Kaspersky Lab lancia nuova soluzione di sicurezza virtuale Light Agent

Kaspersky Lab annuncia una nuova soluzione di sicurezza nel campo della virtualizzazione, che offre una protezione avanzata per le piattaforme virtuali VMware, Citrix e Microsoft. Kaspersky Security For Virtualization - Light Agent si aggiunge alla già esistente soluzione di sicurezza agentless per la virtualizzazione di Kaspersky Lab, leader nel settore, per gli utenti VMware e vSphere, che continuerà ad essere offerta con il nome di Kaspersky Security for Virtualization - Agentless.

La nuova tecnologia light agent è la prima soluzione di sicurezza di Kaspersky Lab ottimizzata per i clienti di Microsoft Hyper-V e Citrix XenServer e fornirà ai clienti VMware la possibilità di scegliere tra la protezione agentless o light agent. La soluzione light agent di Kaspersky Lab offre il "meglio dei due mondi" oltre ai modelli di sicurezza virtuale agentless già esistenti o quelli agent-based. 

I dati in breve

• Kaspersky Security for Virtualization | Light Agent è la prima soluzione di Kaspersky Lab specificamente progettata per le piattaforme di virtualizzazione Citrix e Microsoft

• Sia il nuovo Light Agent che la soluzione già esistente Agentless saranno offerte ai clienti attraverso l’acquisto di una singola licenza del prodotto Kaspersky Security for Virtualization

• La nuova soluzione Light Agent di Kaspersky Lab offre funzioni di sicurezza aggiuntive, tra cui i controlli degli applicativi e l'applicazione delle policy di utilizzo del web per ambienti virtuali

• Il prodotto Kaspersky Security for Virtualization sarà offerto in pacchetti di licenze flessibili, rendendo più facile alle aziende in crescita la possibilità di rendere sicuri i futuri sviluppi

I vantaggi delle performance del Light Agent

Costruire e mantenere una rete virtuale richiede software specializzati e competenze che differiscono notevolmente dagli strumenti e dalla formazione necessaria per gestire una rete fisica di endpoint e di server. Troppo spesso però, le aziende utilizzano il software di sicurezza pensato per le macchine fisiche per la loro rete virtuale con conseguenze negative. Nella migliore delle ipotesi questa protezione "agent-based" porta ad uno spreco di risorse informatiche - problematica a cui cerca di dare una soluzione la virtualizzazione - e può ridurre il rapporto di consolidamento di macchine virtuali e il ROI globale di un progetto di virtualizzazione. 

Mentre gli utenti lamentano un rallentamento delle prestazioni sui loro desktop virtuali, non sanno che nella rete si nasconde una vera e propria minaccia per le macchine virtuali, un "Instant On Gap". Ovvero una finestra di tempo che si crea dopo che una macchina virtuale è stata creata e prima che gli ultimi aggiornamenti di sicurezza vengano scaricati dall'agente di sicurezza su ogni macchina virtuale.

Mentre questi aggiornamenti vengono elaborati, la macchina virtuale è vulnerabile e la durata della vulnerabilità varia a seconda del numero di utenti che stanno scaricando contemporaneamente gli aggiornamenti sulle singole VM e dei giorni necessari all’elaborazione degli stessi. Mentre questo processo di aggiornamento dei database di sicurezza sui desktop virtuali va avanti, le risorse dei server virtuali risulteranno “stanche” con conseguenti scarse prestazioni della rete e un minor rendimento degli investimenti di virtualizzazione della società. Kaspersky Security for Virtualization | Light Agent offre dei benefici che garantiscono diversi vantaggi rispetto all’approccio tradizionale agent-based. 

Nel modello light agent, quasi tutti i processi di sicurezza ad alta intensità di risorse vengono eseguiti da un dispositivo virtuale dedicato ad un livello di hypervisor. Incanalando il traffico di rete virtualizzato e i file attraverso questo dispositivo aggiornato, le VM sono completamente protette da aggiornamenti di sicurezza nello stesso istante in cui questi vengono creati e questo fa si che non sia più necessario produrre, per ogni VM, copie ridondanti di database anti-malware attraverso la rete. La scansione intelligente di Kaspersky Lab garantisce anche che lo stesso file non venga analizzato più volte, liberando le risorse aggiuntive di sistema.

Vantaggi della protezione Light Agent 

L’approccio light agent oltre ad offrire prestazioni migliori rispetto ad un approccio "agent-based", offre anche una maggiore protezione di sicurezza rispetto ad un modello "agentless". I modelli di sicurezza agentless, a livello di prestazioni, offrono il vantaggio di far svolgere il 100% delle attività di sicurezza alla macchina virtuale e ad un dispositivo virtuale dedicato, ma questo, allo stesso tempo, limita la capacità del software di eseguire attività di gestione di sicurezza avanzate e di protezione della rete sugli endpoint virtuali.

Un sistema di sicurezza agentless protegge efficacemente l'attività basata su file ma non può garantire protezione contro i nuovi malware del web, come i worm o le altre minacce avanzate in grado di penetrare i processi del sistema degli endpoint virtuali e diffondersi attraverso una rete. Questo dimostra come un approccio light agent sia in grado di fornire l'equilibrio ideale tra prestazioni e protezione. 

