• Super User

    Cloudflare Data Leak - Big issue

    La notizia è ufficiale e ha levato il sonno a diverse persone. Riporto fedelmente il link all'articolo di wired, che spiega nel dettaglio il bug:
    https://www.wired.com/2017/02/crazy-cloudflare-bug-jeopardized-millions-sites/

    Mettiamo un attimo le cose in chiaro. Circolano voci contrastanti in merito all'accaduto, e la quasi totalità dei pareri converge in un CAMBIO URGENTE DELLE PASSWORD.
    La realtà è ben diversa, perché pur cambiando le password del proprio cms il problema resta in piedi.
    Il problema principale, allo stato attuale, è rappresentato dalle installazioni WP che risultano tra le più vulnerabili. Fino a poche ore fa nella cache di google, a causa di questo bug, erano stati indicizzati anche i seguenti dati, presenti nel wp-config.php:

    define('AUTH_KEY', 'change this text');
    define('SECURE_AUTH_KEY', 'change this text');
    define('LOGGED_IN_KEY', 'change this text');
    define('NONCE_KEY', 'change this text');
    define('AUTH_SALT', 'change this text');
    define('SECURE_AUTH_SALT', 'change this text');
    define('LOGGED_IN_SALT', 'change this text');
    define('NONCE_SALT', 'change this text');

    Cambiare la password non serve a risolvere un bel niente, se ho in mano le chiavi per decifrarla.
    Inoltre molti hosting provider lo offrono gratuitamente e a pagamento...

    In conclusione, ho da fare una semplice e personale considerazione! Riguarda le CDN in generale, tutti ne fanno uso e non si rendono conto che, in sistemi di cache "intermedia" tra il proprio server e il client di destinazione, ci sono rischi "non calcolati" che potrebbero compromettere seriamente la sicurezza.

    Ma si sa, al giorno d'oggi si può parlare di "Best practice" solo lato SEO, la sicurezza dei dati non conta un c _ _ _ o
    Il "dio denaro" e lo strapotere di google, che ci sta dicendo come e dove intervenire per mettere online un servizio (che sia web o mail poco importa, operano ormai in regime di monopoliio) hanno fatto perdere di vista i veri ideali per i quali è stata creata la rete delle reti.

    #ContentDeliveryNetwork #CDN #Cloudflare


  • Super User

    Io sono dell'idea che non esiste un sistema inviolabile, bensi' un sistema ancora non violato.


  • Super User

    @francois007 said:

    ..... Ma si sa, al giorno d'oggi si può parlare di "Best practice" solo lato SEO, la sicurezza dei dati non conta un c _ _ _ o
    Il "dio denaro" e lo strapotere di google, che ci sta dicendo come e dove intervenire per mettere online un servizio (che sia web o mail poco importa, operano ormai in regime di monopoliio) hanno fatto perdere di vista i veri ideali per i quali è stata creata la rete delle reti.
    Sapessi come sono d'accordo con tutto ciò che dici e soprattutto con lo strapotere di Google e del dio denaro. Quando ho iniziato ad interessarmi di internet le aspettative e gli obbiettivi erano molto, ma molto diversi!


  • Super User

    @vhosting said:

    Io sono dell'idea che non esiste un sistema inviolabile, bensi' un sistema ancora non violato.

    Esatto, nessun sistema è inviolabile, il nocciolo della questione è un'altro!
    È una pratica ormai comune quella di misurare i tempi di risposta di un host, c'è una competizione senza limiti a chi fa meglio dell'altro.
    Il "parco buoi" dei webmaster e dei seo specialist cosa ne sa di sicurezza dei sistemi e delle reti? Da quel che vedo fanno solo sfoggio del proprio ego, e molti provider si sono allineati ai loro "desideri perversi" proponedogli servizi che sono "al di fuori del proprio controllo".
    Da questa analisi non prevedo un futuro roseo... peggio ancora se penso al processo di "standardizzazione" in atto guidato dalle multinazionali.

    In conclusione, non ci sarà spazio per il libero pensiero nel mondo liberista che sta avanzando!