-
.
Advanced Member
- Group
- Vecchie Querce
- Posts
- 7,945
- Activity Level
- +345
- Location
- morrisblog.tk
- Status
- Offline
Girando sul supporto, ho trovato un post dal titolo "Heartbleed, il super-bug , che rischio corrono i nostri forum?"
Inspiegabilmente il topic è stato spostato (di recente accade molto spesso, anche se in genere il motivo è dovuto a recuperi di account o password), quindi non possiamo conoscere il contenuto, anche se è facilmente deducibile.
Heartbleed è una falla di sicurezza che è stata riscontrata su tantissimi siti nella rete. Sfruttando questa falla si possono ottenere dei dati criptati, come appunto nomi utente, password e altro. Il problema è dovuto ad un errore delle librerie OpenSSL, un sistema utilizzato appunto per criptare i dati. Tra i siti colpiti anche Yahoo!, Flickr e Imgur, mentre Facebook sembra non abbia questo problema. Per conoscere i siti colpiti è disponibile un elenco a questo indirizzo.
Fonte: news.softonic.it
Per quanto riguarda la piattaforma non saprei dare informazioni certe perché non so che tipo di crittografia utilizza, però non saprei spiegarmi perché secretare una discussione del genere, che magari poteva essere per tranquillizzare l'utenza. Una cosa è certa: nell'elenco non c'è nessuno dei domini del circuito, ma dovremmo vigilare un po' tutti sullo sviluppo della cosa, senza allarmismi privi di costrutto.
edit:
trovata un'altra discussione (di due giorni fa) dal titolo "Heartbleed bug, il circuito è sicuro??" anch'essa spostata...
. -
©ChaoSS.
User deleted
I siti colpiti sono tutti con protocollo https, falla devo dire stupida.
Https è stata progettata appositamente per impedire di far leggere i propri dati personali a terze parti, la falla sta proprio nel fatto che ognuno, tramite dei "vicoli" poteva accedere a qualunque informazione, dato e altro del soggetto colpito.
Per evitare comunque sia spiacevoli situazioni molte aziende hanno invitato i propri utenti a cambiare password.
Il circuito mi sembra utilizzi http (differente dal primo) quindi estraneo alla falla hearthbleed
Tanto per sdrammatizzare... -edit- - vulnerable...poveri pippaioli
Edited by Oblivion¸ - 11/4/2014, 17:30. -
.CITAZIONEPer evitare comunque sia spiacevoli situazioni molte aziende hanno invitato i propri utenti a cambiare password.
Non sono un esperto in materia, ma non penso sia sufficiente un "banale" cambio di password. Difatti, se non viene fixato il server, io potrò cambiare password anche per il resto dei miei giorni, ma continuerà ad essere accessibile. Lieto di essere smentito
Non so se Forumfree abbia avuto problemi con Heartbleed (qui la documentazione ufficiale: http://heartbleed.com). Anche li avesse avuti, dubito seriamente lo avrebbe sbandierato ai quattro venti Perciò, fino a prova contraria, credo dovremo crogiolarci nella nostra ignoranza...
. -
¬kiros.
User deleted
Non sono un esperto in materia, ma non penso sia sufficiente un "banale" cambio di password. Difatti, se non viene fixato il server, io potrò cambiare password anche per il resto dei miei giorni, ma continuerà ad essere accessibile. Lieto di essere smentito
Hai perfettamente ragione. Perchè cambiare password? Immagina questo scenario:
Formfree ha una falla, e io la uso per scoprire la tua password. Fino a quando Forumfree non ripara la falla, io potrò scoprire la tua password ogni volta che voglio, quindi puoi aggiornarla quanto ti pare. Il cambio della password ha senso dopo che la falla è stata riparata; se Forumfree riparasse la falla e tu non cambiassi la tua password, io (avendotela presa quando ancora c'era la vulnerabilità) posso usarla come e quando mi pare ... almeno fino a quando tu non la cambierai XD
Giusto un appunto: non so se OpenSSL e protocollo https siano legati l'uno all'altro, ma non credo. Mi spiego meglio: posso usare OpenSSL per la cifratura delle comunicazioni, senza per questo usare il protocollo HTTPS? Credo che la risposta sia: si (ma non ne sono sicuro, se qualcuno ha info più dettagliate, che si faccia avanti). Perchè questa domanda? Semplicemente perchè la falla sta in OpenSSL e non nel protocollo HTTPS. Questo vuol dire che se avessi ragione sull'utilizzo slegato di https e OpenSSL, il fatto che Forumfree non usi https non sarebbe certo una garanzia di salvezza (infatti potrebbe usare OpenSSL per la comunicazione cifrata con il server e, quindi, essere comunque vulnerabile).
