La novità sulla sicurezza di Apple: dal 1 settembre tutti i siti con certifico SSL di lunga durata saranno bloccati

Apple lancia la sua novità in fatto di sicurezza: dal 1 settembre 2020, per garantire maggiore protezione agli utenti, Safari bloccherà tutti i siti che hanno installato un certificato SSL di lunga durata

Apple lancia la sua novità in fatto di sicurezza: dal 1 settembre 2020 Safari bloccherà tutti i siti che hanno installato un certificato SSL di lunga durata, cioè con una validità di più di 13 mesi (esattamente 398 giorni) dalla creazione.

Questo significa che quando si cercherà di connettersi a un sito con un certificato SSL/TLS di lunga durata, il broswer di Apple mostrerà un errore di privacy, esattamente come succede coi siti senza certificato.

Questa disposizione è stata comunicata durante una riunione del Forum del Browser Authority di certificazione (CA / Browser) mercoledì scorso.

Tale politica, che viene applicata appunto al broswer Safari, interesserà tutti i dispositivi iOS e macOS. Gli amministratori dei siti dovranno quindi correre ai ripari e applicare i nuovi certificati entro l’autunno, per evitare un danno di immagine ma anche un’esposizione a rischi da parte degli utenti.

La riduzione della durata dei certificati è già in discussione da mesi tra i grandi del web (Apple, Google e altri membri di CA / Browser - il forum browser dell'autorità di certificazione-) ed è finalmente stata ufficialmente annunciata. La politica ha i suoi vantaggi e svantaggi.

L'obiettivo di questa scelta è quello di migliorare la sicurezza dei siti web, assicurandosi che gli sviluppatori utilizzino certificati con gli ultimi standard crittografici, così da ridurre il numero di SSL obsoleti, trascurati, che potrebbero essere potenzialmente rubati e riutilizzati per attacchi di phishing e drive-by malware.

Ovviamente il rovescio della medaglia è che l’aumento della frequenza con cui vengono cambiati i certificati, aumenta il lavoro di mantenimento da parte dei gestori dei siti web, che dovranno procedere con l’acquisto, il rinnovo e l’installazione del certificato, ogni 13 mesi.

Prima del 2017 infatti i certificati HTTPS avevano una validità di oltre 5 anni, ridotta poi a 825 giorni. Questa nuova riduzione da parte di Safari è un importante atto di riguardo verso gli internauti, volto a garantire una crittografia adeguata ai nuovi standard di sicurezza.

È morto Larry Tesler, l’inventore del “copia e incolla”

Lunedì 17 febbraio 2020 è morto, a 74 anni, Larry Tesler, informatico e matematico americano, famoso per aver inventato la funzione del “copia e incolla”

È morto lunedì 17 febbraio 2020 l’informatico e matematico statunitense Larry Tesler, famoso nel monto IT per aver inventato l’indispensabile funzione del “copia e incolla”.

Tesler, nato a New York nel 1945, frequentò la Standford University dove iniziò ad avvicinarsi al mondo dell’informatica, quando questo era ancora un campo sconosciuto ai più.

Dopo aver lavorato per qualche anno come sviluppatore si trasferì a Palo Alto, in California, dove trovò un impiego presso il centro di ricerca Xerox PARC (Palo Alto Research Center). Fu qui che, in un’epoca in cui i computer erano macchine enormi utilizzate da pochissimi esperti, Tesler entrò nel team di lavoro dello Xerox Alto, uno dei primi computer “monoutente” (le attuali workstation).

Tesler lavorava, col collega Timothy Mott, allo sviluppo del progetto Gypsy, un programma di video scrittura che si basava sull’uso di un puntatore che veniva mosso da un mouse (vi ricorda qualcosa?). All’epoca i pc mostravano all’utente schermate nere con scritte verdi (o interfacce bianche con scritte nere), non c’erano icone o grafiche che li aiutassero a interagire con l’interfaccia, e tutti i programmi venivano gestiti tramite comandi testuali che spesso dovevano essere ripetuti, magari più volte, in ambito di sviluppo.

Fu proprio per cercare di semplificare questo tipo di lavoro che a Mott e Tesler venne in mente un modo di semplificare l’operazione di copiare una parte di testo e “incollarla” in un altro posto. Fu Tesler a proporre che parole “copia” e “taglia” per copiare un testo (o rimuoverlo tenendolo salvato per copiarlo) e “incolla” per il passaggio successivo, nel quale il testo viene riprodotto altrove.

