Jump to content

Search the Community

Showing results for tags 'sicuri'.



More search options

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Richiesta informazioni e consigli hosting
    • Domini e Registrazioni
    • Shared e Managed Webhosting
    • WebHosting - Primi passi
    • Server dedicati, colocation, connettività e scelta data center
    • VPS - Virtual Private Server
    • Cloud Computing e Cloud Hosting
    • Gestione Server Windows e Server Linux
    • E-mail e Managed Services
    • Pannelli di controllo e Hosting software
    • Professione Hosting Provider
  • Sviluppo Web e Tempo Libero
    • Io Programmo
    • Promozione, advertising e SEO
    • Off-Topic
    • Il tuo sito
  • Guide su hosting, domini, server, CMS e Cloud Computing
    • Articoli e Guide su hosting, domini e cloud computing
    • Annunci e News
    • Offerte Hosting - Provider HostingTalk.it

Calendars

There are no results to display.


Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


AIM


MSN


Website URL


ICQ


Yahoo


Jabber


Skype


Location


Interests


Biografia


Località


Interessi


Cosa fai nella vita?


Il tuo Hosting Provider?

Found 5 results

  1. Non è proprio un tutorial, non è proprio inerente il web, i server etc... ma parecchi di voi gireranno con un notebook in cui ci saranno anche dati importanti. Io dopo alcune variazioni nel tempo ho trovato la mia configurazione ideale, quella che mi consente di star traquillo se mi rubano il pc (a parte l'inc...) ma allo stesso tempo in maniera comoda. Anche senza usare dispositivi biometrici e simili ho attrezzato il mio fidato Linux e il portatile per non dover inserire password ma allo stesso tempo ad aver un buon grado di sicurezza. Detta in due parole con Truecrypt (ho provato prima Luks ed altri ma non mi soddisfacevano) ho criptato Home, Swap, Tmp e alcune altre cose (tipo htdocs dove ho tutto quello che sviluppo e testo) senza password ma solo con key file. Ho piazzato i keyfile su una sd (il mio notebook ha il lettore sd) e all'avvio monta in automatico i dischi criptati se la suddetta sd è nello slot. Se la sd non è presente e/o non c'è una chiavetta usb (prepata in maniera simile alla sd) allora mi chiede una password che apre un mini disco virtuale in root, minidisco che contiene gli stessi key file di cui sopra e che poi aprono tutti i dischi in catena. La password è una sicurezza aggiunta nel qual caso dimentico (o peggio perdo) la sd e sono in giro. Va da se che è chiaro che una volta avviato il sistema e montati i dischi criptati il pc non va lasciato incustodito, minimo andrebbe spento e rimossa la sd. Si potrebbe ottenere una cosa simile usando pam per decriptare la home al login con una sola password, però con kde, o meglio kdm, mi dava dei problemi visto che non trovava kdestartup. Inoltre preferisco che il sistema rimanga il più possibile indipendente, backup a parte, sempre indispensabile, in questo modo posso comunque, se necessario, estrarre la mia home da qualsiasi Linux con truecrypt installato. Ci ho messo qualche decina di minuti a preparare il sistema, a creare il file di startup etc ma adesso sto tranquillo usando l'sd come scheda di autenticazione, al costo di pochi euro (basta una schedina vecchia anche di pochissimi mb).
  2. Ho letto un pò in giro qualche tempo fa, se le cose non sono cambiate tutti concordano che senza https l'autenticazione o l'invio dei dati può essere più o meno sicuro ma non perfetto per la sicurezza. Io affermerò il contrario, cioè che è possibile lo stesso grado si sicurezza di ssl anche se debbo premettere che ci sono un paio di vincoli. I vincoli sono l'utilizzo obbligatorio di javascript e nel caso di invio dati comuni è necessario inserire una password ad ogni invio (o usare un cookie, che rende il procedimento un pò meno sicuro in lan) . La seconda evenienza è decisamente scomoda, se in un ecommerce costringiamo l'utente a scrivere la password su ogni pagina in cui invia dati perdiamo il cliente subito, però la prima tutto sommato non è così assurda, la password va inserita lo stesso. In sostanza, basta utilizzare una libreria javascript per blowfish (o similari) Se il server invia un salt criptato (che si decripta con la password+salt vari immessi in db) possiamo ogni volta che ci logghiamo inviare una password saltata (in padella :asd:) diversa, quindi anche se strada facendo ci sniffano la password saltata, quella password non può più essere riusata in nessun modo, neanche replicando la sessione. In sostanza diventa una one-time password anche se per l'utente la password è sempre la stessa. Con lo stesso sistema non sarebbe un problema "blowshiffare" tutti i dati in entrata ed in uscita dal browser, solo che appunto o bisogna reinserire la password ad ogni cambio pagina oppure la password (in questo caso non quella di login, ma una di sessione creata random) dovrebbe essere memorizzata in un cookie via javascript Questo secondo sistema non è perfetto al 100% ma è comunque più sicuro di un invio in chiaro. Almeno in lan se si esce su un proxy non vedono i cavoli nostri, certo il sysadmin della rete potrebbe sempre leggerci il cookie direttamente sulla postazione, o qualcuno potrebbe crearci una trappola, ripeto non è scuro al 100%, ma rende un pò più privato lo scambio dati. Con l'immissione passw ad ogni pagina (anche una corta apposita) il sistema diventa buono, direi equivalente ad un ssl. Ho aperto il discorso (al volo, magari ho scritto qualche boiata in fretta, non rileggendo, errori di scrittura), spero che vi sia interessato un approccio un pò diverso (almeno non ne ho letto in giro), e che vogliate dire la vostra in merito. P.s. mentre sto inviando mi viene in mente anche un'altra ipotesi, se usiamo ajax per inviare i dati ma manteniamo sempre una base di pagina fissa potremmo risolvere anche il problema di tenere in memoria la chiave di decriptazione dei dati senza doverla reinserire. Certo con un sito che vuole essere indicizzato si crea il problema della riscrittura degli url etc... insomma bisogna vedere se il gioco vale la candela, ma se la cosa si tiene solo su un backoffice il problema non sussiste.
  3. Attenzione alle tecniche di social engineering. Nuove policy per le email aziendali suggerite da Postini, la neo acquisita di Google. Leggi la News
  4. Ciao a tutti. Stasera mi è venuto un dubbio. Visto che si fa tanta fatica a posizionare il proprio dominio, come si fa ad assicurarsi che alla scadenza non venga soffiato da qualcun altro? Ho navigato e mi è sembrato di capire che ti mandano una raccomandata per avvertirti o una mail, ma se magari tu hai cambiato residenza o mail e non ti arriva quindi niente, passa un certo numero di settimane e il tuo dominio va in pasto ai lupi. Sbaglio? Come tutelarsi? Il discorso è uguale per tutti i domini .it - .biz - .com ecc. ?? Grazie a tutti Marco
  5. daniele_dll

    Navigare Sicuri: stunnel + squid

    Chi legge il titolo intende tutto da solo :D Ho messo sul mio bel vs un bello squid configurato per accettare solo specifici utenti, ergo ci vuole l'autenticazione, e tutto passa da stunnel installato sia sul server e sia sul client! Ovviamente il proxy è bindato sull'ip interno e accetta connessioni solo da stunnel :stordita: l'unica cosa è che non so come fare per dirgli a stunnel di usare le chiavi senza inviarle (ergo pre-shared-keys) qualcuno sa come si fa con stunnel?
×