Gkx

Heartbleed - Aggiornamento di sicurezza

35 risposte in questa discussione

Come forse avete già letto altrove, il 7 aprile è stata scoperta una vulnerabilità critica in OpenSSL (il software che, tra le altre cose, si occupa della crittografia HTTPS di questo forum), denominata "heartbleed", che permette a terze parti di ottenere il contenuto di parte della RAM di un server. È una falla molto grave, anche perché OpenSSL è una delle librerie crittografiche più utilizzate sui webserver, e quindi gran parte dell'internet che fino all'altro ieri era "sicuro" si trova oggi a rischio.

Questo server è stato patchato poche ore dopo l'annuncio, ma per la natura del bug (che non lascia tracce sul sistema) non è possibile sapere se e quali dati sono stati "rubati". Ritengo poco probabile che questa falla sia stata effettivamente sfruttata nel breve lasso temporale tra l'annuncio del bug e la sua risoluzione, ma per essere pronti al peggio, le chiavi private e i certificati SSL del sito sono stati rigenerati; nel frattempo, consiglio a tutti gli utenti di approfittarne per cambiare la propria password (che comunque viene sempre trasmessa in modo criptato) sul forum, specie se la utilizzate anche altrove, e di iniziare a usare un password manager (keepass è gratuito) che generi password casuali per ogni account che avete.

Il server del wiki non è invece affetto da heartbleed e per gli utenti non è necessaria nessuna azione (ma come già detto è sempre consigliato rivedere la propria politica sulle password).

Rimango a disposizione per eventuali chiarimenti.

Piace a 3 persone

Condividi questo messaggio


Link di questo messaggio

Ma in pratica cosa potrebbero fare con questo bug?

Condividi questo messaggio


Link di questo messaggio

(modificato)

che permette a terze parti di ottenere il contenuto di parte della RAM di un server

edit: xkcd di oggi spiega (con qualche astrazione) il funzionamento del bug a livello tecnico

Modificato da Gkx
Piace a 1 persona

Condividi questo messaggio


Link di questo messaggio

 

che permette a terze parti di ottenere il contenuto di parte della RAM di un server

 

Ma che dati potrebbero prendere,intendo?

Condividi questo messaggio


Link di questo messaggio

nel nostro caso, cookie, password e chiavi private.

Condividi questo messaggio


Link di questo messaggio

nel nostro caso, cookie, password e chiavi private.

Password appena cambiata per sicurezza ^^

Condividi questo messaggio


Link di questo messaggio

come faccio a cambiare password?

Condividi questo messaggio


Link di questo messaggio

come faccio a cambiare password?

Il mio profilo >Modifica profilo >E-mail e Password ^^

Piace a 1 persona

Condividi questo messaggio


Link di questo messaggio

Approposito di questo, l'interfaccia mobile (del cambia password) è al quanto sballata :/

Condividi questo messaggio


Link di questo messaggio

Cambiata anch'io.

Condividi questo messaggio


Link di questo messaggio

è dura non aver più la password salvata e dover riloggare ogni volta.

ad ogni modo graz dell'avvertimento gika, non solo avevo una password sicura come una porta blindata col mazzo di chiavi attaccato sopra, ma la usavo anche da qualche altra parte. ho colto l'occasione per cambiarle tutte

Condividi questo messaggio


Link di questo messaggio

Mi dice security key non valida ma non vedo nessun codice da mettere

Condividi questo messaggio


Link di questo messaggio

Io non cambio nulla. Il mondo cambia per me.

Piace a 5 persone

Condividi questo messaggio


Link di questo messaggio

Che palle, dovrò cambiare tutte le password, di nuovo, per fortuna l'ultima volta ho avuto la geniale idea di farne una diversa per le mail.

Grazie gika per la segnalazione e quel programmino che ispira molta fiducia, lo userò appena mi connetto da PC :)

Condividi questo messaggio


Link di questo messaggio

Ho cambiato password e impostato su "Ricordami", ma ora ogni tot minuti mi slogga comunque automaticamente. Cosa sta succedendo?

Condividi questo messaggio


Link di questo messaggio

Prova a cancellare il cookie e poi a riloggarti.

Condividi questo messaggio


Link di questo messaggio

(modificato)

Scusate, non ho capito una cosa.
Perché devo cambiare la password, tenendo presente che:
-Non sono attivo sul wiki
-Non sono Mod da nessuna parte, tantomeno qui

Insomma, dopo che un'entità malefica si impossessasse di me o del mio account di FB, che ci dovrebbe fare? Postare cazzate al posto mio?

Detto ciò, la cambierò comunque ahah
 

Modificato da Re dei Giochi

Condividi questo messaggio


Link di questo messaggio

(Correggetemi se sbaglio)

La falla è stata scoperta da poco, ma in realtà c'era da anni. Inoltre, siti ben più importanti di questo ( facebook, google, yahoo e simili) avevano la falla, quindi cambiare password non servirà quasi a nulla.

Piace a 1 persona

Condividi questo messaggio


Link di questo messaggio

(modificato)

Che palle, dovrò cambiare tutte le password, di nuovo, per fortuna l'ultima volta ho avuto la geniale idea di farne una diversa per le mail.

Grazie gika per la segnalazione e quel programmino che ispira molta fiducia, lo userò appena mi connetto da PC :)

dovresti farne una diversa per ogni account. comunque keepass è disponibile anche per android (non ne sono sicuro ma credo anche per ios), quindi puoi usarlo anche da mobile.

cut

boh, se ti piace l'idea che ognuno possa accedere ai tuoi account e ad eventuali dati sensibili, fai pure...

