC non è un vero sistema di sicurezza... piuttosto è un sistema che cerca di limitare i danni!

la password del superuser l'hai già inserita quando ti sei loggato al PC... l'UAC ti chiede: lo so che sei già superuser, ma vuoi davvero compiere questa operazione?

è una soluzione brutta e poco elegante, lo so, ma se la gente non ne vuole sapere di utilizzare utenti con privilegi più bassi, che cosa bisogna fare?

iMaccanici ha detto...

@Dovella pagamento postecipato

A parte che si scrive posticipato, e poi non c'è bisogno di soldi, prima o poi qualcuno viene davvero e te le spezza le gambine.


Cercate su google "ignorantrollone"
Cercate su google "dove abita dovella"

Anonimo ha detto...

Si ma su Ubuntu (non cito le altre distro linux, perchè Ubuntu è quella che conosco meglio) o reimmetti la password di super utente o certe modifiche non le fai, è questa la differenza, anche se sei super-utente (e non dovresti esserlo)
quindi lo UAC è una scocciatura e basta, il controllo di Ubuntu è una scocciatura ma ha una sua utilità...

sempre fermo restando il fatto che non dovresti usare il super-utente per l'uso normale del pc ma solo per l'amministrazione

Poorman ha detto...

lo so che sei già superuser, ma vuoi davvero compiere questa operazione?

Mi fa venire in mente una cosa che ho notato in alcune distribuzioni, ad esempio Debian (almeno la 3.1). Normalmente il comando "rm" cancella un file senza chiedere la conferma; ma se sei root, "rm" viene mappato a "rm -i", che chiede "Sei sicuro?".

lo UAC è una scocciatura e basta, il controllo di Ubuntu è una scocciatura ma ha una sua utilità...

Il rischio è che a lungo andare cliccare sull'OK dell'UAC o ridigitare continuamente la password del superutente diventino azioni automatiche. Consiglio la lettura di Perché il software fa schifo di David S.Platt. Come osserva Platt, dopo decenni che noi programmatori chiediamo all'utente "Sei sicuro?!!?? Sei sicuro sicuro??!? Sei proprio sicuro sicuro sicuro sicuro???!" l'utente ha smesso di leggere cosa c'è scritto nel messaggio e seleziona sempre SI.
Pensiamo al tanto vituperato IE: da secoli ha i suoi bravi "avvisi di protezione", ma sappiamo che l'utente ha sempre cliccato SI senza leggere la pappardella! ("Avvisi di protezione"... quanto vorrei avere tra le mani i furboidi che fanno le traduzioni... Tradurre "SECURITY WARNING" con "Avviso di protezione" non rende affatto l'idea del RISCHIO che uno corre a cliccare su "SI"... Avete mai letto un libro sulla sicurezza in Windows? Sì lo so che vi sembrerà una contraddizione in termini ;) Comunque ogni volta che leggo la parola "security" tradotta con "protezione" non so perché ma mi si rigirano le budella. Sarà l'abuso di bario).

Anonimo ha detto...

@poorman
ho messo delle condizioni alle mie affermazioni... :)
ovvero che il superutente non dovrebbe essere mai usato per l'utilizzo normale del pc ma solo e soltanto per le operazioni di manutenzione

il fatto che molta gente abbia l'utente amministratore e lo usi per scrivere un documento di word è una pessima abitudine, però secondo me è più sicuro una richiesta di password che non un click su un pulsante
poi è vero che l'utente medio linux è molto più consapevole dell'utente medio windows ma qui poi si rischia di entrare in una religion war... :)

Federico ha detto...

@Guido
Si ma su Ubuntu (non cito le altre distro linux, perchè Ubuntu è quella che conosco meglio) o reimmetti la password di super utente o certe modifiche non le fai,...

tra l'altro anche su Vista, se non sei admin, ti viene chiesto di inserire username e password di un amministratore.
Ma ripeto: non mi piace l'UAC e non voglio difenderlo a tutti i costi, ed il fatto che funzioni più o meno allo stesso modo che su Ubuntu non depone molto a favore di ques'ultimo :-)

Però ci sono molte altre cose che non mi piacciono di unix... ad esempio il concetto di root o nulla, la mancanza di ACL, i permessi setuid e setgid.... uhm non so ancora bene perché, ma anche sudo non mi convince molto!

@Poorman
Consiglio la lettura di Perché il software fa schifo di David S.Platt
confermo, assolutamente imperdibile :-)

Anonimo ha detto...

federico

nessun sistema operativo è perfetto, però nel mondo linux, puoi proporre le tue modifiche o addirittura sviluppartele e poi metterle a disposizione di tutti, perchè il sorgente è disponibile e aperto

se speri che la microsoft si sviluppi una modifica apposta per te... beh buona fortuna :D

Poorman ha detto...

ma qui poi si rischia di entrare in una religion war... :)

Meglio di no, già viste troppe guerre di religione Windows-Linux ai tempi del leggendario forum RAI "Internet per tutti" ;)))
Se poi ci mettiamo di mezzo anche il Mac diventa una carneficina!

Poorman ha detto...

Però ci sono molte altre cose che non mi piacciono di unix... ad esempio il concetto di root o nulla,

In teoria proprio il sudo che non ti convince dovrebbe essere il sistema per risolvere il problema del "root o nulla"... ma non sono un esperto...

la mancanza di ACL

Questa è la parte di unix che mi ha sempre lasciato a bocca asciutta, abituato alla granularità dei permessi di Windows... come dare per esempio i permessi in lettura a Tizio e Caio, e in lettura-scrittura a Sempronio e Tullio?
UJn Unixiano duro e puro ti direbbe che il sistema dei permessi di Unix è l'unico e solo modo di lavorare. Indubbiamente è più semplice, vedi i permessi condensati in una manciata di caratteri... Ma magari un sistema per emulare le ACL di Windows esiste, solo sono io inniorante che non ho studiato a fondo. :(

Anonimo ha detto...