Kaspersky Security for Virtualization - Light Agent include un piccolo software agent su ogni macchina virtuale, molto diverso dai software di risorse monopolizzati che si trovano nel modello tradizionale agent-based. Questo piccolo agente consente grandi funzionalità di sicurezza, consentendo al Kaspersky Security for Virtualization - Light Agent di disporre di tutte le competenze nel campo della sicurezza di cui dispone Kaspersky Lab per il controllo di una rete virtuale, e la possibilità di essere distribuito senza la necessità di riavviare. Le tecnologie di protezione avanzate messe a disposizione da una soluzione light agent comprendono:

• Controlli sugli applicativi

• Controlli del dispositivo

• Policy di utilizzo del web

• Host-based Intrusion Prevention Systems (HIPS) e Firewall 

Kaspersky Security for Virtualization | Light Agent include anche tutte le funzionalità di sicurezza presenti nella soluzione agentless di Kaspersky Lab, compresa l'analisi euristica dei file e la cloud-assisted intelligence tramite il Kaspersky Security Network per le informazioni in tempo reale sulle minacce emergenti e le applicazioni dannose. Kaspersky Lab continuerà ad offrire Kaspersky Security for Virtualization | Agentless - attualmente disponibile solo per gli ambienti VMware - come soluzione efficace per i data center, i server che non accedono a Internet e quelle situazioni in cui la protezione automatica di ogni nuova VM sono di primaria importanza. 

"Spinti dalla ricerca dei nostri esperti di sicurezza la nostra missione è quella di educare le imprese sui possibili rischi della sicurezza virtuale e fornire delle valide opzioni per proteggere la propria rete" ", ha dichiarato Nikolay Grebennikov, Chief Technology Officer di Kaspersky Lab ."Non c'è soluzione che vada bene per tutte le reti, per questo Kaspersky Lab offre una combinazione di opzioni di sicurezza valide per le tre principali piattaforme virtuali del mondo cosi che i nostri clienti siano protetti e allo stesso tempo ottengano il massimo dai loro investimenti di virtualizzazione." 

Maggiori dettagli su Kaspersky Security for Virtualization | Light Agent, sono disponibili su B2B Security Blog. 

Gestione e Licenze

I prodotti per la sicurezza virtuale di Kaspersky Lab offrono una combinazione di tecnologie e sicurezza oltre che una facilità di gestione della piattaforma che nessun altro fornitore riesce a garantire. Utilizzando la console di amministrazione di Kaspersky Security Center, Kaspersky Security for Virtualization, si può gestire dalla stessa interfaccia delle soluzioni di sicurezza di Kaspersky Lab per le macchine fisiche.

Questo dà ai responsabili IT una visione completa sia della rete fisica che di quella virtuale per la gestione delle sfide alla sicurezza e delle attività quotidiane di amministrazione, senza la necessità di alternare diverse interfacce. Sia tramite Kaspersky Security for Virtualization | Agentless che tramite Kaspersky Security for Virtualization | Light Agent - o la combinazione di entrambe le applicazioni - i responsabili IT possono controllare la soluzione di sicurezza Kaspersky Lab da una console di gestione realmente unificata e gestire facilmente qualsiasi migrazione da fisico a virtuale, o da una piattaforma virtuale ad un’altra. 

Kaspersky Lab offre una licenza unificata per i suoi prodotti di sicurezza dedicati alla virtualizzazione, così le aziende che acquistano una licenza per Kaspersky Security for Virtualization avranno accesso ad entrambi i modelli Kaspersky Security for Virtualization | Agentless e Kaspersky Security for Virtualization | Light Agent. Le opzioni di licenza flessibili consentono alle aziende di acquistare licenze "per virtual machine" - che necessitano di conoscere l'esatta quantità di server virtuali e le licenze desktop necessarie - o "per core", in base al numero di core CPU nell'hardware di virtualizzazione del cliente, che permette alle imprese di espandere la propria rete, qualora fosse necessario.   

Requisiti di sistema

Kaspersky Security for Virtualization | Light Agent opera sul VMware ESXi 5.1 e gli hypervisor 5.5; hypervisor Microsoft Hyper-V Server 2008 R2 / 2012 e hypervisor Citrix XenServer 6.0.2 / 6.1. Un elenco completo dei sistemi operativi supportati per tipo di hypervisor, è disponibile visitando la pagina dedicata al prodotto Kaspersky Security for Virtualization | Light Agent. Fonte: Kaspersky

Cyberattack ad Apple dopo Twitter e Facebook, usata stessa falla Java

Hacker sconosciuti hanno infettato i computer di alcuni lavoratori di Apple quando hanno visitato un sito web per gli sviluppatori di software che era stato infettato da software dannoso. Il malware è stato progettato per attaccare i computer Macintosh. Lo stesso software, che infetta i Mac ha sfruttato una falla in una versione del software Java di Oracle Corp., utilizzando un Plug-nel browser Web, la stessa che è stata utilizzata per lanciare gli attacchi contro Facebook, che il social network ha divulgato ​​Venerdì scorso.

Nuovo Facebook Graph Search potrebbe compromettere sicurezza utenti

Facebook nei giorni scorsi ha presentato il suo strumento di ricerca grafico, che trasforma i dati personali che i miliardi di utenti hanno condiviso sul social network in un potente database ricercabile. Mentre è solo a rotazione su una base limitata negli Stati Uniti in questo momento, in ultima analisi, permetterà a tutti di cercare facilmente attraverso la rete le informazioni dei loro amici.

Privacy, Facebook annuncia migliori controlli per la gestione dei contenuti

Facebook non permetterà più agli utenti di votare sulle modifiche ai regolamenti del social network. La votazione su questo cambiamento, infatti, non ha raggiunto il quorum previsto del 30%. Facebook ha un ampio insieme di controlli sulle impostazioni di privacy, ma molti utenti semplicemente non sanno come accedervi. Mercoledì scorso, Facebook ha annunciato che sta rendendo più facile queste azioni, come ad esempio l'introduzione di tasti di scelta rapida sulla privacy e più chiare le istruzioni durante la pubblicazione.

Gli utenti hanno sempre sognato, modi più semplici per controllare la propria privacy , tanto più che il sito cambia così spesso. Questi strumenti saranno lanciati gradualmente nelle settimane prossime. "Noi crediamo che meglio si capisce chi può vedere le cose che si condividono, migliore può essere la vostra esperienza su Facebook", scrive Facebook. Le modifiche includono collegamenti a privacy, un più facile uso del Registro attività, e una nuova richiesta e strumento di rimozione per la gestione delle foto nelle quali si è stati taggati.

