strepitoso

Da http://www.blublu.org/sito/video/muto.htm:

MUTO a wall-painted animation by BLU from blu on Vimeo.

la tv...

... non c'e' piu'.

Via, fuori dalla balle. Non mi serve. E' inutile. Fa perdere tempo e dice minchiate.

Ma sopratutto mi sono accorto di aver recuperato tempo che prima non pensavo minimamente di avere. E' a dir poco fantastico.

Piu' ci penso e piu' credo che questa mia idea è a dir poco geniale. Per tutto il resto (news, meteo, musica, discussioni/dibattiti poltici) c'e' quel magnifico strumento di comunicazione che si chiama Radio.

Vediamo quanto resisto, dalla mia c'e' la volontà.

pubblicazione nist (SP 800-123)

Interessante lettura:

http://csrc.nist.gov/publications/drafts/800-123/Draft-SP800-123.pdf

NIST Special Publication 800-123 [1], "Guide to General Server
Security," makes recommendations for securing server operating systems
and softwarein addition to maintaining a secure configuration with
patches and software upgrades, security testing, log monitoring and
backups of data and operating system files.

The document addresses common servers that use general operating systems
and are deployed in outward- and inward-facing locations. The
recommendations apply to a variety of typical servers, such as Web,
e-mail, database, infrastructure management and file servers. Much of
the content was derived from SP 800-44 Version 2, "Guidelines on
Securing Public Web Servers," and SP 800-45 Version 2, "Guidelines on
Electronic Mail Security."

Common security threats addressed include exploitation of software bugs
to gain unauthorized access, denial-of-service attacks, exposure or
corruption of sensitive data, unsecured transmission of data, use of a
server breach to gain access to other network resources and use of a
compromised server to launch attacks.

NIST recommended that security plans be considered from the initial
planning stage because addressing security is more difficult after
deployment. "Organizations are more likely to make decisions about
configuring computers appropriately and consistently when they develop
and use a detailed, well-designed deployment plan," the document said.
It also advised agencies to consider human resources required for
deployment and operational phases, including training requirements.

To ensure the security of a server and the supporting network
infrastructure, NIST recommends:

 * Organizationwide information system security policy.
 * Configuration/change control and management.
 * Risk assessment and management.
 * Standardized software configurations that satisfy the information
   system security policy.
 * Security awareness and training.
 * Contingency planning, continuity-of-operations and disaster
   recovery planning.
 * Certification and accreditation.

firefox e add-ons

No, state tranquilli, non voglio consigliarvi le estensioni di firefox che utilizzo :-) Anche perchè non utilizzandolo sarebbe anche difficile farlo.

Tempo addietro in qualche mailing list (devo cercare il messaggio su questo blog o su google) si parlava di sicurezza dei browser internet, dei vantaggi nello sviluppo del modello opensource e dei tempi di reazione/rilascio patch a fronte di gravi bug. Avevo sollevato dei problemi di design in Firefox, primo tra tutti quello delle estensioni e degli addons ed il modo come sono gestiti (dal metodo di installazione al suo utilizzo all'interno di un asset molto critico per la sicurezza del proprio pc o rete aziendale).

Nessuno si era posto grandi problemi e/o dubbi a riguardo. Oggi pero', spero, che si inizi a pensarci, anche a fronte di questo:

http://blog.wired.com/27bstroke6/2008/05/firefox-infects.html

UPDATE: Anche se non è proprio il messaggio che cercavo, ne ho trovato uno simile - sempre mio - sull'argomento:

http://www.sikurezza.org/ml/07_07/msg00045.html

Prima di costruire il grattacielo, una domanda base: il concetto di estensione,cosi' come è pensata ed implementata in FF, è sicura? Quali sono i meccanismi di sicurezza per, ad esempio, installare una estensione? Cosa riesci a fare con le estensioni? A cosa hai accesso e su che base? No, perche' io non mi vorrei mai trovare nel caso che installando una estensione del browser che faccia X mi trovi pure la feature nascosta Y che faccia da backdoor o da tunnel per far uscire dati evadendo pure IDS e quant'altro... :>

Non essendo un esperto di FF e non usandolo, ho letto le FAQ :
http://www.mozilla.org/support/firefox/faq.html

Ma sulla sezione "Extensions" non ho trovato niente di interessante. Ad esempio, se è vero quello che leggo, il processo di installazione non mi pare il massimo del buon senso, essendo basato esclusivamente sulla fiducia. Mi sbaglio ?

