Fol News

Tutti gli approfondimenti
Tutte le notizie

Facebook, se lo conosci.....

il titolo corretto è "società xyz, se la conosci..." perchè di c@g@te nel settore informatico ce ne sono a iosa. diventano da evitare nel momento in cui trapelano e/o creano problemi degni di nota. per il resto ciò che non sai non esiste :D
 
phantastic ha scritto:
il titolo corretto è "società xyz, se la conosci..." perchè di c@g@te nel settore informatico ce ne sono a iosa. diventano da evitare nel momento in cui trapelano e/o creano problemi degni di nota. per il resto ciò che non sai non esiste :D
Clicca per espandere...

Mai avuto un account Facebook :o .......sarà casuale :confused:

Nel 2019 password in chiaro :rolleyes:, neanche sul sito di un qualsiasi libero professionista soggetto a GDPR :rolleyes: sarebbe ammissibile, perfino i sassi sanno cosa siano gli algoritmi di hashing e il salt (ed è bene informarsi e pretenderli nei servizi che si usano).

Comunque, per chi l'ha, meglio cambiare password di Facebook e Instagram.
 
Ultima modifica:
occhio che FB si prepara come sistema si acquisto e pagamento...un meraviglioso viatico, direi:rolleyes:

gli hash li hanno inventati anche per evitare che l'azienda medesima sappia le password degli utenti (che è il minimo sindacale da cui partire)


comunque qui la cosa è stata deliberata: sono state programmate all'origine applicazioni per archiviare per uso interno (da parte dei 20 mila dipendenti...4 gatti insomma :)) le password degli utenti, in chiaro (con il rischio, anche , che ne entri in possesso l'universo mondo
 
però dai non facciamo disinformazione. la nota comunicata da facebook parla di password leggibili in file interni. non dice che memorizzano in chiaro tutte le password. c'è una bella differenza. non deve accadere sia chiaro però va riportata la realtà dei fatti
 
phantastic ha scritto:
però dai non facciamo disinformazione. la nota comunicata da facebook parla di password leggibili in file interni. non dice che memorizzano in chiaro tutte le password. c'è una bella differenza. non deve accadere sia chiaro però va riportata la realtà dei fatti
Clicca per espandere...

sì: come già detto erano disponibili per migliaia di dipendenti . in potenza(anche se non ancora in atto) , per l'universo mondo..qui si parla di una società che presto, sembra, farà da piattaforma do acquisto- pagamento...i dipendenti non devono potere sapere nulla al riguardo, macchè , scherziamo? :)
 
groviglio ha scritto:
comunque qui la cosa è stata deliberata: sono state programmate all'origine applicazioni per archiviare per uso interno (da parte dei 20 mila dipendenti...4 gatti insomma :)) le password degli utenti, in chiaro (con il rischio, anche , che ne entri in possesso l'universo mondo
Clicca per espandere...

qual è la fonte?
 
groviglio ha scritto:
occhio che FB si prepara come sistema si acquisto e pagamento...un meraviglioso viatico, direi:rolleyes:

gli hash li hanno inventati anche per evitare che l'azienda medesima sappia le password degli utenti (che è il minimo sindacale da cui partire)


comunque qui la cosa è stata deliberata: sono state programmate all'origine applicazioni per archiviare per uso interno (da parte dei 20 mila dipendenti...4 gatti insomma :)) le password degli utenti, in chiaro (con il rischio, anche , che ne entri in possesso l'universo mondo
Clicca per espandere...

Infatti :yes:

La sicurezza che la crittografia fornisce è proprio quella di impedire a chiunque l'accesso 'in chiaro', se non fosse così basterebbe un dipendente 'infedele' che si rivende il data-base sul dark web o un data breach (che a priori non può mai essere escluso a causa delle vulnerabilità di HW e SW) per mandare a pallino qualsiasi sicurezza sulle password di accesso.
 
phantastic ha scritto:
qual è la fonte?
Clicca per espandere...

la fonte è , positivamente, la stessa FB, che ha esternato (attenendosi anche , alle nuove leggi, anche questo positivo) il problema

ps ho sbagliato sul numero di potenziali utilizzatori interni: 2000 invece di 20000 (ovviamente non cambia la sostanza)
 
FogOnLine ha scritto:
Infatti :yes:

La sicurezza che la crittografia fornisce è proprio quella di impedire a chiunque l'accesso 'in chiaro', se non fosse così basterebbe un dipendente 'infedele' che si rivende il data-base sul dark web o un data breach (che a priori non può mai essere escluso a causa delle vulnerabilità di HW e SW) per mandare a pallino qualsiasi sicurezza sulle password di accesso.
Clicca per espandere...

o , senza andare sulla vendita del database, utilizzare alcune di quelle password per infiniti fini diversi (ad insaputa degli utenti presi di mira)
 
groviglio ha scritto:
la fonte è , positivamente, la stessa FB, che ha esternato (attenendosi anche , alle nuove leggi, anche questo positivo) il problema
ps ho sbagliato sul numero di potenziali utilizzatori interni: 2000 invece di 20000 (ovviamente non cambia la sostanza)
Clicca per espandere...

probabilmente ti riferisci a questa frase del loro comunicato "To be clear, these passwords were never visible to anyone outside of Facebook and we have found no evidence to date that anyone internally abused or improperly accessed them" che tu hai parafrasato in questa:
groviglio ha scritto:
comunque qui la cosa è stata deliberata: sono state programmate all'origine applicazioni per archiviare per uso interno (da parte dei 20 mila dipendenti...4 gatti insomma :)) le password degli utenti, in chiaro (con il rischio, anche , che ne entri in possesso l'universo mondo
Clicca per espandere...
 
phantastic ha scritto:
probabilmente ti riferisci a questa frase del loro comunicato "To be clear, these passwords were never visible to anyone outside of Facebook and we have found no evidence to date that anyone internally abused or improperly accessed them" che tu hai parafrasato in questa:
Clicca per espandere...

non solo(e con errori dimensionali, da parte mia, ammessi): qui trovi la "relata" della vicenda da parte di uno dei massimi esperti di sicurezza informatica mondiali(che parla anche di fonti interne anonime che hanno esposto alcune cose che nel comunicato ufficiale di FB non ci sono (comprensibilmente minimizzate...comunque , ripeto, positivo che FB abbia almeno evidenziato il problema, che non è una questione da poco, per quell che rappresenta FB e per quell che vuole fare in futuro (pagamenti))

Facebook Stored Hundreds of Millions of User Passwords in Plain Text for Years — Krebs on Security
 
groviglio;52462477[... ha scritto:
esposto alcune cose che nel comunicato ufficiale di FB non ci sono (comprensibilmente minimizzate...comunque , ripeto, positivo che FB abbia almeno evidenziato il problema, che non è una questione da poco, per quell che rappresenta FB e per quell che vuole fare in futuro (pagamenti))[...]
Clicca per espandere...

Va dato atto, infatti, che il comunicato sulla 'falla' è sì generico, ma almeno sono fornite, con dovizia di particolari, le informazioni di sicurezza agli utenti.

Keeping Passwords Secure | Facebook Newsroom
 
su fb ho un account in cui non compare il mio nome, mie foto, mia mail principale e non ho nessun contatto della cerchia delle mie conoscenze. ogni tanto uso la chat per scambiare due chiacchiere con una persona che conosco da tempo e che abita lontano. neanche like e commenti ho messo mai. lo uso come collettore di notizie ed informazioni seguendo i profili di persone pubbliche, tipo musicisti, o perché sono iscritto in alcuni gruppi tra cui, per fare un esempio, assemblare pc online. per cui se mi rubano la pass sai quanto me ne importa? mica è la banca:o usato in questo modo fb è un ottimo strumento secondo me.
 
BluII ha scritto:
per cui se mi rubano la pass sai quanto me ne importa? .
Clicca per espandere...

io codesto, scusami, lo considero un modo di ragionare di "m"

a me , se un sito di primaria importanza come FB (di cui ,pur,non sono fruitore) conserva , per un motivo o per l'altro, le password degli utenti , in chiaro(plain text), preoccupa eccome

l'Internet è , appunto interconnesso. le idiozie di uno, si ripercuotono anche sugli altri..il sistema si indebolisce

avrò anche la deformazione verso la sicurezza, che per me è fondamentale, dappertutto, ma in particolare su internet(e sono contento di vedere, mediamente,la sensibilità all'argomento, crescere) , ma io proprio, ragionamenti del genere, ancora, non riesco a riceverli :)
 
