Welcome to Jamble Forum. Please login or sign up.

24 Novembre, 2024, 02:36 AM

Login with username, password and session length

SUPPORTA JAMBLE

Attraverso il nostro store puoi supportare il forum e nel contempo, ottieni un simpatico gadget da poter utilizzare!




CLICCA QUI

utilizza il codice jb20
e ottieni subito uno
sconto del 20%
su tutti gli articoli!

Donazioni

Supporta Jamble!

Ti piace Jamble? Potresti aiutarci a rimanere online?

Donate with PayPal!
Obiettivo Anno 2024: €300.00
Data di scadenza: dic 31
Totale ricevute: €105.00
Tasse PayPal: €6.02
Saldo netto: €98.98
Manca all'obiettivo: €201.02
Valuta del sito: EUR
33% 

Un grandissimo grazie a chi ha donato in questo periodo.
ago-23 Anonimo EUR10.00
ago-22 LawHunter EUR30.00
giu-13 shezlacroi... EUR10.00
mag-22 marko61 EUR30.00
mar-20 Anonimo EUR10.00
mar-8 Anonimo EUR5.00
mar-2 Anonimo EUR10.00

PROMO

Topic Recenti

Attenzione: Jamble non supera l'Heartbleed test

Aperto da Vigilius, 10 Aprile, 2014, 06:26 PM

Discussione precedente - Discussione successiva

Vigilius

Sta scritto dappertutto sul web che la famosa connessione con il lucchetto non è più sicura, pure da un po' e quindi bisogna aggiornare procedure e password; le grandi aziende hanno già provveduto, Google, Paypal e Microsoft ad esempio, hanno provveduto.

Qui c'è un test per scoprire quali siti sono infetti e Jamble non passa il test, almeno non sempre (alcune volte va in timeout).

Onestamente non ho idea di cosa si possa fare anche perché tra l'altro la connessione al forum non avviene con l'Open SSL, per quanto ne so, però  è bene sapere che si possono leggere tutti i dati sensibili, password comprese.
Chitarre: Stratocaster (troppe!)
Amplificatori: un paio e tutti 'casinisti'!
Pedali ed effetti: troppi e spesso inutili!

Citazione di: luvi il 16 Ottobre, 2009, 06:35 PMIl problema è eleggere la strumentazione a "fine", anziché a "mezzo": questo è poco sano, perché l'unico elemento che si finisce per non migliorare siamo noi stessi.


mimmo

E quindi cosa devo fare?
Sento già grattare. :eeek:


Vigilius

Il consiglio è di cambiare tutte le password sui siti dove ci sono dati sensibili, ma la scoperta è avvenuta adesso, ma chissà quando hanno iniziato a sfruttarla gli hacker.

Di fatto è come se avessero scoperto che c'è una serratura difettosa; se poi qualcuno sia realmente entrato in casa non è dato saperlo perché non si lascia nessuna traccia.
Chitarre: Stratocaster (troppe!)
Amplificatori: un paio e tutti 'casinisti'!
Pedali ed effetti: troppi e spesso inutili!

Citazione di: luvi il 16 Ottobre, 2009, 06:35 PMIl problema è eleggere la strumentazione a "fine", anziché a "mezzo": questo è poco sano, perché l'unico elemento che si finisce per non migliorare siamo noi stessi.


Vu-meter

Momento ...

Potete stare tranquillissimi per due motivi : noi non siamo in Open SSL e nella peggiore delle ipotesi, quello che un hacker può arrivare ad individuare sono le password di sicurezza del sistema , per cui potrebbero danneggiare il forum e/o il portale ( come già è accaduto ) , ma NON possono risalire alle vostre password.

Anche se entrassero nel db, si troverebbero le password criptate con un sistema che non le rende disponibili per cui , state sereni.

Se poi il test viene fatto utilizzando http://www.jamble.it il test dà esito positivo ( e non so perchè al contrario, senza i suffissi non lo dia ) .

Domani comunque sento da 1and1 cosa si può fare per proteggere ulteriormente il server.


Vu :)
"Chi è lento all'ira è migliore di un uomo potente, e chi controlla il suo spirito di uno che cattura una città." Proverbi 16:32
"La lingua mite può rompere un osso." Proverbi 25:15



REGOLAMENTO | CONTATTI | MEDAGLIERE | BLOG



Vigilius

Hanno decriptato anche i certificati di sicurezza quindi Jamble mi pare un problema minore; il problema è che non sanno bene chi - ma va? - e quando; cioè se ne sono accorti dopo.
Chitarre: Stratocaster (troppe!)
Amplificatori: un paio e tutti 'casinisti'!
Pedali ed effetti: troppi e spesso inutili!

