I banner sono sicuri al 100%, il problema è la configurazione dell'antivirus. Questi banner invece di richiamare un solo indirizzo ip per la visualizzazione ne richiamano più di 3, quindi l'antivirus interpreta quest dump (salti) come possibili tentativi di sniffing che in realtà così non sono. State tranquilli i banner non rubano password e dati sensibili. L'unico inconveniente di questi banner è il tempo che ci mettono a raggiungere i server pubblicitari quindi rallentano la visualizzazione del portale/sito in questo caso il forum BMW Passion. Sono disponibile per ulteriori chiarimenti in merito . A Presto. Pawel.
confermo, sicuramente il problema è causato da una funzionalità di blocco advertising dell'A.V. il banner in alto è parte integrante del sito, pure che fosse su un ip diverso (meglio parlare di domini diversi in questi casi) gli A.V. non considerano questa una pratica pericolosa. Forse ti riferisci ai cookie su domini esterni, ma gli IP non c'entrano comunque nulla può accadere che alcuni banner su siti malevoli sfruttano vulnerabilità del browser per causare remote code execution o attacchi XSS o CSRF. Ma non è certo il caso del banner in alto o di quelli adsense. i banner adsense vengono generati all'interno di iframe quindi non rallentano in alcun modo la visualizzazione della pagina
Parlare di domini o IP è la stessa cosa, come ben saprai i domini sono solo nomi risolti dal server DNS di indirizzi ip. E' altamente improbabile trovare un'XSS o un SQLi in un banner, questi bug sono relativi al codice php del portale in questo caso vBulletin. Anche la risoluzione dei nomi di dominio all'interno di un iframe porta via del tempo, e se il codice php non è ottimizzato per eseguire in coda il codice html di un iframe, rallenta la compilazione php nel server e quindi la stampa sul browser. Comunque i banner di questo portale sono sicuri, ho solo notato tempi di attesa alti nel caricamento degli ad, dovuti forse a codice scritto male nei plugin di vBullettin. Saluti.
questa semplificazione puoi permetterti di farla in ambito network security, ma assolutamente non in ambito application security. non ho mai parlato di SQL injection. quanto agli xss all'interno di banner, questi sono ampliamente documentati in rete. L'ottimizzazione del codice php non ha nulla a che vedere con il rendering lato client degli iframe. Non mi risulta affatto quanto dici. Ti consiglio di adottare strumenti di analisi più accurati e che sappiano distinguere tra tempi di risposta e tempi di trasferimento.
Mi puoi spiegare la differenza in questi due ambiti? Vedrò di documentarmi meglio, per esempio io non ho mai trovato una XSS sfruttabile da banner ma solo ed esclusivamente da form _GET e _POST del codice php. Non Dico che non sia possibile ma è altamente improbabile trovare una XSS in un banner, la società che lo pubblica andrebbe in rovina... :) Questo non è corretto se io nel codice metto stringhe tipo la compilazione del codice verrà ritardata di 10 secondi ogni volta che esegue quella riga di codice... Il rendering in php non esiste... Il Rendering è un termine dell'ambito della computer grafica e indica la generazione di un'immagine. Cerco sempre di migliorami in ambito informatico, quindi tutti i consigli e critiche sono sempre bene accetti da me. A Presto.
se ne hai voglia possiamo approfondire l'argomento in una sezione più adeguata perchè qui rischiamo di andare molto O.T. Anzi ne approfitto per chiedere a qualche moderatore se può scorporare questi ultimi messaggi dalla discussione e inserirli in una nuova discussione all'interno dell'area informatica. grazie.
