Autore: 朱莉娅酷 Data: To: hackmeeting Oggetto: Re: [Hackmeeting] Digest di Hackmeeting, Volume 141, Numero 34
On 24/05/2016 12:56, N. sentenzioso wrote: > Non so se mi sembra così interessante per un talk. Potrebbe essere interessante vedere come riesce a superare gli antivirus, magari. gli antivirus sono una barzelletta da oltre un decennio. da quando tavis
ormandy ha iniziato a sviscerarli per project zero, come barzelletta non
fanno neanche più ridere
On 24/05/2016 13:02, gin(e) wrote: > Se usi ancora windows nella tua azienda ed incorri nei suoi problemi
> arcinoti, non significa che sia qualcosa di interessante di cui
> discutere. non siamo più nel 1998 o quand'è stato che hai smesso di usare Windows,
Windows è il sistema operativo più sicuro del mondo dopo iOS e Microsoft
la compagnia che in assoluto prende più seriamente la sicurezza. e non
sto neanche trollando
On 24/05/2016 15:10, void wrote: > a me sembra sensata la domanda di chiede di parlare all'hackmeeting di queste cose, di malware, di come i browser sono diventati un colabrodo, di come riconoscere il phishing etc etc il mio talk sull'interazione uomo-macchina e il dannosissimo concetto
dell'"errore umano" (che chissà come mai è sempre un errore
dell'operatore o dell'installatore e mai del progettista, quello non lo
chiamano mai "errore umano") allora è caduto completamente nel vuoto. mi
sa che mi toccherà farne uno sulla usable security, ma non so se faccio
in tempo a prepararlo per quest'anno (anzi lo escludo)
tipo ma perché in questi tempi di connessioni wifi (e quindi
assolutamente non sicure, basti pensare al concetto stesso di "captive
portal" che è un mitm "a fin di bene" ma sempre un mitm è) le
connessioni http in chiaro, con le credenziali in chiaro, i dati in
chiaro e codice eseguibile in chiaro appaiono assolutamente normali nei
browser, mentre una connessione https a cui magari è solo scaduto il
certificato un'ora fa spara le sirene e gli allarmi e i lucchetti rotti
anche se realisticamente è un milione di volte più sicura di quella
http? e com'è che gli sviluppatori open source non sprecano quei due
spiccioli che servono a mettere una firma digitale al loro software? che
se firmano digitalmente un download lo fanno con una firma PGP detached
che va scaricata a parte, verificata a parte con un programma a parte,
che è brutto, non si capisce un cazzo e ti dà responsi criptici basati
su una web of trust che in tutta sincerità ma chi cazzo ha mai costruito
una web of trust in vita sua, e che tempo ha di farlo quando vuole solo
sapere se pigiastronzoli.exe è stato pubblicato o no da
allargaculi@???, con cui mai ha interagito entro il terzo
grado di separazione incluso, e mai lo farà? sinceramente.