Facebook sta anche aggiungendo un nuovo prodotto educativo che rende concetti chiave per il controllo più chiaro della propria condivisione, come ad esempio in contesto promemoria su come i contenuti nascosti dalla Timeline possono ancora apparire in feed di notizie, di ricerca, e in altri luoghi. Facebook spiega di  tendere a tre principali obiettivi: portare i controlli nel contesto in cui si condivide, aiutare a capire ciò che appare, come si usa Facebook, e fornire strumenti che consentono di agire sui contenuti che non piacciono.

Fino ad ora, se si desidera cambiare la propria privacy e controllare la Timeline su Facebook, si ha bisogno di fermare ciò che si sta facendo e navigare attraverso un insieme separato di pagine. Oggi Facebook sta annunciando degli shortcuts (scorciatoie) che si potranno facilmente raggiungere. Nella barra superiore del profilo comparirà un nuovo menù a cui si potrà accedere cliccando su una icona a forma di lucchetto che consentirà di modificare alcune impostazioni sulla privacy senza spostarsi su un'altra pagina Facebook.

In qualunque luogo del social network ci si trovi sarà possibile aprire un menù a tendina e vedere apparire shortcuts con titoli del tipo "Chi può vedere quello che pubblico?", "Chi mi può contattare?" e "Come faccio a far sì che qualcuno smetta di darmi fastidio?". Facebook provvederà poi a suddividere le opzioni privacy relative all'aggiunta di nuove applicazioni sociali. Se prima in un solo riquadro veniva chiesto il permesso di utilizzare i propri dati per personalizzare l'esperienza e di poter postare gli aggiornamenti su Facebook.

A partire dalle prossime settimane Facebook provvederà a sottopore all'utente due richieste differenti. Per esempio, una persona può concedere a un'app musicale la capacità di leggere il proprio profilo pubblico e l'elenco amici per personalizzare la propria esperienza nell'app, ma rifiutarsi di permettere di inviare ciò che ascolta su Facebook per loro conto. Molte delle applicazioni che si usano si sposteranno su questo nuovo modello, ma alcune non lo faranno, per esempio, le applicazioni giochi su Facebook.com non cambieranno.

Per ulteriori informazioni su come queste nuove autorizzazioni funzionano, Facebook rimanda al suo blog degli sviluppatori. Con le nuove modifiche andrà in pensione la vecchia impostazione "Chi può cercare la cronologia per nome?" che permetteva di nascondere il proprio nome dalla ricerca di Facebook. Dato che è possibile comunque trovare un utente in altro modo, Facebook ha ritenuto opportuno rimuovere questa funzione. L'opzione, attraverso la barra ricerca, verrà rimossa dapprima per tutti tranne per chi la sta usando.

Facebook è iniziato come un servizio di directory per gli studenti universitari, e oggi offre una varietà di servizi, come il flusso di notizie, caricamenti di foto e messaggistica mobile. Come si sono evoluti i suoi servizi, anche le sue impostazioni. L'ambiente di ricerca è molto limitato, e non impedisce alle persone di trovare altri in altri modi. A causa della natura limitata del setting, Facebook lo ha rimosso per gli utenti che non lo sta usando, e ha costruito nuovi strumenti contestuali, insieme con l'educazione su come usarli.

Nelle prossime settimane, andrà in pensione questa impostazione anche per la piccola percentuale di persone che ancora la stanno utilazzando. Insieme con lo sforzo complessivo di continuare a portare avanti i controlli della privacy, Facebook sta aggiungendo avvisi contestuali su tutta la piattaforma. Per esempio, ha creato una serie di messaggi per aiutare gli utenti a capire, nel suo contesto, che il contenuto condiviso che si può nascondere dalla Timeline può comuque ancora apparire nei feed di notizie, di ricerca e in altri luoghi.

L'anno scorso Facebook ha introdotto il Registro attività. Il Registro attività rende facile vedere le cose che vengono postate su Facebook, modificare il pubblico delle foto passate e altre condivisioni, e scegliere ciò che appare sulla Timeline. Il Registro attività aggiornato consiste in una nuova navigazione, in modo da poter rivedere la propria attività su Facebook, come ad esempio i Like e commenti, le foto, e post in cui si è taggati. Con il nuovo Activity Log sarà più semplice avere una panoramica istantanea di tutte le azioni.

Si dispone anche di nuovi modi per ordinare le informazioni, ad esempio ora è possibile vedere rapidamente le foto pubbliche in cui si è taggati e nascosti dalla Timeline, ma che ancora appaiono in altri luoghi su Facebook. Nuovi strumenti per gestire la richiesta di rimozione del contenuto. All'interno del Registro delle attività aggiornato, adesso si avrà una richiesta e uno strumento di rimozione per agire su più foto in cui si è stati taggato. Se non si desidera, ora è ancora più facile chiedere alla gente che li ha inviati di rimuoverli.

Andare alla scheda "Foto di te", selezionare più foto, e chiedere agli amici di rimuovere i tag che non piacciono. Si può anche includere un messaggio sul perché questo è importante. Lo strumento consente anche di Untag su più foto in una sola volta, tenendo presente che mentre le foto senza tag non vengono visualizzati sulla timeline, possono ancora apparire in altri luoghi su Facebook, come la ricerca, news feed, o timeline degli amici. Questi aggiornamenti e nuovi strumenti inizieranno a rotazione alla fine del 2012.

Venduti 1 milione ID Utente e Email Facebook raccolte con Apps per 5 $

Il blogger bulgaro Bogomil Shopov ha scritto martedì di aver acquistato un foglio di calcolo contenente 1.100.000 ID utente di Facebook e indirizzi e-mail per 5 dollari. I dati sono stati presumibilmente raschiati da applicazioni di terze parti e offerti in vendita su un sito Web chiamato Gigbucks.com da un utente denominato "mertem". Shopov ha verificato che le e-mail conformi agli ID utente di Facebook, erano per la maggior parte di loro private.  

