Re: security bugs e stato dell'arte

I miei 2 ¤cent

Esistono dei casi in cui l'insicurezza si manifesta ed è dovuta ad imperizia 
del programmatore, del software, dello script, o del cgi eccetera, che rende 
disponibili funzioni o informazioni o servizi che non lo dovrebbero essere.

Esistono dei casi in cui l'insicurezza è legata ad una effettiva attività di 
ricerca delle vulnerabilità, percui non si possa effettivamente parlare di 
reale mancanza di diligenza da parte del programmatore, in quanto il testing 
che questo fa è basato sul reale funzionamento "in positivo" della macchina, 
non sulla sua risposta a tutte le eventuali incoerenze dell'input.

> nel senso: quando si rilasciano le Beta, chi usa quella versione del
> software è cosciente che il prodotto è perfettibile, e prende le
> precauzioni del caso. quando invece usa un software nella sua versione
> "definitiva", può legittimamente rimanere nella convinzione che - in quel
> momento - tecnicamente non si può raggiungere un livello di sicurezza
> maggiore?

Le service packs, le hotfix, le patch eccetera fanno parte di questo processo 
di continuo aggiornamento del software. Tanto più un prodotto è sicuro, 
quanto più rapidemente si trova una patch di sicurezza. Tanto più un prodotto 
è sicuro quanto più nel processo di analisi del software si cerca di evitare 
le pratiche di programmazione che portano a vulnerabilità.

Secondo la pratica comune, mantenere il proprio server aggiornato con tutte le 
ultime patch di sicurezza è buona pratica per scongiurare numerosissimi 
attachi. Questo può legittimamente, a mio avviso, porre l'utente nella 
convinzione che non vi siano livelli di sicurezza maggiore.... fino al 
rilascio della patch successiva ;)

Ciao


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List