Grazie mille Carlo in ambito network security viene puntata l'attenzione sui nodi host che sono identificati univocamente con IP. In ambito web invece più IP possono corrispondere a uno stesso sito (round dei round robin dns o load balancer) come può accadere che a uno stesso IP corrispondano più siti (caso del virtual hosting). Ecco perchè in ambito web application ha maggior valenza il dominio rispetto all'IP. rileggendo la mia affermazione precedente ho trovato un imprecisione, cioè gli xss e i csrf non vengono causati da vulnerabilità lato client. Per quanto riguarda gli XSS all'interno di banner, può accadere quando una pagina web richiama un banner in funzione dei parametri GET o POST che gli vengono passati, cmq non è il caso di bmwpassion. si ma noi stiamo discutendo della lentezza del rendering lato client. Se analizziamo i tempi di risposta di una pagina di bmwpassion io vedo che il corpo principale della pagina viene restituito mediamente dopo 300ms di attesa e il trasferimento dura circa 200ms. Tutti tempi nella norma e che comprendono già il codice html per fare richiesta delle immagini e degli iframe dei banner. Se ci fosse stata una lentezza nell'esecuzione dei plugin questa sarebbe dovuta venir fuori nei tempi di restituzione del corpo principale della pagina. http://it.wikipedia.org/wiki/Motore_di_rendering : "Nel caso di un browser, una volta scaricati da Internet i contenuti (sotto forma di documenti HTML, XML, immagini, ecc.), il motore di rendering interpreta lo stile ad essi associato (tramite i CSS per le pagine web, i fogli XSL per i documenti XML, ecc.) e li presenta, gestendo il disegno dell'area della finestra su un monitor" Ammiro queste parole, è sempre occasione di crescita culturale per tutti il dibattito informatico portato avanti in modo costruttivo e civile.
Grazie delle delucidazioni, anche il fatto del rendering credevo fosse associato esclusivamente alla grafica 3d. Per quanto riguarda l'interpretazione degli iframe ho ancora qualche dubbio... Cioè se abbiamo un esempio tipo : < head > ..... < body > < ? php SCRIPT IN PHP .... < iframe > BANNER AD< / iframe > php?> .... Il lato server stampa brutalmente sul client(browser) il codice html, nel momento in cui si trova davanti uno script in php lo compila/esegue sul lato server e lo stampa sul lato client, se all'interno dello script php è presente un iframe i tempi di "rendering" dell'iframe influenzano molto la velocità di risposta server/client o sbaglio ? Dato che il codice php prima essere stampato sul browser deve essere compilato/eseguito dal server web è normale che i tempi aumentino. Comunque prima di confermare queste mie teorie farò dei test utilizzano iframe dentro ad un codice php e vedrò i tempi di compilazione del php dal server e i tempi di stampa sul browser. A presto.
la prova è molto semplice, occorre: - creare una paginetta principale che contiene prima un iframe (un banner fittizio) e dopo dei contenuti. - creare la pagina dell'iframe in php che effettua uno sleep prima di stampare il banner. Lo scopo della prova è quello di verificare i tempi di visualizzazione della pagina principale in relazione ai tempi di attesa dell'iframe. Sarebbe poi interessante ripetere la stessa prova con browser diversi
Appena avrò due secondi farò tutte le prove e posterò i risultati così lo potremmo commentare ed analizzare assieme. A presto.
Ho fatto la prova, ed effettivamente con tutti i browser il contenuto della pagina viene caricato immediatamente, con un tempo di risposta non superiore a 180ms ( eseguito sul moi server apache2 aziendale ). Mentre il contenuto dell'iframe rimane bianco per 5 secondi (quelli specificati nella system() e poi carica l'immagine "img src=" subito dopo la system). Il test lo ho fatto con chrome,mozilla e opera e tutti caricano il contenuto dai 150 ai 190ms al massimo. Non so per quale assurdo motivo ero convinto che l'iframe influisse sul caricamento del corpo della pagina. Saluti.
Grazie mille x il test pawel, in rete ho avuto non poche difficoltà per cercare info sull'argomento e alla fine non ho trovato un gran che. Speriamo che l'indicizzazione di google consentirà di mettere a disposizione questo tuo lavoro ad altri che si pongono la stessa domanda
Visto che l'argomento è interessante scriverò una piccola guida in merito che pubblicherò sul mio portale. Hai avuto modo di darci un occhio ? http://www.pawelzorzan.eu ? Mi farebbe piacere un tuo commento sui miei lavori. A presto e buon lavoro.