Era il 1973 quando questo progetto fu sviluppato e venne poi rilasciato ufficialmente nei programmi di scrittura del PARC l’anno successivo, senza che gli ideatori avessero veramente idea della potenzialità della loro invenzione.

Durante la sua vita Tesler collaborò con altre grandi aziende del mondo informatico come Apple, Yahoo! E Amazon.

Lavorò sempre con molta attenzione all’usabilità delle interfacce web e fu un grande sostenitore della tecnologia “modeless”, cioè di interfacce che non prevedessero l’utilizzo di finestre che si aprono mentre si utilizza un programma e che richiedono per forza un’azione prima di poter tornare alla finestra precedente dove si stava lavorando.

Tesler fu anche uno dei primi a utilizzare l’espressione WYSIWIG (“What You See Is What You Get”), acronimo che indica che quello che vediamo sullo schermo deve corrispondere a ciò che viene stampato.

Coronavirus

La recente epidemia di Coronavirus, in concomitanza col Capodanno Cinese, ha provocato una serie di ritardi alle consegne degli acquisti effettuali online

La recente epidemia di Coronavirus, oltre ad essere una tragedia affermata a livello umano, sta causando non pochi disagi anche all’economia, cinese e non. Le fabbriche cinesi si trovano infatti al centro della produzione mondiale, sia di pezzi finiti, sia dei soli componenti. La quarantena indetta dal governo nella regione di Whuan sta però rallentando moltissimo la produzione. In aggiunta a ciò il 25 gennaio è iniziato il Capodanno Cinese, inserendo quindi dei giorni festivi a prolungamento della quarantena.

In Cina il capodanno lunare è una delle festività più importanti: tradizionalmente scuole e fabbriche chiudono per un periodo di 7 giorni e, in questo lasso di tempo, le attività dei principali store online (come AliExpress ad esempio) e dei principali vettori di trasporto vengono limitate al minimo.

Quest’anno quindi le esportazioni dei prodotti venduti tramite e-commerce sarebbero dovute riprendere il 2 febbraio ma, vista appunto l’epidemia dilagante, il governo ha deciso di estendere il blocco fino al 10 febbraio, causando quindi ulteriori ritardi agli acquirenti degli altri Paesi.

In particolare il mercato che ne sta risentendo più di tutti è quello dell’informatica.

La Cina è famosa per produrre molti dei componenti tecnologici per le più famose case di produzione (Apple, Huawei – che ha la sede proprio in Cina-, HP, Dell, ecc), questi blocchi dovuti a cause di forza maggiore hanno quindi ritardato ogni tipo di consegna, sia che si tratti dell’acquisto online di un privato, sia che si tratti di aziende che si appoggiano a rivenditori esterni che non dispongono di un magazzino iper - fornito.

Qualche settimana fa era stato inoltre preposto un blocco del traffico areo da parte del Governo Italiano, che limitava sia gli arei civili (quelli che trasportano cittadini), sia i voli cargo, cioè quelli destinati all’esportazione di merci. Questo ha creato ulteriori ritardi poiché tutti i prodotti restavano fermi nei magazzini di partenza.

In generale quindi è probabile che tutti gli ordini di materiali che prevedono una fornitura dalla Cina subiranno (o hanno subito) consistenti ritardi, per questa combinazione dovuta all’epidemia di Coronavirus e al Capodanno Cinese. In particolare:

  • Ordini spediti prima del 20 gennaio: le consegne non dovrebbero subire ritardi.
  • Ordini spediti dal 20 gennaio al 28 gennaio: le spedizioni viaggiano con un ritardo di circa 10/15 giorni.
  • Ordini spediti dal 28 gennaio in poi: le spedizioni potrebbero essere bloccate nei magazzini e subire ritardi, a seconda della modalità di transito (diretto, se arriva direttamente dalla Cina, o indiretto, se la merce fa tappa in altri Paesi EU prima di approdare in Italia).

Tutta l’industria tecnologica si è comunque fermata bruscamente: è stato infatti annullato il Mobile World Congress di Barcellona previso per fine febbraio e anche l’arrivo dei nuovi prodotti Apple, che verranno presentati il 31 marzo, potrebbero presentare meno pezzi del previsto.

Per questo motivo quindi le forniture approvate all’inizio del 2020 hanno subito (e potrebbero subire ancora) svariati ritardi nelle consegne, anche verso i nostri clienti.

Rimane importate sottolineare però che il contagio relativo al Coronavirus non avviene tramite merci, per ulteriori informazioni rimandiamo alle raccomandazioni delle FNOMCeO.