Shopov ha individuato nella lista anche persone che conosce. Il giorno dopo, è stato contattato dal team delle policy della piattaforma Facebook. Secondo una versione cache della pagina di vendita su Gigbucks, le informazioni sono state raccolte per lo più da utenti di lingua inglese di Facebook negli Stati Uniti, Canada, Regno Unito e in Europa. Una lunga lista di utenti soddisfatti nella parte inferiore della pagina testimonia l'accuratezza delle informazioni.

Sulla pagina si legge: "Le informazioni contenute in questo elenco sono state raccolte attraverso le nostre applicazioni di Facebook e constano soltanto di utenti attivi Facebook, in gran parte degli Stati Uniti, Canada, Regno Unito e Europa. Ci sono utenti di altri paesi, ma sono quasi esclusivamente in lingua inglese e, come tutte le applicazioni che offriamo sono scritte in inglese e per utilizzarle in modo corretto si ha la necessità di leggere le istruzioni." 

Ed ancora: "La lista è verificata e convalidata una volta al mese in modo da non avere una lista completa di indirizzi email non validi o duplicati. Sia che si sta offrendo un prodotto in generale su social media Facebook, Twitter, o di altro tipo, questa lista ha un grande potenziale per voi. Infine, la lista è uno split zip in formato excel in 12 fogli, ogni foglio contiene circa 100.000 indirizzi e-mail con nome, cognome e informazioni sul profilo facebook separati da virgola".

Facebook ha investigato sull'apparente violazione dei dati dei suoi utenti, che potrebbe portare ad attacchi di spam e phishing, e ha detto in un comunicato a Forbes che lo scraping delle informazioni è avvenuto prelevando i dati pubblici degli utenti, piuttosto che dalla raccolta attraverso un'applicazione. Vale la pena notare che Shopov dice che alcuni dei messaggi di posta elettronica selezionati dalla lista non sono erano pubblici, mettendo in dubbio la teoria della raschiatura.

Dunque i dati sarebbero stati raccolti dalle applicazioni di Facebook ma non si limiterebbero alle informazioni prelevate da profili pubblici. E' possibile però che gli utenti abbiano reso visibili pubblicamente i loro indirizzi e-mail in un momento precedente. Shopov confermato questi eventi a Mashable: "In risposta al mio post precedente circa 1.000.000 di account facebook che ho comprato per 5 $ , ho ricevuto questo invito da Facebook", scrive il blogger in un post sul suo blog.

"Hi Bogomil, - scrive Facebook - We’d like to set up a call with you to discuss a recent blog post of yours. Could you please provide a time and a phone number that works with your schedule? Thanks, Platform Policy Team Facebook". Che tradotto in italiano: "Ciao Bogomil,  vorremmo chiamarti per discutere su un recente post sul tuo blog. Ti preghiamo di fornirci del tempo e un numero di telefono funzionante? Grazie, il team delle policy della piattaforma Facebook".

"Ho avuto una conversazione con loro (Facebook ndr) per questo ho pubblicato ciò sul mio blog", racconta Shopov. "Non volevo lasciare questa impressione su di me, e ci siamo accordati su come trasferire i dati a loro. Ho fornito i dati a Facebook attraverso il loro sistema sicuro. Ho promesso di cancellare i dati, e l'ho fatto". Shopov ha condiviso uno screenshot  sul sicuro trasferimento dei dati. Il venditore ha detto che i dati provengono da un'applicazione su Facebook.

Il team di Facebook ha ringraziato Shopov, ma gli ha anche chiesto di non condividere le informazioni sulla loro conversazione nel suo profilo e il suo blog: "...dicci se hai dato una copia a qualcuno, fornisci il sito da cui hai acquistato tra cui tutte le operazioni con esso e il sistema di pagamento e rimuovi una coppia di cose dal tuo blog. Oh, a proposito, non ti è permesso di rivelare qualsiasi parte di questa conversazione, ma è un segreto che stiamo avendo in questa conversazione".

Shopov ha anche trasmesso il testo di una e-mail che ha ricevuto da "Josef" di Gigbucks, spiegando che questo elenco è in chiara violazione dei loro termini. "Ciao, io sono l'amministratore di Gigbucks e volevo farti sapere che abbiamo eliminato gli ID degli utenti Facebook dal nostro server, che chiaramente non possono essere offerti su Gigbucks, e abbiamo bloccato l'account 'mertem' per violazione dei nostri termini e condizioni (...)", ha scritto Gigbucks in una e-mail.

"Mi scuso e ci adopereremo per migliorare il nostro processo di revisione per assicurarci che queste cose non vengano pubblicate su Gigbucks nuovamente. Per favore fammi sapere se c'è altro altro che possiamo fare". In effetti l'account di "mertem" è stato eliminato ma, dalla visualizzando la copia cache del suo profilo su  Gigbucks, è possibile leggere anche l'annuncio della messa vendita di 310.000 e-mail valide di altrettanti utenti Twitter attivi. Sul post mertem scriveva:

"Le informazioni contenute in questo elenco sono state raccolte attraverso le nostre applicazioni su Twitter negli ultimi 6 mesi e constano solo di utenti Twitter attivi. Questo elenco è stato raccolto in esclusiva da noi e non è stato utilizzato da chiunque fino ad ora a differenza di altre liste a disposizione del pubblico che sono per lo più utilizzate da migliaia di persone. Gli utenti di questo elenco provengono in gran parte degli Stati Uniti, Canada, Regno Unito e in Europa".

"Ci sono utenti di altri paesi, ma sono quasi esclusivamente in lingua inglese e, come tutte le applicazioni che offriamo sono scritte in inglese e per utilizzarle  in modo corretto bisogna necessariamente leggere le istruzioni. Ci sono esattamente 311.288 e-mail nella lista. Si che si vuole promuovere un prodotto o un servizio su Twitter e Facebook, questa lista ha un grande potenziale per voi". La persona che vende la lista sarebbe dunque un developer di applicazioni.