Citazione di: luvi il 16 Ottobre, 2009, 06:35 PMIl problema è eleggere la strumentazione a "fine", anziché a "mezzo": questo è poco sano, perché l'unico elemento che si finisce per non migliorare siamo noi stessi.


Vu-meter

Citazione di: Vigilius il 10 Aprile, 2014, 08:11 PM
Hanno decriptato anche i certificati di sicurezza quindi Jamble mi pare un problema minore; il problema è che non sanno bene chi - ma va? - e quando; cioè se ne sono accorti dopo.

Uh, sai che non ho capito ..  :-\
"Chi è lento all'ira è migliore di un uomo potente, e chi controlla il suo spirito di uno che cattura una città." Proverbi 16:32
"La lingua mite può rompere un osso." Proverbi 25:15



REGOLAMENTO | CONTATTI | MEDAGLIERE | BLOG



Vigilius

Che non solo hanno preso le password (Apple sta zitta, ma sembra che siano arrivati anche lì), ma hanno anche decriptato le chiavi di sicurezza di certi certificati (esempio quelli bancari); quando? Non si sa e quindi cambiare password è una soluzione da adesso in poi, ma cosa abbiano fatto prima non si è ancora capito.
Chitarre: Stratocaster (troppe!)
Amplificatori: un paio e tutti 'casinisti'!
Pedali ed effetti: troppi e spesso inutili!

Citazione di: luvi il 16 Ottobre, 2009, 06:35 PMIl problema è eleggere la strumentazione a "fine", anziché a "mezzo": questo è poco sano, perché l'unico elemento che si finisce per non migliorare siamo noi stessi.



Vu-meter

Adesso ho capito. Credo molto dipenda dal sistema di memorizzazione delle password. Il nostro forum ha un sistema di criptazione ottimo ed anche accedendo al db direi che è molto difficile da decriptare perchè le password degli utenti sono "salate" con dati random e senza un attacco diretto di tipo "brute force" ( e nemmeno dei più semplici ) è possibile risalire alla stringa originale. Comunque, mi occuperò di verificare di risalire alla massima protezione possibile .

Nel frattempo, il sistema automatico di 1and1 mi risponde così :

"Il tuo pacchetto non contiene domini che possono essere dotati di un certificato SSL."


Domani chiamo e sento ..



Vu :)
"Chi è lento all'ira è migliore di un uomo potente, e chi controlla il suo spirito di uno che cattura una città." Proverbi 16:32
"La lingua mite può rompere un osso." Proverbi 25:15



REGOLAMENTO | CONTATTI | MEDAGLIERE | BLOG



mimmo

"Brute force and ignorance"
cit. Rory Gallagher.

Scusa Vu se sparo cavolate, ma quando ti ho visto scrivere "brute force" non ho resistito.
Comunque mi pare di capire che posso stare relativamente tranquillo, perchè se sono già stato attaccato, perchè preoccuparmi di difendermi e se non possono nuocermi, perchè preoccuparmi.

Vu-meter

Citazione di: mimmo il 10 Aprile, 2014, 08:42 PM
"Brute force and ignorance"
cit. Rory Gallagher.

Scusa Vu se sparo cavolate, ma quando ti ho visto scrivere "brute force" non ho resistito.
Comunque mi pare di capire che posso stare relativamente tranquillo, perchè se sono già stato attaccato, perchè preoccuparmi di difendermi e se non possono nuocermi, perchè preoccuparmi.


:laughing: :laughing: :laughing:

A prescindere che oltre ad usarci come bot, non siamo potenzialmente delle prede per gli hacker ( o meglio i breaker ) così "sgamati" da fare dei brute force attack . Fossi in voi starei sereno, come detto è moooolto più probabile che vogliano le chiavi del server per usarlo come bot per lanciare spam nel mondo, che altro.

Prometto però di informarmi al meglio per verificare cosa possiamo fare per tutelarci ala massimo. Ripeto inoltre che noi siamo in SSL e non Open SSL che è più utilizzata da chi fa commercio elettronico ed ha a che fare con pagamenti, soldi, conti, ecc.. Ecco perchè banche e negozi virtuali sono sicuramente più preoccupati di noi . . :eheheh:


VU :)
"Chi è lento all'ira è migliore di un uomo potente, e chi controlla il suo spirito di uno che cattura una città." Proverbi 16:32
"La lingua mite può rompere un osso." Proverbi 25:15



REGOLAMENTO | CONTATTI | MEDAGLIERE | BLOG



coccoslash

Citazione di: Vigilius il 10 Aprile, 2014, 06:26 PM
Sta scritto dappertutto sul web che la famosa connessione con il lucchetto non è più sicura, pure da un po' e quindi bisogna aggiornare procedure e password; le grandi aziende hanno già provveduto, Google, Paypal e Microsoft ad esempio, hanno provveduto.