Il bug di Windows 10 che cancella le cartelle sul desktop

L’aggiornamento KB4532693 di Windows 10 sembra contenere, a sentire diversi utenti, un grosso bug che cancella profili, file e cartelle sul desktop degli utenti

L’aggiornamento KB4532693 di Windows 10, rilasciato l’11 febbraio all’interno dell’aggiornamento cumulativo di sicurezza del mese, sembra presentare un grosso bug: dopo l’installazione infatti gli utenti si sono trovati profili utente alterati, icone e cartelle presenti sul desktop completamente cancellati o, per meglio dire, nascoste.

Il presente aggiornamento era compreso in quello cumulativo di Windows del mese di febbraio, che andava a risolvere ben 99 problemi di sicurezza, 12 dei quali considerati critici.

Le segnalazioni sono partite direttamente dagli utenti che hanno pubblicato post critici verso Microsoft sui forum specializzati, su Reddit e sui vari social media.

windows10 tweet

Gli avvisi parlano di “desktop cancellato” (o “nascosto”, quando partono da utenti più esperti).

Sulla base dei rapporti degli utenti pareva che Windows caricasse un profilo temporaneo (e quindi vuoto) da utilizzare durante il processo di aggiornamento tuttavia, a lavoro ultimato, il sistema non riusciva a ripristinare il profilo dell’utente che quindi si trovava il desktop completamente vuoto, cancellato cioè di tutte le cartelle o le icone installate nel tempo dal proprietario della macchina.

Ovviamente, di primo impatto, verrebbe da cancellare l’aggiornamento, questa scelta però non è consigliabile poiché, come detto, questo rilascio contiene delle patch importanti di sicurezza che esporrebbero i sistemi a possibili attacchi hacker.

Bisogna quindi agire senza farsi prendere dal panico: le cartelle contenenti i dati degli utenti non sono state cancellate dal computer e sono quindi recuperabili nel percorso del disco c:\ Utenti. Dentro troverete una cartella creata per ogni utente del sistema operativo. Quelle con il nome che termina per “.000” o con “.bak” sono quelle riferite agli utenti. Rinominando il profilo, togliendo questa estensione e riavviando il PC si potrà tornare a utilizzare il proprio profilo correttamente.

Al momento sembra non essere ancora stata rilasciata una patch che risolva questa situazione, raccomandiamo quindi agli utenti di non farsi prendere dal panico e di ripristinare il proprio profilo con la procedura sopra descritta.

Ricordiamo comunque che è buona norma non salvare i propri dati sul desktop ed in generale nella postazione client di lavoro: è preferibile usare le opportune cartelle create nel server, che vengono regolarmente sottoposte a backup.

Qualora ci fosse la necessità di salvare localmente i file, assicurarsi di avere idonee procedure per un regolare backup dei dati o comunque un supporto esterno alternativo.

 

 

 

Il bug di WhatsApp Web che metteva a rischio i dati dei pc

È stato scoperto un bug nella versione web di WhatsApp che, se sfruttato, permetteva l’accesso a tutti i file presenti su pc e Mac. La falla è stata prontamente chiusa da un aggiornamento

È stato scoperto un bug decisamente importante nella versione web di WhatsApp che riguardava l’applicazione desktop associata a un iPhone e che, se sfruttato, permetteva l’accesso a tutti i file presenti su pc e Mac.

La falla è stata segnalata dal ricercatore Gal Weizman, in un rapporto molto dettagliato ed è stata prontamente chiusa dagli sviluppatori di Facebook.

"Utilizzando WhatsApp Web, posso trovare la riga di codice in cui l'oggetto contenente i metadati del messaggio si sta formando, manometterlo e quindi lasciare che l'app continui il suo naturale flusso di invio dei messaggi, creando così un mio messaggio mentre (l’app. ndr) ignora il meccanismo di filtraggio dell'interfaccia utente."

É stato questo pensiero di partenza che ha spinto il ricercatore ad approfondire il funzionamento di WhatsApp Web e ad isolare le diverse criticità legate a questo flusso.

In particolare ha isolato la riga di codice contenente i dati di un messaggio citato ed è riuscito a modificare il testo del messaggio originale (che di fatto non esisteva nella conversazione).

whatsapp web bug1

Non essendo soddisfatto però ha provato a modificare altre parti delle conversazioni, che potevano essere potenzialmente molto più pericolose.

In particolare si è concentrato sui banner di anteprima che vengono inviati quando si manda un link a un sito.

