Problemi Di Sicurezza Sul Browser?

[Andrea]

Tratto da:

Google Android Bug Not as Bad as Feared, Security Researcher Says

Come si puo leggere sul link qui sopra possiamo carpire come Charles Miller abbia sopravalutato questo bug. Infatti l'exploit non intacca il browser bensi il media player con ovve differenti capacità di "danno".

PacketVideo lo sviluppatore del framework multimediale ha sviluppato un fix il 5 febbraio e rilasciato una patch per android solamente a 2 giorni di distanza dal fix.

Tuttavia come si puo leggere nell'articolo un dipendente google ha rilasciato una dichiarazione dove dice:
"Abbiamo fornito la patch a t-mobile quando ci è stata resa disponibile e il g1 verrà aggiornato a discrezione di t-mobile".

[Cassius]

Ho scritto una cosa che è effettivamente fraintendibile:
quando ho scritto "so che posso avere usato toni forti, ma secondo me quell'articolo ha trattato davvero con superficialità un argomento molto importante.", con argomento molto importante non intendo questa falla, ma l'argomento della sicurezza informatica nella sua globalità.
Ora, io rimango della mia idea, piuttosto che dare una informazione incompleta e sensazionalistica (scoperta grave falla nel browser di Android) è meglio non darla.
Questo non tanto per non fare preoccupare inutilmente l'utente, ma per una cosa ben più importente.
Se un domani uscisse davvero una falla grave, l'utente che avesse visto questo post penserebbe "Beh, la volta scorsa non è successo nulla, posso aspettare" e non aggiornerebbe il suo sistema.
Un sistema compromesso può essere usato come base per ulteriori attacchi e questo quindi questo alla lunga si ripercuoterebbe su tutti noi.
Questa è la mia posizione, mi dispiace se non la condividete, ma non penso che io possa cambiare idea al proposito.
Spero di essermi chiarito, comprendo che vogliate difendere il vostro collega e sono sicuro che se non avessimo discusso in un forum ma davanti ad una birra ci saremmo già chiariti da un pezzo!

[admin]

Ho scritto una cosa che è effettivamente fraintendibile:
quando ho scritto "so che posso avere usato toni forti, ma secondo me quell'articolo ha trattato davvero con superficialità un argomento molto importante.", con argomento molto importante non intendo questa falla, ma l'argomento della sicurezza informatica nella sua globalità.
Ora, io rimango della mia idea, piuttosto che dare una informazione incompleta e sensazionalistica (scoperta grave falla nel browser di Android) è meglio non darla.
Questo non tanto per non fare preoccupare inutilmente l'utente, ma per una cosa ben più importente.
Se un domani uscisse davvero una falla grave, l'utente che avesse visto questo post penserebbe "Beh, la volta scorsa non è successo nulla, posso aspettare" e non aggiornerebbe il suo sistema.
Un sistema compromesso può essere usato come base per ulteriori attacchi e questo quindi questo alla lunga si ripercuoterebbe su tutti noi.
Questa è la mia posizione, mi dispiace se non la condividete, ma non penso che io possa cambiare idea al proposito.
Spero di essermi chiarito, comprendo che vogliate difendere il vostro collega e sono sicuro che se non avessimo discusso in un forum ma davanti ad una birra ci saremmo già chiariti da un pezzo!

Io penso di essermi gia chiarito .. non biasimo e ovviamente rispetto l'idea di tutti.

Ci tengo a precisare comunque che nel momento in cui è stata redatta la notizia, molti altri forum ( Di visibilità mondiale ) avevano rilasciato la nostra stessa notizia.

Appoggiandoci su quanto detto in quei siti abbiamo quindi redatto una notizia che era di interesse comune e che in quel momento era effettivamente una falla grave.

Ad ogni modo credo che il punto centrale dove io discutevo è la tua dubbia eticità.. Preferivamo che ce lo scrivessi in privato invece di creare un angolo nel tuo blog dove ci hai richiamati .. Oltretutto per dare la visibilità a tutto hai inserito un commento nel blog e un post nel forum in modo che ogn nostro utente vedesse il tuo articolo..

Anche non citando il nostro blog per nome e cognome credo che il quoziente intellettivo dei lettori di questo forum sia abbastanza alto per capire che l'articolo nel tuo blog era diretto a noi.

[Cassius]

Tratto da:

Google Android Bug Not as Bad as Feared, Security Researcher Says

Come si puo leggere sul link qui sopra possiamo carpire come Charles Miller abbia sopravalutato questo bug. Infatti l'exploit non intacca il browser bensi il media player con ovve differenti capacità di "danno".

PacketVideo lo sviluppatore del framework multimediale ha sviluppato un fix il 5 febbraio e rilasciato una patch per android solamente a 2 giorni di distanza dal fix.

Tuttavia come si puo leggere nell'articolo un dipendente google ha rilasciato una dichiarazione dove dice:
"Abbiamo fornito la patch a t-mobile quando ci è stata resa disponibile e il g1 verrà aggiornato a discrezione di t-mobile".