Mi auto-rispondo: non mi sbagliavo :>

Exploits of a Mom && archivio immagini security && alcuni appunti su come fare una presentazione && GCC and pointer overflows

ASAP pubblico la mia collezione/archivio di immagini security-related. Attualmente le utilizzo quando devo fare delle presentazioni/slides. Mi piace scrivere poco per ogni slides, ma mettere delle immagini che rendano l'idea su cosa si sta discutendo. Queste le poche regole che utilizzo quando penso ad una presentazione:

• poche slides (sempre! Le persone si annoiano e l'attenzione cala generalmente dopo 15 minuti)
  
• lo stesso template per tutto il corso della presentazione. Eccezione può essere fatta per le slides di presentazione o di terminazione...
  
• Prima slides con Titolo e contatti, seconda slides con la struttura della presentazione, ultima slides con "spazio per le domande" e remind dei contatti.
• Eliminate la slides "Chi sono"/"who i'm". E' inutile. Se vengo a vedere la vostra sessione di presentazione, è inutile che vi fate una auto-profilazione. Per quello chiedo ai servizi segreti e non sicuramente a voi.
  
• Testo: Nero nella maggior parte dei casi è quello che serve. Piccole eccezioni vanno fatte se lo sfondo non lo permette (ma evitare sempre il giallo, verde o altri colori vivi).
• Font: usarne UNO ed uno solo. Non miscelarne 100. Anche per i titoli: stesso font ma grandezza differente.
  
• mai tanto testo: si scrive sempre e solo l'essenziale come remind personale. Dopo, a voce, si vanno ad espandere i concetti. 20/25 parole sono già abbastanza...
• Piccola precisazione: Se vi sentite forzati a scrivere TANTO per non dimenticare le cose da dire o per qualche altro motivo è perchè semplicemente state andando a parlare di cose che non conoscete bene.
• immagini insieme al testo: meglio se originali. :-)
• non esagerate con gli acronimi
  
• Numero pagine: inserire sempre, in basso a destra, il numero di pagina che state esponendo/il numero di pagine totali. Aiuta il pubblico a capire ancora quanti minuti restano alla fine.
  
• mai inserire effetti strani sul testo, sono ODIOSI. Stesse regola vale per qualunque altro tipo di animazione. Una eccezione si può fare se dovete presentare il circo di Moira Orfei.
  
• sfondi: non esagerare con i colori, il bianco è - nella maggior parte dei casi - la miglior scelta.
• Se state facendo una presentazione di alto livello tecnico evitate slides da script kiddies con "per fare questo lanciate cosi' il comando...". Le persone che vi stanno ascoltando sono tutte in grado di leggersi la documentazione, raccomandazioni del genere fanno calare l'attenzione, e la considerazione, nei vostri riguardi (giustamente, aggiungo io :PpPPp).
• Evitate di fare gli splendidi e cercare di far sorridere i vostri ascoltatori ogni 2 slides, perchè non aiuta. La battuta ci sta e ci deve essere, ma va bene verso la fine, quando le persone vi hanno gia' giudicato per quello che avete detto.
• L'ultimissima slide, dopo il question time, può essere usata per raccogliere la webografia/bibliografia. E' inutile anche mostrarla, perchè l'unica utilità è per quelle persone che scaricheranno dopo la vostra presentazione.
  

E per terminare eccovi una interessante discussione su di un bug in GCC (di per sè l'articolo non è interessantissimo perchè riprende un advisory, ma il thread che si scatena come commento all'articolo lo è):
http://lwn.net/Articles/278137/

On April 4, CERT put out a scary advisory about the GNU Compiler Collection (GCC). This advisory raises some interesting issues on when such advisories are appropriate, what programmers must do to write secure code, and whether compilers should perform optimizations which could open up security holes in poorly-written code.

UPDATE: Siccome i commenti sui blog non li legge mai nessuno ... :) vi faccio un copia ed incolla degli ottimi consigli/opinioni di kr1zz:

Gaetano sottoscrivo tutti i tuoi consigli, anche io sono arrivato a questi, con l'esperienza. Siccome si tratta di consigli e non di regole ferre, propongo una variante: a volte è necessario usare tante slide, e lì ci possono stare: qualche battuta, magari in combinazione con una slide dal layout completamente diverso, per cambiare il ritmo e riprendere l'attenzione.
Ne approfitto e aggiungo due accorgimenti sempre validi:
. bisogna conoscersi un minimo! Meglio evitare l'ironia se non siamo naturalmente portati, l'effetto può essere agghiacciante;
. bisogna conoscere il più possibile la platea a cui ci rivolgeremo, per scegliere contenuti, modalità, tempi, tutto!