Tale sviluppatore ha usato applicazioni Facebook e Twitter per raccogliere informazioni sugli utenti per un periodo di sei mesi. Quel che è certo è che nessuna password di Facebook e Twitter è fuoriuscita con le e-mail degli utenti. Un rappresentante di Facebook ha risposto alla richiesta di commento da parte di Mashable: "Facebook è vigile per proteggere i nostri utenti da parte di chi avrebbe cercato di esporre qualsiasi tipo di informazioni sugli utenti".

"In questo caso, - continua Facebook - sembra che qualcuno abbia cercato di raschiare le informazioni dal nostro sito. Abbiamo tecnici della sicurezza dedicati e team che guardano dentro e intraprendono azioni aggressive proprio da relazioni come queste. Continuiamo a indagare su questo individuo specifico". Secondo uno studio pubblicato ad ottobre dell'anno scorso, alcuni importanti siti Web hanno trapelato il nome utente o l'ID utente a terze parti.

Questo problema pone, ovviamente, problemi di privacy per gli utenti di Facebook. Proprio in queste ore  il social network sta chiedendo di verificare il proprio numero di telefono, come procedura di sicurezza. Nel caso delle applicazioni di terze parti, si tratta di fornire i privilegi quando si connettono al vostro account. La maggior parte hanno accesso ai dati privati ​​sul profilo (indirizzo e-mail, comportamento degli utenti) e alcune permettono di accedere anche a questi dati degli amici.

Gran parte delle applicazioni vengono utilizzate per esperienze e giochi sociali. Ma è relativamente facile per uno sviluppatore di applicazioni dannose raschiare le informazioni in un database e venderlo per marketing  agli spammer, l'intenzione probabile in questo caso. Come ci si può proteggere? Siate consapevoli delle applicazioni che si connettono al vostro account Facebook.

Utilizzate solo applicazioni attendibili da editori affermati, e anche allora, non collegate molte di queste app al vostro profilo. Controllate le vostre applicazioni spesso e rimuovete quelle indesiderate o sconosciute. Andate alle vostre impostazioni di privacy, fate clic su Inserzioni, applicazioni e siti Web e rimuovete le applicazioni che non state utilizzando o che potrebbero essere state collegate al vostro account involontariamente.

Controllate cosa possono vedere di voi le applicazioni utilizzate dai vostri amici. Anche se non si dispone di app connesse al vostro account, le informazioni private condivise con gli amici potrebbero essere accessibili alle app stanno utilizzando. Se non si utilizzano applicazioni o giochi, è possibile disattivare completamente la piattaforma di Facebook, che ridurrà l'accesso esterno dei vostri dati personali a sviluppatori di terze parti completamente.

Fare clic su Disattiva la possibilità di utilizzare applicazioni nella prima sezione. Quando disattivate tutte le applicazioni della Piattaforma, il vostro ID utente non viene più fornito alle applicazioni, anche quando vengono utilizzate dai i amici. Tuttavia, non potrete più utilizzare giochi, applicazioni o siti Web attraverso Facebook. Per maggiori in formazioni vi rimandiamo alla sezione specifica sulla normativa dell'uso dei dati da parte di Facebook.

Stalkbook: scoprire tutte le informazioni di un profilo Facebook non amico

Se siete laureati alla ricerca di un lavoro o di lavoro professionale, se desiderate mantenere la vostra carriera e vita personale separati, è probabile che avrete meticolosamente gestito le impostazioni della privacy di Facebook in modo che gli estranei non sono in grado di visualizzare le vostre foto, i check-in sul social network, e altre informazioni private. Tuttavia, anche se pensate di avere tutto sotto controllo, uno sviluppatore Web ha trovato un modo per aggirare l'intero sistema di privacy di Facebook che permetterà a chiunque di vedere il vostro profilo se avete amici in comune.

Mentre Mark Zuckerberg è riuscito a depositare il suo primo brevetto sulla privacy dei profili, chiamato opportunamente Stalkbook, il giovane laureato al Massachusetts Institute of Technology (MIT) Oliver Yeh ha creato un'applicazione Facebook che raccoglie i dati degli utenti come gli sviluppatori di terze parti accedono alle informazioni di Facebook tramite l'API della piattaforma. Queste informazioni permettono di visualizzare le informazioni personali di Yeh ad un estraneo, che può sostanzialmente sfruttare e condividere su Stalkbook. Yeh spiega un esempio, come riporta il sito di tecnologia Digital Trends.

"Con questa API, potrò avere accesso alle informazioni del mio amico Trevor. Stalkbook non fa altro che passare attraverso tutte le informazioni di un utente e le informazioni di tutti gli amici dell'utente e memorizzare una copia cache del sito, in modo che quando qualcun altro visita Stalkbook, può avere accesso ad una versione cache dei dati di Facebook, anche se non si dispone dell'autorizzazione per accedere alle informazioni di Trevor", ha spiegato il ricercatore a IEEE. In parole semplici, l'applicazione funziona mettendo l'utente, sotto le sembianze del proprio amico di Facebook in modo da poter visualizzare le informazioni personali di un altro profilo di cui non è amico.

E come altre persone si iscrivono a Stalkbook, si ottiene un effetto di rete, in cui basta forse il 10 per cento di Facebook per riuscire a compromettere dall'80 al 90 percento di Facebook. Si scopre così che il problema della privacy di Facebook è anche peggiore di quanto pensassimo. Per le persone sulla rete, c'è un problema simile. Se state evitando le applicazioni, sia che si tratti Farmville o Huffington Post, perchè le applicazioni  vogliono l'accesso a tutte le informazioni, si scopre che restare lontani da loro non è sufficiente. Se i vostri amici hanno espresso il consenso, le applicazioni non solo compromettono la privacy dei vostri amici, ma anche la vostra.

