 [MAC OFFICIAL THREAD] Mac Corner

Il mio discorso di "vietare safari sulle reti aziendali", è molto generalizzato, ma è d'uso comune sugli script diconfigurazione fatti da professionisti, come chiudere la porta 1024, l'inibizione di safari, è una di quelle cose che SI FA SEMPRE..

Oggi le VPN di certe dimensioni (magari interfacciate per l'accesso a reti SAN), vivono di "certificati di Validazione Estesa", indispensabili per discriminare aree DMZ da aree con accessi su privilegi complessi in reti professionali, safari ha grossi problemi con questi certificati (usati anche per l'exploit di vupen, che ci tengo a ricordare, ha fatto questo: http://www.bgr.com/2011/03/10/apples-safari-browser-embarrassed-at-pwn2own-hacked-in-5-seconds/ ), quindi chiunque si occupa della gestione di reti "serie", non lo usa, e sopratutto, NON PERMETTE ad altri di usarlo sulle reti da lui gestite.

 

Beh.... un amministratore di rete che sa 'ste cose ci dovrebbe arrivare da solo senza che glielo scrivano....

 

C'è una differenza abbissale tra lo scrivere di informatica e/o insegnarla, e il metterla in pratica, e poi non ci sono "soluzioni esatte" per tutto nel settore IT..

Come non esiste un linguaggio di programmazione che sia "superiore agli altri", qualcuno potrebbe dire ASM è il più completo, altri potrebbero sostenere che il C++ ha una robustezza insita nel codice che nessuno può discutere, oggi moltissimi usano la programmazione per oggetti su framework, e non la cambierebbero mai..

Tutto è opinabile..

Ma le uniche cose che contano veramente sono l'aggiornamento costante e l'esperienza acquisita, ancora oggi, resto stupito da workaround geniali scritti da ignoti amministratori per risolvere problemi e vulnerabilità documentate e no che troviamo su reti che prendiamo in consegna, e allo stesso modo resto basito da profonde vulnerabilità insite in reti (anche di clienti "sensibili") e mai corrette...

Non esiste la "sicurezza d'invulnerabilità" delle policy di una LAN, ma esiste il modo di rendere la rete quantomeno "furba" se non invulnerabile, e permettere all'utenza l'uso di un software con dichiarate vulnerabilità non mi pare la cosa più "furba" da fare..

O non sei daccordo?

 

Non so...

Forse lo potrebbero spiegare quelli di apple come mai non ammettono (e documentanto in una knowledge..) le vulnerabilità del loro software, che non mi pare siano assenti, dato che hanno creato un browser in grado di essere iniettato ed utilizzato da terzi in meno di 20 secondi e in modo completamente trasparente all'utente (credo che in un sistema unix-like fare una cosa del genere si possa considerare un record degno di essere citato.)...

O forse non documentano la cosa perchè quello che la gente non sa, non esiste?

Il problema, è che io lo so, e come lo so io, lo sa un sacco di altra gente..

 

Ma vedi..

La differenza sta proprio li...

Nella documentazione dei bug!

Se sono documentati lo si trova il modo di difendersi, se non lo sono, è impossibile determinare delle policy di sicurezza efficaci..

Secondo te, è meglio un software diffuso e ampiamente documentato, o un software il cui produttore nasconde le vulnerabilità?

Detto questo, io per legge impedirei ai computer aziendali la comune navigazione web, e sicuramente sulle macchine la cui sicurezza potrebbe essere compromessa non installo Internet Explorer, che è "troppo rigido" e mal sopporta le restrizioni a cui verrebbe sottoposto..

 

noooo.....non ci dicono niente /emoticons/biggrin@2x.png 2x" width="20" height="20">

 

Non esiste un browser "sicuro" (probabilmente Crome è il migliore, per ora nessuno è riuscito a violarlo..), ma solo un modo di navigare intelligente..

Sono iscritto da un decennio..

Ma a che serve avere una knowledge base se poi non ammetti pubblicamente di avere dei bug e non ci documenti i workarounds per chiuderli?

 

Ogni primo mercoledi del mese c'è il patch day di microsoft, e quando qualcuno pubblica un exploit, viene immediatamente registrato nella Develop Knowledge con l'eventuale workaround (se disponibile, ovviamente..).

Per quanto riguarda le omissioni, ti rammento della famosa Zlib bacata ormai da 8 anni nei vari OS, e mai corretta, ne tantomeno ammessa, solo per citarne una (meno male che esiste una bella comunità open source che ci ha pensato alla correzione, anche se non è ottimale..).

Ma quanti qui dentro sanno a che potrebbe servire una Zlib?

E secondo la filosofia portante di apple: "quello che non si conosce non crea preoccupazione"...

Siamo sempre li...

A me, la sola idea che questi possano pensare di prendermi per il cülo mi irrita..

 

Non ci siamo capiti..

Io non sapevo nulla di quel sito che indica come 13 i bug presenti in IE e in 2 i bug presenti in safari..

Per quanto riguarda IE sono molti più di 13..

E lo stesso vale per safari, credi che siano solo 2? Magari nel mondo delle favole..

Non è che non sapessi nulla dei problemi che possono derivare da una integrazione di basso livello del browser..

In oltre, vorrei rammentarti che l'integrazione di IE a basso livello, è finita con windows XP, già da windows vista IE viene fatto "girare" all'esterno del kernel, è quindi assolutamente estraneo ai processi di basso livello, quindi mi paiono un pochetto datate come informazioni (diciamo in ritardo di 6 annetti..), e anche abbastanza aleatorie..

Ribadisco il concetto: un amministratore che si preoccupa della sicurezza delle proprie reti, impedisce agli utenti di creare vulnerabilità, e quindi impedisce l'utilizzo di programmi P2P, inibisce una valanga di siti che potrebbero compromettere la stessa, e impedisce l'uso dei browser che possono aumentare le vulnerabilità, quindi inibisce safari...

Sono semplicemente regolette unanimemente accettate, non "assunti divini", ma ci sono, che ti piaccia o meno..