Categories
di tutto un po'

Hackin9

Ho finalmente finito di leggere lo scorso numero di Hackin9 gentilmente regalatomi dall’editore polacco. Devo ammettere che non conoscevo la rivista e che quando l’ho vista in edicola ho subito pensato all’ennesima cacchiata ricca di tutorial strampalati sui buffer overflow per il c64 o su come bucare improbabili protocolli talmente sperimentali da non essere usati pressochè da nessuno.

Invece si è rivelata una piacevole sorpresa, la linea editoriale è la stessa di PHP Solutions che già compro dal primo numero e che già apprezzo, gli articoli sono abbastanza approfonditi e spiegano con parole chiare concetti spesso complicati (un buon lavoro di traduzione non c’è che dire).

Pecca grossa, che è presente cmq anche in PHP Solutions, è che le immagini, le tabelle ed i grafici non sono mai nella pagina dove vengono citati, obbligando il lettore a sfogliare una (o addirittura 2 pagine!).

Resta comunque un’ottima rivista soprattutto paragonate a quelle ultimamente presenti nelle edicole italiane sempre meno tecniche e più dedicate alla massa.

ciuaz

Categories
altri linguaggi webdev

Venkman per Firefox 1.5

Finalmente è stato aggiornato Venkman il debugger Javascript per Firefox, la nuova versione funziona difatti con la famiglia 1.5 del browser.

In realtà però non si tratta di una vera e propria versione nuova, ma di un hack fatto da un utente che necessitando del debugger ha preferito aggiornarselo da solo piuttosto che aspettare qualche news ufficiale (anche perchè il progetto è fermo da oltre un anno).

ciuaz

Categories
php sysadmin

MD5 non più sicuro

Pare sia stato reso pubblico l’algoritmo per ottenere collisioni con MD5. Per dovere di cronaca l’MD5 è un algoritmo non reversibile che data una stringa ne calcola un hash (in teoria univoco) spesso usato per criptare i dati, inoltre viene definito collisione il caso in cui due differenti stringhe abbiano lo stesso hash.

Il fatto che sia stato trovato un metodo per trovare stringhe che collidono tra di loro porta l’MD5 ad essere un algoritmo insicuro in quanto non garantirebbe più l’unicità dei dati ottenuti dalla funzione di hashing, inoltre pensate che da un test fatto basterebbe meno di un ora per trovare una stringa su un p4 ad 1.6GHz.

Per farvi capire la criticità della scoperta pensate che la maggior parte delle applicazioni php usa come unico metodo di criptazione delle password MD5. Immaginate cosa potrebbe fare un utente malintenzionato che in qualche modo riesce ad ottenere accesso al db con i dati utente, o al semplice cookie dell’utente dove molti, imprudentemente, salvano il valore della stringa hash della password.

Beh, è tempo di passare tutti a SHA-2!

ciuaz