Qui c'è un test per scoprire quali siti sono infetti e Jamble non passa il test, almeno non sempre (alcune volte va in timeout).

Onestamente non ho idea di cosa si possa fare anche perché tra l'altro la connessione al forum non avviene con l'Open SSL, per quanto ne so, però  è bene sapere che si possono leggere tutti i dati sensibili, password comprese.
Come già ti ha risposto Vu non è così per Jamble..o meglio l'attacco può avvenire su un sito con cifratura Open SSL.
Prima di arrivare ai dati bisogna aver accesso all'algoritmo di decriptazione del Database (che non è scalfito da questo tipo di attacco).
Mi raccomando Vigi, attenzione a come e a cosa si scrive onde evitare allarmismi :hug2:
(sto parlando unicamente per il sito di Jamble..per il resto dei siti che utilizzate ,con cifratura Open SSL, ritengo valido il consiglio di cambiare password).
Un altro piccolo cosiglio rivolto a tutti:
attenzione ai siti che offrono il TEST per vedere se un sito è sicuro.
quando emergono "problemi di sicurezza web" c'è chi cavalca l'onda e ne approfitta proprio in questo modo per SNIFFARE dati sensibili ( e magari attaccare siti che , altrimenti, sarebbero stati lasciati in pace!)
"Si sapis, sis apis"

Vigilius

Non ho fatto allarmismo, ho solo detto che Jamble non superava il test e che il 'lucchetto' non è più garanzia al 100% almeno sino a quando tutti non applicheranno le contromisure adeguate (ho anche segnalato chi l'ha già fatto); per la cronaca io non ho cambiato nessuna delle mie password perché sono convinto che se un hacker entrasse nel mio conto bancario farebbe una donazione :lol:

Comunque qualcosa deve essere successo perché nell'ultimo mese a molti miei colleghi sono entrati nell'account Gmail e qualche danno l'hanno fatto anche se limitato; io sono fortunato dal momento che uso il PC dal 1992 e non ho mai avuto problemi, mai perso dati importanti, nonostante la rottura di due hard-disk in momenti diversi, e non ho mai visto un virus (questa è un'auto-gufata spettacolare!)
Chitarre: Stratocaster (troppe!)
Amplificatori: un paio e tutti 'casinisti'!
Pedali ed effetti: troppi e spesso inutili!

Citazione di: luvi il 16 Ottobre, 2009, 06:35 PMIl problema è eleggere la strumentazione a "fine", anziché a "mezzo": questo è poco sano, perché l'unico elemento che si finisce per non migliorare siamo noi stessi.


Raffus

A me gmail ha mandato un avviso circa un attacco dalla russia. Ho cambiato password; che faccio, mi tolgo internet per stare sereno? :lol:
Citazione di: Vigilius il 30 Aprile, 2011, 09:17 PM

C'è il Raffus!!!!!!!!!!!

Ora inizierà il delirio pedali  :D





Raffus

Ah, non so se abbiano fatto danni, non ho riscontrato nulla.
Citazione di: Vigilius il 30 Aprile, 2011, 09:17 PM

C'è il Raffus!!!!!!!!!!!

Ora inizierà il delirio pedali  :D




coccoslash

Citazione di: Vigilius il 10 Aprile, 2014, 09:33 PM
Non ho fatto allarmismo, ho solo detto che Jamble non superava il test e che il 'lucchetto' non è più garanzia al 100% almeno sino a quando tutti non applicheranno le contromisure adeguate (ho anche segnalato chi l'ha già fatto); per la cronaca io non ho cambiato nessuna delle mie password perché sono convinto che se un hacker entrasse nel mio conto bancario farebbe una donazione :lol:

Comunque qualcosa deve essere successo perché nell'ultimo mese a molti miei colleghi sono entrati nell'account Gmail e qualche danno l'hanno fatto anche se limitato; io sono fortunato dal momento che uso il PC dal 1992 e non ho mai avuto problemi, mai perso dati importanti, nonostante la rottura di due hard-disk in momenti diversi, e non ho mai visto un virus (questa è un'auto-gufata spettacolare!)
ahaha si guarda per quanto riguarda la donazione..spero che il tuo hacker passi anche dal mio conto !! ;D
Sicuramente la situazione è seria..
Considerazione (o domanda..dato che il test non l'ho fatto)  può essere che il test, fatto con l'url di jamble, dia esito "a rischio" proprio perchè la cifratura e' diversa (SSL invece che Open SSL)!? se è un sistema di test banale potrebbe essere stato impostato col dire "non sicuro" anche per siti che proprio NON hanno cifratura..ipotesi mia nè... :mypleasure:
"Si sapis, sis apis"

Il forum di Jamble esiste ANCHE grazie alla visualizzazione delle pubblicità.


Ti preghiamo pertanto di disattivare il tuo ad blocker.