Visto che non era difficile trovare ulteriori informazioni?
Se l'autore dell'articolo avesse approfondito un po' di più la questione non ci sarebbe stata tutta questa confusione.
E' questo quello che cercavo di dirvi, mentre si può essere superficiali su argomenti generici, non si può farlo con la sicurezza!
L'articolo creato dal vostro autore è stato basato esclusivamente su un altro articolo che però era di parte!
Capisci perchè mi sono un po' arrabbiato leggendo il vostro articolo?
Seguo la sicurezza di Android giorno per giorno e mi leggendomi direttamente quello che hanno da dire gli ingegneri di Google, poi mi trovo un articolo di qualcuno che non si informa e crea panico, penso che ti saresti arrabbiato anche tu!
Inoltre 2 anni fa il gruppo che si occupa della sicurezza di Google si è iscritto su Full Disclosure, quindi se ci fosse stata davvero una falla grave, col cavolo che la notizia avrebbe avuto così poca risonanza!
Dare notizie in questo modo non solo fa preoccupare inutilmente gli utenti (ho ricevuto richieste di patch), ma mina anche la credibilità del vostro sito.
Spero che la diatriba sia finalmente conclusa!

[Cassius]

Appoggiandoci su quanto detto in quei siti abbiamo quindi redatto una notizia che era di interesse comune e che in quel momento era effettivamente una falla grave.

Non poteva "in quel momento" essere una falla grave, o una falla è grave o non lo è.
Non lo è.

Ad ogni modo credo che il punto centrale dove io discutevo è la tua dubbia eticità.. Preferivamo che ce lo scrivessi in privato invece di creare un angolo nel tuo blog dove ci hai richiamati .. Oltretutto per dare la visibilità a tutto hai inserito un commento nel blog e un post nel forum in modo che ogn nostro utente vedesse il tuo articolo..

Penso di doverti delle spiegazioni su questo.
Secondo me era importante avvisare immediatamente che quel post era sbagliato.
Visto che già altre volte su altri argomenti vi ho scritto in privato e poi non è stato scritto nulla, ho pensato che il modo più rapido e sicuro era commento + post.
Quindi lo scopo era proprio che ogni vostro utente potesse leggere l'articolo.
Ho messo il link al mio sito per poter dare una spiegazione completa sul fatto, visto che erano proprio le informazioni incomplete il problema.
Dal mio sito non guadagno nulla, nè collaboro con applicazioni che non siano libere, però almeno il riconoscimento della lettura articoli penso sia corretto che ci sia.

Anche non citando il nostro blog per nome e cognome credo che il quoziente intellettivo dei lettori di questo forum sia abbastanza alto per capire che l'articolo nel tuo blog era diretto a noi.

Il fatto che non abbia citato il nome del vostro blog non è fatto per i lettori del vostro blog, ma per quelli che non lo leggono (e quindi non sanno a chi mi riferisco), oltre che per non far rimanere traccia di questa cosa nelle vecchie news una volta che non sarà più attuale (un lettore del mio post tra un anno non saprà che mi riferivo a voi).

[Andrea]

Veramente le risorse al post sono state trovate dal sottoscritto..

Ti posso assicurare che al momento nel quale ho redatto le risorse dove prendere spunto c'èrano solo articoli tali e quali a questo.

Ad ogni modo l'ultima news da dove ho preso spunto per l'ultimo post è di 4 ore fa!!!

Tu parti dal presupposto che sia stato fatto un cattivo lavoro di redazione.. IN realtà ciò che denunci è tutto fumo e niente arrosto .. ..

Inoltre adesso che ci penso abbiamo visionato anche Il tuo stesso blog dove ecco cosa scrivi:

Il ricercatore Charlie Miller ha mostrato durante la conferenza Schmoocon un grave vulnerabilità del browser di Android che secondo lui permette di prendere ottenere controllo remoto sul browser e quindi di ottenere tutti i dati, compresi quelli inviati tramite protocolli criptati.

La cosa interessante è la vulnerabilità è conosciuta già da tempo, tanto che è già stata corretta nei repository.
Ma la correzione non è mai stata integrata nella versione di Android che equipaggia il ADP1/G1.
Probabilmente il motivo è che la vulnerabilità riguarda il sottosistema multimediale del browser che è stato sviluppato da PacketVideo e non da Google, quindi forse Google sta aspettando infomazioni da questa società.

Che c'è predichi bene e razzoli male?
Qui addirittura dici che possono venire intercettati protocolli come https e affini.. INoltre la falla è conosciuta da tempo. E tra l'altro non specifichi cose che invece noi abbiamo dato ai nostri utenti.

Non credo quindi che tu ti possa permettere di darci dei consigli di redazione sopratutto sulla completezza delle informazioni.

allo stato attuale hai inserito un update poichè avevi scritto pure tu una notizia non valida.. OPPURE era valida in quel momento e ti sei fatto ingannare dalla disinformazione che avvolgeva la blogosfera al momento della pubblicazione dell'articolo.