Confido in Amnesiac e nella sua fissazione per la sicurezza. Qualche tempo fa è stata scoperta una falla nella sicurezza e tutti gli utenti sono stati invitati a cambiare password; sono sicuro che se lo staff dovesse rendersi conto di essere delle potenziali vittime dell'attacco, non appena sistemata la falla comparirà come per magia un nuovo invito al cambio della password.
P.S. Da informatico non posso che nutrire una stima sconfinata per il genio che ha scoperto la falla nel sistema. SSL non è certo facilmente attaccabile, tanto che viene ritenuto uno tra i protocolli più sicuri. Trovare una falla nell'implementazione non è roba di poco conto.. -
.
Advanced Member
- Group
- Vecchie Querce
- Posts
- 7,945
- Activity Level
- +345
- Location
- morrisblog.tk
- Status
- Offline
Uhm, che io sappia https è un protocollo certificato più sicuro di http. E poi non tutti i siti https sono stati colpiti, tipo, per citare esempi noti, Facebook e Google, mentre un sito analogo, Yahoo!, ha avuto questo problema. Sono anch'io convinto come ¬kiros che le due cose non siano collegate. . -
.
https non è altro che http + ssl e forumfree almeno pubblicamente non lo usa e quindi non ne è affetta dal bug
che poi ci sia da essere sollevati è tutt'altra questione xDD
in fin dei conti senza https si è soggetti allo sniffing di password e altri dati...ma solo se navigate in wifi pubbliche e/o se la password del vostro wifi è semplice o addirittura è quella di default oppure se avete un malware sul vostro pc.
boh poi io non sono un hacker, so che per accedere a questi dati si deve avere accesso alla stessa connessione internet, se poi esistono altri metodi per lo sniffing non li conosco.
openssl gestisce anche i certificati delle connsessioni ftps se non sbaglioSPOILER (clicca per visualizzare)se non ricordo male ff usa piu di 9 server, facendo un preventivo sul sito della symantec verebbe a costare 42.000 euro la protezione ssl per 3 anni xDD. -
©ChaoSS.
User deleted
Il perchè del cambiare password è semplice, secondo loro cambiando i dati personali si evita di cadere nella trappola. SPOILER (clicca per visualizzare)
Edited by Klo - 11/4/2014, 12:29. -
.
Ho sentito parlare di questo Heartbleed anche al TG, quindi credo sia una cosa molto importante. Hanno fixato il problema o non si riesce ancora a venirne a capo?
Gli hacker di tutto il mondo potrebbero approfittarne, da quello che ho capito e da quello che ho letto.
Spero che FF sia sicuro, già in passato ci sono stati problemi simili. Ma a che pro nascondere delle discussioni? Non sarebbe stato meglio calmare l'utenza anziché spostare senza rispondere? Mistero. Vorrei tanto capire cosa succede all'Amministrazione, se dobbiamo cominciare a preoccuparci o meno.. -
.
Bisogna soltanto vedere se ForumFree utilizza l'OpenSSL. In questo caso potrebbe essere a rischio, perché sicuramente molti hacker stanno già verificando tra i principali siti nel mondo quali sono vulnerabili e quali no e visto il successo di FF in Italia e nel mondo potrebbero farci un pensierino per qualche attacco. . -
.
- Group
- ForumFree Staff
- Posts
- 48,880
- Activity Level
- 0
- Status
- Anonymous
Ma a che pro nascondere delle discussioni? Non sarebbe stato meglio calmare l'utenza anziché spostare senza rispondere? Mistero.
Proprio per la situazione opposta: scatenare crisi isteriche colletive, lasciando le discussioni pubbliche ognuno si sentirebbe "obbligato" a dire la sua e finirebbe nel caos assoluto.Vorrei tanto capire cosa succede all'Amministrazione, se dobbiamo cominciare a preoccuparci o meno.