Dato che il banner viene generato a lato dell’utente si può facilmente manomettere la sua proprietà prima che questo arrivi al ricevente, così da cambiare il link inviato ma mantenendo il banner originale.

whatsapp web bug2

Ovviamente questa modifica potrebbe portare gli utenti a cliccare sul banner senza prestare attenzione all’indirizzo specifico che gli è associato e, utilizzando una funzione del ruolo “@” nelle specifiche dell’url, è possibile passare, ad esempio, nome utente e password ai domini visitati.

L’unico broswer che ha segnalato agli utenti anomalie di invio è stato Firefox.

C’è comunque da sottolineare che la versione di WhatsApp su cui il ricercatore ha trovato il bug era la 0.3.9309, sviluppata su Chrome v.69 (la versione attuale è la 79) e, dopo questa segnalazione, gli sviluppatori di Facebook si sono adoperati per risolvere tempestivamente la vulnerabilità.

Cosa sono i Cookie e come gestirli sui siti web

Ogni volta che ci colleghiamo a un sito ci viene richiesto di accettarne i Cookie. Ma sono questi cookie? A cosa servono? E soprattutto: come si gestiscono su un sito web?

Ogni volta che ci colleghiamo a un sito ci viene richiesto di accettarne i Cookie. Ma sono questi cookie? A cosa servono? E soprattutto: come si gestiscono su un sito web?

I cookie sono dei file, molto piccoli, che vengono memorizzati sui dispositivi (pc, smartphone o tablet) utilizzati per navigare su sui siti web.

Quando ci colleghiamo a un sito, automaticamente, scarichiamo i cookie che contiene.

Questi file hanno diverse funzioni e sono prevalentemente usati per svolgere alcune funzioni utili al visitatore, ce ne sono però alcuni che fanno delle attività utili al gestore del sito (come tracciare la navigazione degli utenti per trarne statistiche di marketing).

Con l’avvento del GDPR, nel maggio 2018, anche queste funzioni sono state documentate.

Partiamo subito col dire che i cookie, introdotti per la prima volta sul broswer Netscape Navigator nel 1994, sono diversi tra loro e, a seconda della loro funzione, possiamo suddividerli in:

  • Cookie di sessione (o tecnici): sono i cookie più comuni, si attivano quando l’utente atterra sul sito e vengono cancellati quando se va. La loro durata è quindi limitata alla permanenza del visitatore. Il loro scopo è quello di riconoscere l’utente quando naviga da una pagina all’altra: prendiamo ad esempio un sito con un’area riservata, una volta che l’utente ha effettuato l’accesso, anche se cambia pagina, dovrà sempre essere riconosciuto come utente registrato. Ecco che quindi questi cookie diventano fondamentali.
  • Cookie persistenti: a differenza di quelli precedenti, questi file salvano i dati dell’utente per un periodo stabilito (e dichiarato nell’informativa), come ad esempio 6 mesi. Questo farà sì che il visitatore venga riconosciuto per tutto l’arco di registrazione del dato, permettendogli di avere alcune informazioni personalizzate all’interno del sito (come ad esempio le pubblicità che richiamino prodotti uguali o simili a quelli già visualizzati).
  • Cookie di terze parti (o di profilazione): sono cookie gestiti da un soggetto diverso dal proprietario del sito web. Attraverso accordi tra i fornitori, è possibile che una terza parte acquisisca i dati di navigazione degli utenti di un determinato sito, queste attività sono molto utili a chi, ad esempio, fa pubblicità mirata.

Come è intuibile i cookie di terze parti o quelli persistenti possono essere piuttosto invadenti, ecco perché, come dicevamo, l’Unione Europea ha deciso di inserire la regolamentazione di questi file all’interno del GDPR.

Il Garante per la protezione dei dati personali ha stabilito quindi che quando un utente accede a un sito, in qualunque pagina atterri, dovrà essergli mostrato un banner ben visibile in cui venga chiaramente indicato:

  1. che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
  2. che il sito consente anche l´invio di cookie di "terze parti", in caso di utilizzo di questo tipo di cookie, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;
  3. un link a un’informativa più ampia, con le indicazioni sull´uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di "terze parti";
  4. l´indicazione che proseguendo nella navigazione (ad es., accedendo ad un´altra area del sito o selezionando un´immagine o un link) si presta il consenso all´uso dei cookie.

