Alberto Bartoli - Blog

Ieri a lezione abbiamo detto che se un client CX genera (in modo fraudolento) una request RX contenente l'identifier di una sessione di un altro client C, allora RX viene elaborata dal server come se fosse stata generata da C. Ciò è evidentemente molto spiacevole. Specialmente se la sessione è "autenticata", cioè l'utente che sta controllando C ha dimostrato la propria identità al server (con meccanismi che vedremo nella prossima lezione) ed il server ha quindi inserito nello stato della sessione informazioni quali "sessione autenticata, username rettore ateneo" . In questo modo, infatti, CX può accedere in lettura e scrittura a dati privati dell'utente che sta controllando C. Superfluo evidenziare le implicazioni. Ho anche detto che queste cose, fino a pochissimi anni fa, erano talmente facili da fare che erano stati sviluppati software gratuiti in grado di farlo in modo automatico. In pratica, bastava osservare il traffico in una rete WiFi per racc...

Un lavoro basato su una tesi di laurea magistrale svolto nel "mio" laboratorio è stato accettato ad un congresso scientifico internazionale moooolto prestigioso. Come ho già avuto modo di scrivere in una  occasione simile  " Ancora una volta mi chiedo perché molti studenti in gamba preferiscano fare tesi di laurea in cui l'obbiettivo è fare qualche finestra colorata con qualche bottone altrettanto colorato usando una delle N tecnologie esistenti al momento...ma questo è un altro discorso. " Il lavoro è descritto in un post  sul sito del Machine Learning Lab. Il tesista, Marco Virgolin, è stato davvero molto bravo. Ha un solo difetto, purtroppo non rimediabile, che non riporto pubblicamente ma che lui conosce benissimo. Difetto che comunque non ha impedito il raggiungimento di questo bellissimo risultato. Al fine di non deludere gli altri tesisti, passati e futuri, il cui lavoro non è stato pubblicato, chiarisco che per arrivare alla pubblicazi...

Lo studio di Internet è molto diverso dallo studio di Analisi I o di Fisica II. Internet fa parte della nostra esperienza quotidiana immediata, altre discipline sono più lontane dall'esperienza quotidiana o ne sono parte ma non ce ne accorgiamo. Ciò rende potenzialmente più "appassionante" lo studio di Internet, ma rende anche l'impostazione didattica molto complicata. Analizzare gli argomenti di Internet esattamente come si verificano nella realtà sarebbe didatticamente disastroso. In ogni argomento si mescolano infatti: elementi necessari per il funzionamento e fondamentali per la comprensione ; elementi non necessari per il funzionamento e/o non fondamentali per la comprensione; Gli elementi 2 purtroppo sono tantissimi. Nella realtà, infatti, per ogni argomento ci sono elementi: inutili (anche se non ci fossero non cambierebbe nulla); dannosi (renderebbero il sistema più efficiente se non ci fossero); non fondamentali per la comprensione (necessa...

Come sempre, nella prima lezione sul DNS ho richiamato l'attenzione sulla possibilità di alterare in modo fraudolento la traduzione da nomi ad indirizzi IP---ad esempio, www.unicredit.it potrebbe essere tradotto in IP-criminale invece che in IP-del-vero-server. Ho citato solo alcuni dei numerosi modi per farlo: minacciare l'amministratore del name server con una pistola, inserire un malware nel name server. I modi possibili sono ovviamente moltissimi altri e molti saranno discussi nelle prossime lezioni (avevo peraltro dimenticato di evidenziare che l'amministratore stesso del name server potrebbe essere parte della gang...). L'alterazione fraudolenta delle traduzioni da nomi ad indirizzi IP non è una possibilità teorica. E' un evento che accade relativamente spesso. Al link qui sotto ho messo una raccolta di notizie di questo genere, dovrebbero essere 75 (settantacinque). ( UPDATE FEBBRAIO 2015 : nella pagina al link qui sotto, inserire "DNS" nella ...