Ti rispondo direttamente ad un post che hai appena inviato :

Non poteva "in quel momento" essere una falla grave, o una falla è grave o non lo è.
Non lo è.

Allora.. Come mai hai scritto su un vecchio post che era grave e adesso non la ritieni tale?

[Cassius]

Rileggi quello che ho scritto e che tu hai correttamente riportato:

"Il ricercatore Charlie Miller ha mostrato durante la conferenza Schmoocon un grave vulnerabilità del browser di Android che secondo lui permette di prendere ottenere controllo remoto sul browser e quindi di ottenere tutti i dati, compresi quelli inviati tramite protocolli criptati."

Ho scritto che era una sua opinione, non ho mandato email di emergenza, nèatto titoli del tipo "Scoperta grave vulnerabilità".
Ho scritto che era una sua opinione perchè anch'io all'inizio ero incorso nel'errore di riportate le sue parole.
Poichè non la ritenevo una notizia importante (l'ultima notizia da Android Security che avevo al riguardo era di una settimana prima e diceva che non c'erano problemi) l'argomento non sarebbe più stato ripreso se non fossi stato costretto a smentire io la notizia.
Quel post ha avuto la stessa importanza (ed infatti ne è stato "sommerso") di:
- "Quante versioni dell’ HTC Dream esistono?"
- "Cos’è Android Holiday?"
- "Installare l’update Holiday"
Ho dovuto riprendere l'argomento perchè avevate creato allarmismo con il vostro post.
Iniazialmente volevo fare solo un update del mio post precedente, ma poi ho pensato che proprio prchè era "sommerso", avrei dovuto crearne uno nuovo perchè potesse essere in evidenza.
Visto che insistavate a dire che la situazione era grave, ho fatto un secondo update al post della smentita per spiegare meglio la situazione proprio perchè se da un lato volevo smentire questi rumors, dall'altra volevo aspettare che Google facesse la prima mossa confermando che non era una falla grave.
Penso che non sia necessario che faccia un ulteriore update per spiegare che la vulnerabilità è del framework, ma il modo in cui potrebbe essere sfruttata è attraverso il browser.
Ma al momento che io sappia non esistono exploit.

Un altra notizia simile a questa è stata quando ho scritto il post "Calmate i bollenti spiriti…" in cui affermavo che forse speculare così tanto su cellulari che non usciranno mai può creare entusiasmi inutili, ma quella volta non c'è stata nessuna rivolta.
Eppure anche quello era un articolo di critica, nei confronti dei blog che ogni 2 giorni annunciavano nuovi cellulari che poi non sarebbero mai usciti.

Spero che la cosa si concluda qui visto che non mi piace come sei passato a toni personali.
Io non ho niente contro le smentite in generale quando alla base dell'articolo originario c'è un lavoro fatto bene.
Un paio di giorni fa ho avuto un problema con l'aggiornamento dell'ADP1 che ha fatto girare la testa anche a quelli di Google.
Inizialmente suggerivo di non installare l'aggiornamento, ma dopo qualche ora la situazione si è chiarita (grazie a Google, non a me) ed ho ho avvisato che la sistuazione era ok.
Quello che però non mi è piaciuto è stato che in questo caso invece si sarebbe potuto capire fin dall'inizio che non serviva creare allarmie, mentre invece ci si è basati su un articolo unico come fonte (penso sarà la 5 volta che lo scrivo in questo topic).
La stessa cosa era successa al momento del lancio del G1 quando un sito ha scritto che c'erano un milione e mezzo di preordini e tutti i blog hanno ricopiato la notizia senza verificare la fonte.

Ho letto i nostri ultimi post, e siamo passati entrambi a cavillare l'uno sui post dell'altro quindi penso che sia meglio che ci fermiamo prima del peggio!
Se vuoi parlare ulteriormente dell'argomento hai la mia mail, ti dò tutta la mia disponibilità perchè mi dispiacerebbe rovinare il rapporto per un post!

[Andrea]

Rispondo solamente ad una cosa che continua ad essere fraintesa.. noi redattori del blog utilizziamo almeno 3 fonti per redarre le notizie. E ne visioniamo ancxhe altre in molte occasiobni...

Io direei di chiuderla qui.. e la prossima volta ti invito ad avvisare prima noi di un eventuale imprecisione.. come è partita la mail fa presto pure a partire una smentita...

È tutto a presto !

[Andrea]

Rispondo solamente ad una cosa che continua ad essere fraintesa.. noi redattori del blog utilizziamo almeno 3 fonti per redarre le notizie. E ne visioniamo ancxhe altre in molte occasiobni...

Io direei di chiuderla qui.. e la prossima volta ti invito ad avvisare prima noi di un eventuale imprecisione.. come è partita la mail fa presto pure a partire una smentita...

È tutto a presto !

[Ma_tteo]

Madonna che casino che ho scatenato.. Non pensavo...

La prossima volta starò più attento su cosa pubblico .. :P