Nonostante sia buona prassi permettere all’utente di rifiutare i cookie di terze parti direttamente dal banner, la Cookie Law non definisce che gli vengano forniti mezzi per selezionare le singole preferenze relative all’installazione dei cookie direttamente dal sito, va però chiarito in modo esaustivo la modalità attraverso cui il consenso può essere prestato, che gli venga messo a disposizione un mezzo per la negazione del consenso e che garantisca, attraverso un blocco preventivo, che non verrà effettuato nessun trattamento prima che il consenso sia stato esplicitato.

Secondo un recente studio dell’Unione Europea, tra caselle pre-spuntate e il “rifiuta tutto” nascosto, solo il 12% dei siti rispetta la normativa.

Qualora non vi fidaste dei fornitori di siti e voleste impostare automaticamente il rifiuto dei cookie esistono apposite estensioni dei broswer o è possibile navigare in incognito.

Tags:
NoiPA

Natale amaro per alcuni dipendenti pubblici: un attacco basato su tecniche phishing al sistema NoiPA ha permesso ad alcuni hacker di rubare stipendi e tredicesime dei lavoratori

La notizia è stata confermata pochi giorni prima di Natale: grazie a una complessa operazione basata su tecniche di phishing, alcuni hacker sono stati in grado di violare il portale NoiPA e di rubare gli stipendi e le tredicesime di alcuni dipendenti pubblici.

Secondo quanto riportato in una nota ufficiale sul sito NoiPA, 15 utenti (su un totale di oltre 2 milioni) sarebbero caduti nella trappola degli hacker e avrebbero permesso loro di modificare il dato “Iban” sul portale, facendo in modo che gli accrediti dello stipendio di dicembre e della tredicesima mensilità, venissero effettuati automaticamente sui conti dei ladri.

Ma andiamo con ordine.

NoiPA è un portale online gestito dal ministero dell’Economia e delle Finanze, che viene utilizzato per gestire a 360° il trattamento economico (quindi gli stipendi) e giuridico di tutti i dipenditi della Pubblica Amministrazione.

I lavoratori pubblici possono infatti verificare lo stato dei pagamenti, gestire i buoni pasto e i cedolini e usufruire di molti altri servizi online.

Per fare questo è quindi necessario che ogni utente comunichi sul suo profilo, tra i vari dati personali, anche l’IBAN per l’accredito dello stipendio mensile. Qualora il soggetto cambiasse banca, ad esempio, potrà modificare quel dato comodamente online, senza bisogno di recarsi di persona presso gli uffici.

É proprio la funzione del cambio iban che gli hacker hanno sfruttato per impadronirsi dei salari degli utenti.

Attraverso un invio massivo di migliaia di mail di phishing agli utenti iscritti al portale (quelle classiche mail spam che, molto simili a comunicazioni istituzionali, richiedono con una scusa la modifica di dati), alcuni lavoratori avrebbero consegnato agli hacker le informazioni per accedere al portale NoiPA e cambiare i dati dell’iban e del numero di cellulare.

Quest’ultimo dato è stato infatti fondamentale: la procedura del cambio dell’Iban prevede infatti un passaggio di autenticazione a due fattori. Una volta richiesto il cambio dato, il sistema effettua una chiamata di sicurezza per confermare che la persona che sta interagendo con la piattaforma sia realmente chi dice di essere.

Avendo modificato il numero quindi, i truffatori sono riusciti a gestire anche questo passaggio di sicurezza ulteriore.

Dopo questo attacco, prontamente comunicato alla Polizia di Stato che ha aperto un’indagine ufficiale, il sistema online di cambio dell’iban è stato disattivato e gli utenti, nel caso in cui volessero modificarlo, dovranno recarsi personalmente negli uffici territoriali della piattaforma.

La brutta notizia, per tutti i dipendenti colpiti, è che difficilmente il maltolto verrà restituito e non è previsto un rimborso in quanto le credenziali sono state consegnate agli hacker direttamente dai proprietari (seppur con l’inganno), i quali ne sono responsabili in prima persona.

logo sito

Viale Svezia 16 - 35020 Ponte San Nicolò (PD)

P. IVA/C.F. 03719260287
Registro Imprese di Padova
n. 03719260287
Numero R.E.A 331324

Codice SDI fatturazione:  T04ZHR3
(il secondo carattere è uno zero)

Tel. (+39) 049.7309 333
 

Modifica il tuo consenso ai cookie

ASSISTENZA

Il servizio di supporto e assistenza è attivo dal lunedì al venerdì dalle:
09:00 - 13:00
14:00 - 16:00

Eventuali interventi presso il cliente vanno concordati.

CERCA NEL SITO

©2020 TECSIS S.r.l. All Rights Reserved.

Search