Perchè non avere il controllo su come i vostri amici usano i loro account, non si ha un controllo effettivo sul proprio. Ad esempio, ecco i termini di servizio per l'Huffington Post: "Facendo clic su 'Visita il sito' sopra, questa app riceverà: le vostre informazioni di base, le informazioni sul profilo, descrizione, data di nascita, interessi e gusti. Questa applicazione può postare sul vostro account, compresi gli articoli che leggete e altro ancora". Per dimostrare quanto sia grave il problema della privacy vi sarà un prossimo hackathon sponsorizzato dal sito TechCrunch. Se questo ciò è un pò troppo complicato, questo diagramma dovrebbe semplificare:

(Credit: Sandy Woodruff)

Ci sono alcuni fattori che potrebbero impedire a Stalkbook di essere messo a disposizione del pubblico generale. Sfortunatamente per Yeh e fortunatamente per gli utenti di Facebook, infatti, Stalkbook va contro i termini di servizio di Facebook (Dichiarazione dei diritti e delle responsabilità). Nella sezione Sicurezza dei TOS di Facebook, il punto numero cinque afferma chiaramente: "Non cercare di ottenere informazioni di accesso o accedere ad account di altri utenti". Mentre è normale per gli sviluppatori di ricevere alcuni dati degli utenti per eseguire le loro applicazioni, è contro le policy di Facebook ottenere informazioni e l'accesso all'account che appartengono a qualcun altro.

Secondo le disposizioni speciali per le applicazioni degli sviluppatori, il punto numero cinque della linea guida precisa inoltre che "I dati degli utenti non verranno utilizzati, visualizzati, condivisi o trasferiti in modo non conforme alla normativa sulla privacy. CNet ha contattato Facebook per un commento su questa storia. E' stato detto che la società non è in grado di fornire un commento sull'app di Yeh. Un portavoce di Facebook ha, tuttavia, indicato una sezione delle loro Use Policy dati dal titolo "Controllo di quali delle tue informazioni vengono condivise dagli altri utenti quando utilizzano le applicazioni".

Questa pagina web spiega tutto sulla condivisione e resharing delle informazioni su Facebook, ma l'ultima riga di questa sezione è quella che si applica qui: "Se un'applicazione richiede l'autorizzazione ad altri per accedere alle tue informazioni, tale applicazione potrà utilizzare dette informazioni esclusivamente in relazione alla persona che ha fornito l'autorizzazione e a nessun altro". Potete controllare la maggior parte delle informazioni che gli altri possono condividere con le applicazioni che usano tramite le impostazioni Inserzioni, applicazioni e siti Web. Questi comandi, tuttavia, non vi consentono di limitare l'accesso alle vostre informazioni pubbliche e alla lista dei vostri amici.

Facebook riduce lo spam dei contenuti introducendo un tempo di attesa

Da quando è stato introdotto il Facebook Open Graph e il nuovo layout Timeline, molte applicazioni sociali condividevano automaticamente un certo contenuto sul diario stesso o sul news feed dell'utente. Ciò ha portato all'aumento di spam e pertanto il team di sicurezza Facebook ha deciso di ridurre la quantità di contenuti condivisi senza specifico consenso da parte dell'utente.

"Se odiate l'accidentale auto-sharing, siete fortunati. Ora se state guardando o leggendo qualcosa, dovete attendere per almeno 10 secondi prima che l'apps Facebook possa auto-condividere l'attività al vostro Timeline. Questo dovrebbe ridurre drasticamente la quantità di click-esca spazzatura da articoli e video che vedete nel news feed e ticker", scrive Josh Constine di TechCrunch.

Per dare agli utenti la migliore esperienza, Facebook sta introducendo diverse nuove linee guida di pubblicazione per l'Open Graph. Nei casi in cui questi cambiamenti richiedono di modificare un'app esistente, si hanno 90 giorni per completare l'aggiornamento della sua Breaking Change policy. Il feedback ottenuto da queste linee guida ha indirizzato Facebook alle migliori pratiche che incoraggia di seguire a tutti coloro che lavorano sulla piattaforma, anteponendo l'esperienza degli utenti.

Ora l'utente dovrà leggere una notizia o guardare un video per un minimo di dieci secondi prima che la relativa applicazione vada a condividerli automaticamente sulla Timeline o sul flusso delle notizie. Inoltre, agli sviluppatori viene imposta una regola precisa: l’utente dovrà anche essere informato tramite notifica ogni qualvolta il contenuto verrà condiviso con gli altri e sarà possibile scegliere, tramite una nuova funzione, di disattivare lo sharing automatico dello stesso.

Per rimanere aggiornati su tutti i cambiamenti futuri, poetete iscriverti al suo Developer Blog, dove saranno annunciate tutte le modifiche di rilievo. È anche possibile controllare la tabella di marcia Developer per vedere un elenco completo di tutti i cambiamenti imminenti. Per testare le ultime modifiche in anticipo, è possibile utilizzare le Migrazioni. Se vengono trovati dei problemi gli sviluppatori possono segnalare un bug a Facebook e taggare la foto con il "breaking change".

Gli sviluppatori di Facebook hanno inoltre recentemente aggiunto ai propri requisiti più checklist di auto-sharing più completi che le applicazioni devono seguire. Facebook ha lanciato le applicazioni sociali 6 mesi fa, nelle quali gli utenti autorizzano un app una volta ed è quindi possibile pubblicare sul loro account quando prendono certe azioni. Ma piuttosto che i requisiti precisi per i controlli della privacy ha solo incoraggiato la best practice che gli sviluppatori "dovrebbero" seguire.

Purtroppo a molti sviluppatori interessa solo la massimizzazione del traffico rinviato e non conta utente o la sua esperienza su Facebook. Fortunatamente, le applicazioni video sono ora più strettamente controllate. Questo è importante perché a differenza delle applicazioni utility o lettori di news dove la maggior parte dei contenuti è creata da professionisti o ci sono poche possibilità di inganno, applicazioni video spesso generano contenuti dalle  caratteristiche che possono essere fuorvianti.