@poorman

lungi da me scatenare un flame ;)
e comunque non disprezzo assolutamente windows, dal momento che sono un tencico windows giustappunto, solo che come sistema operativo mi garba più ubuntu,
poi che c'entra windows lo uso e lo capisco (parola grossa trattandosi di un S/O volitivo come le donne...) :D

Giorgio Loi ha detto...

Guido:
(parola grossa trattandosi di un S/O volitivo come le donne...)

Volitivo o volubile?

Comunque, sarà per questo che, nonostante i difetti, affascina così tanti uomini? ;-)

Anonimo ha detto...

@giorgio

trattandosi di windows direi masochismo, ma in realtà purtroppo la scelta per l'utente comune è ben limitata... o spendi 1500€ per un mac (che al sottoscritto non garba nemmeno...) oppure fatte rare eccezioni trovi windows...
a conti fatti chi non ha voglia nè capacità di smanettare trova windows e impara ad usicchiare quello...

linux è una parola che spaventa l'utente comune, che come tale si nutre di luoghi comuni (linux = difficile da usare) e non riesci a togliergli i suoi preconcetti...

Giorgio Loi ha detto...

Guido
a conti fatti chi non ha voglia nè capacità di smanettare trova windows e impara ad usicchiare quello...

Infatti è così. Il fatto è che "chi non ha voglia né capacità di smanettare" è la stragrande maggioranza dell'utenza, e non solo nell'informatica ma in qualsiasi campo. Quanti, fra gli automobilisti, sanno mettere le mani nel motore e quanti si limitano a cambiare olio e benzina?

Alcune distribuzioni di Linux hanno fatto grossi passi avanti per essere più amichevoli. Ubuntu, che tu ben conosci, può essere messa in mano anche a un utente comune, il quale però la "usicchierà" come farebbe con Win. Per usarla come si deve dovrebbe studiare e applicarsi, e qui torniamo a bomba. Ricordo che io ho avuto difficoltà perfino a capire come installare Skype, che da Windows fai con due clic.

Secondo me Linux è un sistema nato da sviluppatori per sviluppatori, e non dovrebbe inseguire il mercato di massa: rischia di corrompersi senza nemmeno ottenere chissà quali benefici in termini di diffusione.

Dan ha detto...

Beh se riuscissero a renderlo un po' più amichevole senza corromperne la sicurezza, sarebbe un bel vantaggio per tutti, specialmente se ne favorisce la diffusione (e credo che sia anche per quello che Ubuntu ha tanto successo ultimamente, ha un occhio di riguardo per il newbie). Se ci fossero più Linux in giro, dovremmo temere meno i vari Conficker e compagnia bella...

theDRaKKaR ha detto...

dovella sputtanato dall'hacker stesso, che afferma "[...]Per ora, io continuerei a raccomandare i Mac per l'utenza-tipo visto che le probabilità che qualcuno li prenda di mira sono basse e passeranno anni prima di vedere del qualsiasi malware, anche se qualcuno intenzionato ad attaccarli riuscirebbe più facilmente nel suo intento"

direi che il discorso è chiuso eh dovè :) ha detto quello che ti ho detto io che non sono un hacker coi cazzi come sto tipo.. ergo la sua autorevolezza conferma la mia affermazione

http://punto-informatico.it/2586971/PI/News/hacking-non-hollywood.aspx

PS l'hacker avrà letto sto blog?
PPS che cavolo di trollaggio difficile quello che si è preso la briga di fare dovella, non capita a tutti i troll essere smentiti in questo modo..

Giorgio Loi ha detto...

@ Dan

Il vantaggio ci sarebbe anche solo in termini di maggior concorrenza e reciproco stimolo tecnologico. Però, come si ripete infinite volte, si sbatte sempre contro quell'ostacolo posto fra la sedia e la tastiera.

Anche Windows, lentamente e faticosamente, ha fatto passi avanti nelle procedure di sicurezza, ma nella pratica che succede? Che l'utente medio non fa mai gli aggiornamenti, tiene l'antivirus scaduto e disabilita l'UAC perché gli rompe le palle.

Ora, immaginati la stessa cosa con Ubuntu, con l'utente che non lo aggiorna mai e accede sempre come amministratore perché si rompe le palle di inserire la password ogni tre per due. Le cose non andrebbero molto meglio. Nella pratica NON vanno così perché l'utente Linux è mediamente molto più preparato di quello Windows, e mantiene un approccio rigoroso e disciplinato, ma a parte qualche oggettiva maggior robustezza intrinseca, con un "Ubuntu di massa" Conficker ci andrebbe comunque a nozze. Temo.

Sex&Love ha detto...
Questo commento è stato eliminato dall'autore.
Ivan ha detto...

Sopratutto IE8, per non dire IE7, IE6, IE5 .... IE4 ! Ahh !

Ivan ha detto...

Soprattutto IE8 !!!
Ma anche IE7, IE6, IE5 .... IE4
Ah Ah Ah !!!

Ario Gaviore ha detto...

"Browser colabrodo bucati: dei tre grandi non si salva nessuno, neanche IE8"
Veramente ie8 è, tra quelli menzionati, quello che proprio non si salva da niente...O.o