 

 

 

@gli altri: ma è proprio necessario postare dicendo "password cambiata"? :/

Modificato da Samul
Piace a 1 persona

Condividi questo messaggio


Link di questo messaggio

boh, se ti piace l'idea che ognuno possa accedere ai tuoi account e ad eventuali dati sensibili, fai pure...

Eh sì, chi ha scoperto questa falla sicuramente mirava fin dall'inizio a sapere da me come mi chiamo.

Secondo me hanno altro di più redditizio da fare. Comunque, cambiato pass di FB dato che era uguale a quella di PCF

Condividi questo messaggio


Link di questo messaggio

(modificato)

Eh sì, chi ha scoperto questa falla sicuramente mirava fin dall'inizio a sapere da me come mi chiamo.

Secondo me hanno altro di più redditizio da fare. Comunque, cambiato pass di FB dato che era uguale a quella di PCF

oh beh, d'altronde chi mira ad hackerare un account solitamente è interessato al nome di battesimo della vittima...

 

ah no aspetta, forse è interessato all'email (che è privata, a meno che tu non decida di darla a cani e porci), che (sto facendo un esempio, visto che tu dici di non aver dati sensibili in questo account l'email è il massimo che potrebbero prenderti) potrebbero inserire in delle "rubriche" alle quali spammare malware, che tu potresti scaricare, eseguire e far finire il tuo pc in una botnet.

 

questo post lo intitolerò come farsi fottere il pc a partire da un forum di pokémon

ricordati: tutto è possibile ;)

Modificato da Samul
Piace a 2 persone

Condividi questo messaggio


Link di questo messaggio

oh beh, d'altronde chi mira ad hackerare un account solitamente è interessato al nome di battesimo della vittima...

 

ah no aspetta, forse è interessato all'email (che è privata, a meno che tu non decida di darla a cani e porci), che (sto facendo un esempio, visto che tu dici di non aver dati sensibili in questo account l'email è il massimo che potrebbero prenderti) potrebbero inserire in delle "rubriche" alle quali spammare malware, che tu potresti scaricare, eseguire e far finire il tuo pc in una botnet.

 

questo post lo intitolerò come farsi fottere il pc a partire da un forum di pokémon

ricordati tutto è possibile ;)

Va beh dai, mi hai convinto.

Condividi questo messaggio


Link di questo messaggio

(modificato)

Prova a cancellare il cookie e poi a riloggarti.

In che modo esattamente?

EDIT: Fatto ma non ha risolto nulla, ogni volta che chiudo la finestra devo riloggare

Modificato da Re dei Giochi

Condividi questo messaggio


Link di questo messaggio

Prova a cancellare il cookie e poi a riloggarti.

 

 

In che modo esattamente?

EDIT: Fatto ma non ha risolto nulla, ogni volta che chiudo la finestra devo riloggare

Io ho fatto come ha detto Ombra e non ho avuto più problemi.

Condividi questo messaggio


Link di questo messaggio

Io ho fatto come ha detto Ombra e non ho avuto più problemi.

Eppure sono sicurissimo di aver cancellato i cookie, ma continua a darmi problemi

Condividi questo messaggio


Link di questo messaggio
quindi cambiare password non servirà quasi a nulla. 

 

infatti bisogna

a) assicurarsi che il server abbia patchato il necessario

b) assicurarsi che i certificati CA siano stati cambiati

c) fare il logout E cancellare tutti i cookies

d) cambiare password

Condividi questo messaggio


Link di questo messaggio

(modificato)

va beh, tanto lo vedo quando le e-mail sono spam, ed inoltre l'uniche che vedo sono: wiki, alle volte gamestop e poi basta, le altre le ignoro tutte, quindi non credo di essere a rischio

Modificato da kratos

Condividi questo messaggio


Link di questo messaggio

va beh, tanto lo vedo quando le e-mail sono spam, ed inoltre l'uniche che vedo sono: wiki, alle volte gamestop e poi basta, le altre le ignoro tutte, quindi non credo di essere a rischio

oh beh, d'altronde chi mira ad hackerare un account solitamente è interessato al nome di battesimo della vittima...

 

ah no aspetta, forse è interessato all'email (che è privata, a meno che tu non decida di darla a cani e porci), che (sto facendo un esempio, visto che tu dici di non aver dati sensibili in questo account l'email è il massimo che potrebbero prenderti) potrebbero inserire in delle "rubriche" alle quali spammare malware, che tu potresti scaricare, eseguire e far finire il tuo pc in una botnet.

 

questo post lo intitolerò come farsi fottere il pc a partire da un forum di pokémon

ricordati: tutto è possibile ;)

:)

Condividi questo messaggio


Link di questo messaggio

La password l'ho cambiata, e mi è stato difficile anche a me perchè boh...Ci ho messo tre mesi a impararla e ora dovrò mettercene altri tre per la nuova ;_; Va be dai :D

Come han detto un sacco di persone consiglio di cambiarla, perchè sinceramente credo che a nessuno di voi piaccia che una persona che non conoscete vi rovini la privacy o altre cose a cui tenete. :(

Condividi questo messaggio


Link di questo messaggio

comunque io ho cambiato e sloggato, ma ora non mi tiene loggato, ogni giorno devo riloggare..:\

Condividi questo messaggio


Link di questo messaggio

Crea un account o accedi per partecipare alla discussione

 

Crea un account

Registra un nuovo account sul forum. È facile e veloce.


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora

  • Chi sta navigando   0 utenti

    Nessun utente registrato sta visualizzando questa pagina.