Tre settimane fa è stata scoperta una falla nella tecnologia SSL che è alla base delle transazioni sicure su Internet e che usate (magari inconsapevolmente) ogni volta che fate acquisti online: l'SSL è quello che fa comparire nei browser l'icona del lucchetto chiuso, sinonimo di sicurezza. La vulnerabilità è stata risolta in Linux, "smentita" in Windows.
[ZEUS News - www.zeusnews.it - 01-09-2002]
La falla consente sostanzialmente a un sito di spacciarsi per un qualsiasi altro sito sicuro, generando anche falsi certificati digitali che dovrebbero invece garantire l'autenticità della transazione e intercettando comunicazioni riservate. Dato che siamo abituati a considerare l'SSL e il suo benedetto lucchetto chiuso come garanzia di affidabilità, si tratta di una vulnerabilità che mina le stesse basi del commercio online. Una cosa da non prendere sottogamba, insomma.
La vulnerabilità è multipiattaforma, nel senso che ne sono affetti sia Windows (con Internet Explorer), sia Linux (con Konqueror, un popolare browser per Linux), e anche questo è degno di nota, perché di solito le falle sono specifiche per un unico sistema operativo. I dettagli tecnici sono disponibili in sintesi presso The Register e in dettaglio presso questo sito dove trovate anche le istruzioni per una dimostrazione pratica.
Per gli utenti Linux il problema è risolto. La falla in Konqueror è stata eliminata una settimana dopo la sua scoperta: infatti la nuova versione (gratuita) di KDE, che include Konqueror, è già disponibile e lo è anche una patch per chi non vuole tribolare con un aggiornamento di tutto il software KDE.
Secondo il comunicato Microsoft, infatti, il problema sostanzialmente non esiste: è improbabile che accada, perché il malintenzionato dovrebbe trovare il modo di farvi visitare il suo sito (come se non esistessero mille modi per farlo, dall'e-mail con invito a scaricare foto di donne nude in su) e sarebbe facilmente identificabile (bel sollievo, se si tratta di un sito estero, impraticabile da perseguire legalmente). Inoltre gli utenti possono sempre verificare i certificati digitali facendo doppio clic sul lucchetto per visualizzare i dati tecnici del certificato e notare che sono fasulli (una cosa facile facile, insomma).
Quindi il problema praticamente non esiste, ma giusto per scrupolo Microsoft sta lavorando a una patch di correzione.
Senza fretta.
La prossima volta che sentite qualcuno blaterare che a Linux manca il supporto tecnico e non ci sono garanzie di aggiornamento, ricordatevi di questo esempio.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
|
|
(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.
|
||
|