ho dato un'occhiata rapida e mi sembrano ottimi contenuti, sarebbe interessante avere la possibilità di sottoscrivere un feed rss. Noto con piacere che anche tu ti occupi di sicurezza ed entrambi sosteniamo le tecnologie open source ed in particolare i sistemi bsd. EDIT: ho trovato il feed rss, per metterlo più in evidenza potresti usare un link rel rss nell'header
Eccoti la lista di tutti i feed rss del portale : http://www.pawelzorzan.eu/index.php...m-netmind-20&catid=8:blog-personale&Itemid=69 Sono un sostenitore opensource da anni, ho collaborato a progetti tipo, spippolatori, mentor, metro olografix, spaghetti phreaker e ho scritto alcuni moduli per net per i kernel 2.4. Ho anche scritto le patch errno.h per tutti i moduli qmail quali daemontools, uscpi, ezmlm, vpopmail e altri meno conosciuti Mantengo aggiornato il motore qmail nel progetto qmail ita e gestisco alcuni forum sull'informatica. Tutto questo è iniziato quando avevo 15 anni con le reti irc. Per quanto riguarda bsd uso solo ed esclusivamente NetBsd sui miei server e router, in quanto a sicurezza sono i migliori sistemi al mondo a mio parere, anche se la sicurezza poi la fa la configurazione e l'analisi di buffer overflow dei demoni. Tu di cosa ti occupi precisamente ? A presto.
http://www.pawelzorzan.eu/index.php?option=com_content&task=view&id=41&Itemid=69 riguardo quest'articolo, giovedì scorso ho avuto l'opportunità di conoscere giovanni impastato (fratello di peppino) nel corso di una conferenza organizzata in occasione del suo libro. La domanda chi gli ho rivolto era questa: "Peppino fu un pioniere della radio libera a Palermo, grazie alla trasmissione satirica "Radio Aut" e al suo coraggio riuscì a innescare una ribellione al clima di omertà voluto dalla mafia. Oggi gli strumenti che Internet mette a disposizione possono essere altrettanto efficaci per chi vuole seguire l'esempio di Peppino?" Giovanni rispose che indubbiamente peppino avrebbe sfruttato internet al massimo delle potenzialità per diffondere il suo messaggio contro la mafia, e che avrebbe incoraggiato gli altri a seguire il suo esempio. L'incontro è stato bellissimo, abbiamo proiettato alcune scene del film i 100 passi, e si è fatto un bellissimo dibattito. Inaspettatamente hanno partecipato moltissimi giovani interessatissimi al libro, all'iniziativa e alla storia di peppino
Un Film, ma soprattutto la storia che racconta, vera, favoloso ! tutte le volte che ci sentiamo impotenti rispetto al sistema o meglio tutte le volte che preferiamo essere "vigliacchi" è come se uccidessimo ancora queste persone. Un esempio per tutti noi :wink:
anche la mia avventura in rete è nata su irc, ai tempi delle guerre di potere per il controllo dei chan sulla rete ircnet. Aver vissuto in prima persona quest'avventura insieme ai pionieri della sicurezza, (orda delle badlands, ecc.) è stata una bellissima esperienza e mi ha dato le basi tecniche per costruire la mia futura carriera di analista di sicurezza. Ora faccio l'analista di sicurezza informatica, ho lavorato per aziende come telecom italia, vodafone, h3g, rai, agenzia spaziale italiana, mediaset, ecc. Recentemente mi sto occupando più di sviluppo applicazioni web, sempre con l'obiettivo primario della sicurezza, e sto approfondendo la programmazione del framework symfony, che reputo meraviglioso. Sono fermamente convinto che i sistemi bsd sono nettamente avanti rispetto a linux da molti punti di vista tra cui ottimizzazione, sicurezza, organizzazione. Purtroppo non dispongono di un gran numero di driver come Linux, e questo gli impedisce di acquistare in popolarità. Il mio sistema operativo preferito è indubbiamente Openbsd, sia perchè è indubbiamente il sistema operativo più sicuro al mondo, sia perchè il loro team ha realizzato altri progetti di vitale importanza per la comunità open source come openssh, openntpd che condividono le stesse prerogative di sicurezza e ottimizzazione del progetto padre openbsd. Ho anche conosciuto il core team degli sviluppatori, incluso il mitico theo de raadt, nel corso di alcune iniziative hackaton e posso testimoniare che sono dei pazzi al servizio dell'umanità. Adesso sto seguendo da vicino il loro nuovo progetto opensmtpd che si inserirà di prepotenza nella lotta per il mail relay più sicuro con qmail, ma con il vantaggio di essere facilissimo da configurare anche per assetti tipo autenticazione TLS/SSL che sarà possibile senza moduli/librerie esterne.
riguardo quest'articolo: http://www.pawelzorzan.eu/index.php...article&id=15:dns&catid=4:infolinux&Itemid=58 ho riscontrato un imprecisione, vale a dire il server dns autoritativo per i country level domain italiani non può essere usato come server dns ricorsivo. Potrebbe invece essere utile scrivere un articolo per installare e configurare un caching forward dns