Ricordiamo che nelle linee di Facebook generali applicabili a tutti gli usi consentiti dei marchi, bisogna evitare di utilizzare i marchi in modo da suggerire qualunque tipo di associazione o partnership con Facebook o approvazione, sponsorizzazione o sostegno da parte del social network. Ovviamente non bisogna usare i marchi di Facebook in modo ingannevole, dannoso, osceno o che potrebbe in altro modo sollevare dubbi sulla condotta di Facebook. Non è possibile usare marchi, logo o qualsiasi altro contenuto che sia troppo simile ai marchi di Facebook.

L'uso di tutti i marchi di Facebook è soggetto ai termini e alle politiche di Facebook, compresa la Dichiarazione dei diritti e delle responsabilità e la Normativa sulla privacy, per la quale il social network ha in queste ore promosso un referendum ai propri iscritti. Se l'utente medio sarà a proprio agio con questa nuova funzione dell'auto-sharing a tempo, bisogna pensare sempre prima di far click su un contenuto o condividerlo istantaneamente, perchè ciò potrebbe diffondere spam a tutti i propri amici.

Mozilla Firefox 10 disponibile per download, novità e risoluzione bug

Mozilla ha rilasciato la versione 10 di Firefox disponibile sul sito di Mozilla. "Firefox 10 per Windows, Mac e Linux introduce potenti strumenti per gli sviluppatori e rende più semplici gli aggiornamenti rendendo i componenti aggiuntivi compatibili per impostazione predefinita", si legge sul sito di Mozilla Europe. Firefox 10 introduce potenti strumenti per gli sviluppatori e rende più semplici gli aggiornamenti rendendo i componenti aggiuntivi compatibili per impostazione predefinita. La nuova versione del browser di casa Mozilla integra una serie di strumenti che permettono agli sviluppatori di cambiare aspetto e funzionalità dei siti web in tempo reale. Con Page Inspector -strumento di Analisi Pagina - è possibile “sbirciare” nella struttura e nel layout di una pagina web senza dover uscire da Firefox. Ciò significa poter navigare velocemente tra gli elementi di una pagina, nonché visualizzarne la struttura HTML. Lo strumento di Analisi Stili (Style Inspector) inoltre rende più semplice modificare lo stile dei siti web. Gli sviluppatori hanno accesso veloce alle proprietà CSS e possono visualizzare o cambiarne i valori utilizzando per i propri siti direttamente Firefox.

Cosa c'è di nuovo

• Il pulsante in avanti è ora nascosto fino a quando non si torna indietro
• La maggior parte dei componenti aggiuntivi sono ora compatibili con le nuove versioni di Firefox per default
• Anti-Aliasing per WebGL è da adesso implementata (bug 615976)
• CSS3 3D Transforms sono ora supportati (bug 505115)
• Nuovo elemento per il bi-direzionale isolamento testo, insieme con il supporto proprietà CSS (bug 613149 e 662288)
• API Schermo intero consentono di creare un'applicazione web che gira a pieno schermo (vedere la pagina delle caratteristiche)
• Mozilla ha aggiunto IndexedDB API per abbinare più da vicino le specifiche
• Ispezionare lo strumento con evidenziazione dei contenuti, include nuove CSS Style Inspector
• Mac OS X - dopo aver installato l'ultima versione di Java da parte di Apple, Firefox potrebbe bloccarsi quando si chiude una scheda con un applet Java installato (bug 700835)
• Alcuni utenti potrebbero sperimentare un crash quando si spostano i segnalibri (bug 681795)

Il “blocco per gli appunti” (Scratchpad) ora utilizza il code editor Eclipse Orion per fornire evidenziazione della sintassi ed altre caratteristiche che rendono più semplice la scrittura di codice JavaScript. Firefox 10 introduce il Mozilla API Full-Screen per lo sviluppo di siti e applicazioni web a schermo intero. La nuova release del browser aggiunge inoltre supporto alle funzioni che semplificano la realizzazione di esperienze web in 3D con tecnologie open. Mozilla è stato pioniere nell’utilizzo all’interno del suo browser di WebGL, uno standard web che consente a siti ed applicazioni di realizzare grafica in 3D senza l’utilizzo di software di terze parti. Firefox ora supporta Anti-Aliasing per WebGL, uno strumento che permette di creare oggetti che si combinano tra loro e che possono essere spostati agevolmente. Inoltre supporta CSS 3D Transforms, per animare e trasformare in 3D elementi bidimensionali utilizzando HTML5, senza che siano necessari plugin di terze parti. Contestulamente è stato rilasciato Firefox per Android (note di rilascio qui). E' possibile installare l'aggiornamento dal browser (Firefox / Aiuto / Informazioni su Firefox) o dal sito ufficiale di Firefox.

Vulnerabilità in ASP.NET può consentire attacco DDos, patch a breve

Il 29 dicembre 2011, alle 10:00 ora del Pacifico Microsoft rilascerà un aggiornamento out-of-band di protezione per risolvere una falla critica di sicurezza (CVE-2011-3414) che si trova in ASP.NET, che colpisce tutte le versioni supportate di .NET Framework, che potrebbe consentire un attacco denial-of-service (DDoS) su server che servono pagine ASP.NET. Questi attacchi che sfruttano le tabelle hash, conosciuti come hash collision attacks, non sono specifici di tecnologie Microsoft, ma altri fornitori software di web service potrebbero risentirne. In un advisory pubblicato Mercoledì , il produttore di software ha detto che era consapevole del fatto che informazioni dettagliate erano state pubblicate per descrire gli attacchi di collisione hash.