No, come ho risposto a tutti quegli utenti, non c'è da preoccuparsi per questo problema.
Come è stato fatto notare, in passato quando ci sono stati problemi è stato chiesto (in certi casi imposto) il cambio password da parte dell'amministrazione del circuito.. -
¬kiros.
User deleted
@Yuffie: stando a quanto ho capito, il bug in OpenSSL è stato risolto e tutti quelli che lo usavano dovrebbero fare l'upgrade alla nuova versione. Fatto ciò, tutti gli utenti che usavano quei servizi dovrebbero cambiare la password per evitare che possano essere usate con successo quelle sniffate nel periodo in cui la falla era ancora sfruttabile.
@Klo: https è http + ssl, ok, quindi se si usa https si sta usando ssl. Ma è vero anche il contrario? Cioè, posso usare ssl "in segreto" senza usare https?
Credo che il fatto di spostare la discussione in un posto privato sia dettato sorattutto dal fatto che una caterva di utenti avrebbe iniziato a scrivere, perdendo magari eventuali aggiornamenti da parte dello staff. C'è da considerare che, come ha detto MorrisCITAZIONEdi recente accade molto spesso. -
.
Come già detto ForumFree ha un problema ben più pericoloso: non usare https
Ogni volta che vi connettere a ForumFree da wifi pubblico, chiunque potrebbe rubarvi l'accountCITAZIONECome è stato fatto notare, in passato quando ci sono stati problemi è stato chiesto (in certi casi imposto) il cambio password da parte dell'amministrazione del circuito
Sì, come no
Giusto per correttezza https oggi è http + tls e non ssl che è un protocollo ormai considerato insicuro
Altra cosa il problema riguarda anche alcuni server ftp, non solo http
Edited by Hannibal_Smith - 11/4/2014, 19:03. -
.
Advanced Member
- Group
- Vecchie Querce
- Posts
- 7,945
- Activity Level
- +345
- Location
- morrisblog.tk
- Status
- Offline
Ma a che pro nascondere delle discussioni? Non sarebbe stato meglio calmare l'utenza anziché spostare senza rispondere? Mistero.
Proprio per la situazione opposta: scatenare crisi isteriche colletive, lasciando le discussioni pubbliche ognuno si sentirebbe "obbligato" a dire la sua e finirebbe nel caos assoluto.
Proprio per questo piuttosto che secretare le discussioni è meglio una dichiarazione pubblica sul Blog News che tranquillizzi l'utenza. Il supporto serve per ricevere supporto, ed è giusto non intasarlo con questioni di questo tipo che prescindono dall'assistenza tecnica pura, però proprio perché qualcuno ha sentito la necessità di essere tranquillizzato sarebbe stato utile una sorta di comunicato ufficiale. Poi penso che sia sotto gli occhi di tutti che questa discussione sta andando avanti serenamente e coscienziosamente, ma poteva tranquillamente essere (se fosse stato qualcun altro ad aprirla, non certo io) una discussione con accuse più o meno velate ed un vero e proprio archivio di teorie complottistiche. In quel caso si sarebbe alzato un fastidioso (e inutile) polverone.. -
.CITAZIONE@Klo: https è http + ssl, ok, quindi se si usa https si sta usando ssl. Ma è vero anche il contrario? Cioè, posso usare ssl "in segreto" senza usare https?
se ho capito bene la tua domanda, la risposta è si, openssl come dettomi da hannibal smith viene usato anche per codificare stringhe (md5,sha1 e 2)
ma non è quella la parte vulnerabile... la falla era nel criterio https (quei siti con il lucchetto verde accanto all'url) che permetteva l'accesso a una parte della ram del server (circa 64kb per ogni richiesta, da quello che ho capito) e quindi ad ogni informazione che al momento era archiviata ad esempio le query sql piu eseguite o appena eseguite (dove solitamente ci sono password e altri dati sensibili)
64kb sembrano un niente ma basta tenere conto che il nostro "pass_hash" (cookie che ci identifica su ff) pesa circa 80byte
questo è quello che ho capito leggendo i blog xDD. -
.
Sulla pagina FB ufficiale di Forumfree è comparso un post relativo al bug di cui si discute in questo topic: 
.
ForumFree è al sicuro da Heartbleed? |