@groviglio
fb è un sito di primaria importanza se gli dai importanza.
ma forse con "l'Internet è , appunto interconnesso. le idiozie di uno, si ripercuotono anche sugli altri..il sistema si indebolisce" intendi dire, se capisco meglio, che le pratiche le procedure e le tecniche di conservazione al sicuro dei dati sensibili degli utenti di un sito come FB sono sostanzialmente le stesse che vengono adottate per il conto on line, i pagamenti elettronici e le comunicazioni personali ecc, allora il tuo ragionamento è condivisibile
 
BluII ha scritto:
@groviglio
[...]che le pratiche le procedure e le tecniche di conservazione al sicuro dei dati sensibili degli utenti di un sito come FB sono sostanzialmente le stesse che vengono adottate per il conto on line, i pagamenti elettronici e le comunicazioni personali ecc, allora il tuo ragionamento è condivisibile
Clicca per espandere...

Infatti è proprio così :yes:

L'uso degli algoritmi di hash usati per codificare le password per non memorizzarle 'in chiaro' su siti e data-base coinvolge tutti, inclusi siti 'sensibili' come le piattaforme di HB e di pagamento.

E la vera rivoluzione (se ben applicata) è che solo l'utente che l'ha scelta è a conoscenza della password e anche un accesso malevolo ad un data-base potrà carpire solo i codici di hash e non le password associate.
 
BluII ha scritto:
@groviglio
fb è un sito di primaria importanza se gli dai importanza.
ma forse con "l'Internet è , appunto interconnesso. le idiozie di uno, si ripercuotono anche sugli altri..il sistema si indebolisce" intendi dire, se capisco meglio, che le pratiche le procedure e le tecniche di conservazione al sicuro dei dati sensibili degli utenti di un sito come FB sono sostanzialmente le stesse che vengono adottate per il conto on line, i pagamenti elettronici e le comunicazioni personali ecc, allora il tuo ragionamento è condivisibile
Clicca per espandere...

esattamente...a partire dall'algoritmo di hash delle password (che tipicamente è lo stesso che usa qualsiasi sito serio, banche comprese). in molti aspetti, l'informatica ha fatto sì che anche i dati del più umile sito siano protetti come quelli di una megabanca...

e il ragionamento si spinge a comprendere le buone pratiche di sicurezza anche su qualsiasi dispositivo dell'ultimo degli utenti : ad esempio se molti utenti(si arriva anche a milioni(si è arrivati)), hanno router, telecamere di sorveglianza e altridispositivi (pensa all'infinità di IoT), mal configurati o/è con credenziali di default o deboli, tutti questi possono concorrere(è già successo più volte) al realizzarsi di DDOS che bloccano anche grandi sezioni di Internet (quindi magari pure la banca dove devi urgentemente entrare per effettuare un bonifico o il sistema sanitario su WEB dove devi recuperare un'analisi ematica per la somministrazione di un farmaco che serve urgentemente ad un tuo parente) impedendo l'accesso ai servizi di cui abbisogni...o sabotando il funzionamento delle apparecchiature di un ospedale o la produzione energetica di un impianto termoelettrico (con possibile blackout)

per me FB potrebbe chiudere, ma fin quando è aperto , auspico/pretendo che nel 2019 le password siano sotto hash, senza se e senza ma
 
ah, ecco, vedo che fog mi ha anticipato, con miglior sintesi ed efficacia (il suo post non c'era ancora quando ho iniziato a scrivere il mio)
 
È da facepalm quando ti impegni a mettere una password resistente e quelli se la fanno fregare, contribuendo probabimente a creare un database di password "buone"...e chissà se qualcuno con l'intelligenza artificiale o ottime skill di programmazione non riesca a migliorare le capacità di attaccare hash/password o che dir si voglia, alzando l'asticella di quanto devono essere complicate le password per essere sicure.
Se vogliamo questo è il vero motivo per cui bisogna sempre avere password completamente diverse, cosa più difficile a dirsi che farsi.
Fortuna che a parte un nick fasullo ed inutilizzato di diversi anni fa praticamente non ho facebook.
 
Devi accedere o registrarti per poter rispondere.
Indietro