Ed ha osservato: "[La vulnerabilità] interessa tutte le versioni di Microsoft NET framework e può condurre ad un attacco tipo denial-of-service non autenticato sui ​​server che servono le pagine ASP.NET. La vulnerabilità è dovuta al modo in cui ASP.NET processa i valori in un modulo post ASP.NET causando una collisione hash. E' possibile che un utente malintenzionato invii un piccolo numero di messaggi appositamente predisposto a un server ASP.NET, causando la degradazione in modo significativa delle prestazioni sufficienti a causare una condizione di negazione del servizio [DDos]". Anche se le informazioni sono già all'esterno e gli hacker potrebbero approfittarne, Microsoft è a conoscenza di attacchi attivi che si basano su questo difetto.

Fino a quando l'aggiornamento non verrà rilasciato, gli utenti dovrebbero sapere che per default IIS non è abilitato per le versioni attualmente supportate dal sistema operativo e i siti che non consentono application / x-www-form-urlencoded o multipart / form-data di contenuto types HTTP non sono suscettibili di un attacco. Fondamentalmente, i siti che servono solo contenuto statico o quelli che respingeono i tipi di contenuti dinamici di cui sopra non sono vulnerabili. Per aggirare il problema, Microsoft ha suggerito agli operatori Web configurare il limite della dimensione massima richiesta che ASP.NET accetta da un cliente, pena la diminuzione della suscettibilità di tali attacchi. Microsoft ha lavorato con i partner nel suo Active Protections Program (MAPP).

L'aggiornamento verrà reso disponibile per tutte le versioni di Windows, incluso Windows XP Service Pack 3, Windows Server 2008 e Windows 7 per sistemi a 64 bit. A tutti gli utenti del sistema operativo Windows si consiglia di installare l'aggiornamento al più presto appena verrà rilasciato per evitare spiacevoli incidenti. Per ora non ci sono ulteriori dettagli sul problema che riguarda Windows 7 64-bit, ma a giudicare da quello che Microsoft ha rivelato sul suo blog tedesco la scorsa settimana, è improbabile che qualcosa verrà rilasciata molto presto. Michael Kranawetter non ha fornito altri dettagli ed ha detto che "le indagini sono ancora in corso, perchè i passi necessari da intraprendere non sono ancora stati definiti". Il gigante del software pubblicherà una patch, una volta completa la sua indagine.

Informazioni su ASP.NET

ASP.NET è una tecnologia Microsoft che lavora con file compilato interpretato dal server e restituito come HTML. ASP.NET è molto produttivo per quanto riguarda lo sviluppo di Web applicazioni. La migliore programmazione enviroment per la maggior parte delle applicazioni web è ASP.NET. Per applicazioni Web, ASP.NET consente l'utilizzo di Visual Studio, che offre molti vantaggi e aiuta il programmatore a creare applicazioni in modo rapido. Lo sviluppo di applicazioni Web, ad esempio con Java, richiede più tempo per la sua maggiore difficoltà, e questo si traduce in minor produttività. Inoltre, le innumerevoli componenti ASP.NET sono già disponibili per l'uso, e questa disponibiltà diminuisce anche il tempo necessario per lo sviluppo di una nuova applicazione.

Mozilla rilascia Firefox 6: maggiore velocità, nuove funzioni e bug corretti

Mozilla ha rilasciato Firefox 6, l'ultimo aggiornamento per il popolare web browser. Mentre una pre-release build di Firefox 6 è stato resa disponibile la scorsa settimana, la versione ufficiale Firefox 6 è appena stata lanciata. A sei settimane dal rilascio di Firefox 5, l'ultimo aggiornamento porta numerose nuove caratteristiche, migliori prestazioni e bug corretti, ma nulla di innovativo. I tempi di avvio del browser sono stati ulteriormente ridotti grazie al lavoro degli ingegneri Mozilla, mentre alcuni cambiamenti alla barra degli indirizzi permettono di comprendere più velocemente l’indirizzo del sito web che si sta visualizzando. "Il nuovo 'menu develeper' in Firefox offre un facile accesso agli strumenti che consentono agli sviluppatori di costruire ed eseguire il debug siti web direttamente nel browser", scrive Mozilla sul suo blog. "Gli sviluppatori potranno godere del nuovo strumento Scratchpad, che rende semplice l'accesso in maniera rapida, l'esecuzione, il test e il perfezionamento degli snippet JavaScript in Firefox senza la necessità di lavorare in una sola riga della console", aggiunge. "La console Web è migliorata con una funzione di completamento automatico e la possibilità di personalizzare la posizione della console per risparmiare tempo agli sviluppatori", ha dichiarato Mozilla fornendo un run-down di sviluppo orientato degli aggiornamenti. Un cambiamento che i regolari utenti noteranno, è il blocco dell'identità del sito ridisegnato. L'elemento dell'interfaccia utente, che mette in luce se la connessione a un sito web tramite una connessione criptata, è ora più grande e più facile da individuare. Il dominio di un sito web è ora messo in evidenza, il che lo rende più facile da distinguere in un lungo URL. Per gli utenti Panorama Firefox 6 si avvia ora più velocemente, dal momento che vengono caricati solo i gruppi Panorama che sono attivi e selezionati. I Gruppi di schede (conosciuto anche come Panorama) è un modo facile per organizzare un gran numero di schede. Utilizzando Gruppi di schede è possibile raggruppare le schede visivamente, passare da un gruppo all'altro e cercare velocemente tra tutte le schede. Sotto il cofano, Firefox 6 ri-introduce il supporto per il protocollo Websockets che era stato rimosso in precedenza a causa di qualche problema di sicurezza e adesso riprogettato per i principali browser. Il nuovo supporto Window.matchMedia per API aiuta gli sviluppatori a ottimizzare il loro sito web o un'applicazione web attraverso diversi dispositivi e piattaforme. Sul fronte futuro, invece, il nuovo obiettivo di Mozilla sarà quello di ridurre il quantitativo di RAM utilizzata, da sempre "croce" di questo browser. Firefox 6 è scaricabile dal sito ufficiale o come aggiornamento dal menu opzioni del browser.