head -c1024 /dev/urandom | md5sum | awk '{print $1}'

Tutto qui?

Si.

[Via Kosh]

Se la sicurezza del vostro blog vi sta a cuore come la copertina che alberga mattina e sera sul vostro divano, vi consiglio di dare un’occhiata a questa lista di plugin messa a punto da Specky boy.

Si tratta di plugin dedicati alla sicurezza in senso lato, dalla protezione dei dati, agli strumenti contro lo spam, alle login sicure.

Io mi sono limitato a tradurla liberamente. Buona lettura.

1. WordPress Database Backup (http://www.ilfilosofo.com/blog/wp-db-backup/)

URL: http://www.ilfilosofo.com/blog/wp-db-backup/
Description: Questo plugin fa proprio ciò che il nome lascia intendere, esegue il backup dell’intera installazione di WordPress. Dovrebbe essere uno dei primi plugin da installare appena create il vostro blog. Vi consente di eseguire i backup copiandoli sul vostro disco rigido, su un server o anche tramite email. Che si tratti di un plugin riottoso, un hacker (o voi stessi) a far crashare WP, WP Database Backup riporterà tutto a come avrebbe dovuto essere (prima del danno). Mi piace pensare a questo plugin come a un “WP , recupero del sistema.

2. Semisecure Login (http://jamesmallen.net)

URL: http://jamesmallen.net/2007/09/16/semisecure-login/
Description: Semisecure incrementa la sicurezza della componente di Login di WP, utilizzando una crittazione lato client delle password in MD5 (vabbé, MD5 è un hash…). Affinché la criptazione possa venire eseguita è necessario che che il navigatore supporti JavaScript. Quando il supporto JavaScript non è disponibile, la password viene trasmessa in chiaro (come succede normalmente), ma l’autenticazione procede senza alcun ostacolo.

3. AskApache Password Protect (http://www.askapache.com)

URL: http://www.askapache.com/wordpress/htaccess-password-protect.html
Description: Questo plugin renderà più sicuro l’accesso alla console di amministrazione di WP tramite l’utilizzo di htaccess per la gestione delle password, impedendo agli indesiderati bot l’ingresso al vostro sito.

4. Force SSL (http://almosteffortless.com/)

URL: http://almosteffortless.com/wordpress/force-ssl/
Description: Se avete un certificato SSL, il plugin Force SSLFor forzerà le connessioni su HTTPS per garantire una migliore sicurezza. Ciò è utile per coloro che vogliono assicurare un maggiore livello di sicurezza per la veicolazione dei contenuti al navigatore.

5. WP Security Scan (http://wordpress.org/extend/plugins)

URL: http://wordpress.org/extend/plugins/wp-security-scan/
Description: Adoro questo plugin, che scandisce il vostr osito alla ricerca di problemi di sicurezza e controlla password, permessi sui file e messa in sicurezza del database, nascondendo anche la versione di WP e proteggendo/rendendo sicuro l’admin di WP. Mi rende anche un po’ paranoico.

6. Secure Files (http://wordpress.org/extend/plugins)

URL: http://wordpress.org/extend/plugins/secure-files/#post-271
Description: Questo plugin vi consente di caricare e scaricare file al di fuori della document root del vostro sito web, per motivi di sicurezza. Quando viene utilizzato insieme a un plugin che richiede all’utente di essere loggato per poter leggere le pagine del vostro sito, potete limitare i donwload agli utenti loggati.

7. WP-SpamFree (http://www.hybrid6.com/)

URL: http://www.hybrid6.com/webgeek/plugins/wp-spamfree
Description: Ho sentito parlare parecchio di questo plugin prima di provarlo e si dice che sia meglio di Akismet. In tutta onestà, non ho mai notato molta differenza (ho 500 messaggi di spam al giorno, in questo periodo) fra i due. Penso sia solo una questione di scelta dell’utente. Speravo ci fosse invece un modo per fermare gli spammer.

8. BackUpWordPress (http://wordpress.designpraxis.at)

URL: http://wordpress.designpraxis.at/plugins/backupwordpress/
Description: Quasi identico al primo plugin, solo non altrettanto semplice. La lista di funzionalità è lunga ed è indicata per un WP Pro. Alcune funzionalità: backup del database, inclusi i file caricati, i plugin, etc; notifica via email dei nuovi backup; backup lanciabili manualmente, possibilità di pianificare i backup, di eseguire restore, importazioni scaglionate di SQL; prosecuzione in background dei backup non terminati; Supporto lingue. (E questo solo per la modalità Easy, aspettate di vedere quella avanzata).

9. Anonymous Wordpress Plugin Updates (http://f00f.de/)

URL: http://f00f.de/blog/2007/10/02/plugin-anonymous-wordpress-plugin-updates.html
Description: Anonimizza il sistema di controllo degli aggiornamenti dei plugin, una nuova funzionalità introdotta in WordPress 2.3. Il plugin impedisce a WordPress di inviare una lista di plugin attivi, l’url del blog e la versione di WordPress. Ideale per gli amministratori consapevoli delle implicazioni relative alla privacy di una installazione WordPress.

10. Replace WP-Version (http://wordpress.org/extend/plugins/)

URL: http://wordpress.org/extend/plugins/replace-wp-version/#post-2859
Description: (Abbiamo tutti letto del problema di sicurezza derivato dal mostrare la propria versione di WP, questo plugin lo risolve). Se state utilizzando una versione più vecchia di WordPress, chiunque può vedere i sorgenti per capire quali attacchi possono funzionare contro il vostro blog. Questo plugin rimpiazza l’informazione relativa alla versione di WP con una stringa casuale per le versioni < 2.4 e la elimina per le versioni > 2.4.

[Via The Fucking Shit]

Dopo quasi, ahem, un anno di stasi, vediamo di chiudere l’agomento inziato con il primo post Backup in rete pratico e veloce con FTP -1, passando alla parte più “operativa”.

Vediamo, qui di seguito, un semplice shell script che si occupa di creare un backup all’interno di un file tgz, che avrà come prefisso la data del giorno di archiviazione. Creato il file, provvederà a trasferirlo via ftp sulla macchina d’appoggio, e infine cancellerà l’archivio il cui suffisso sarà costituito dalla data odierna - 15 giorni.

Prima di procedere, però, un avvertimento: questo post è decisamente lungo e, per qualche verso, anche noioso.

Non dite che non vi avevo avvisati

leggi tutto…

Riassunto:
Contrariamente a ciò che si crede comunemente, le DRAM usate nella maggior parte dei moderni computer, trattengono i propri contenuti per un periodo che va da pochi secondi ad alcuni minuti dopo che è stata tolta l’alimentazione, anche a temperature operative e anche se rimosse dalla scheda madre. Sebbene le DRAM diventino meno affidabili quando non vengano “rinfrescate” (riscritte con il medesimo contenuto, ndr.), queste non vengonono imediatamente cancellate e i loro contenuti persistono per un tempo sufficiente per l’acquisizione malevola (o forense) di immagini utilizzabili dell’intero sistema. Abbiamo mostrato che questo fenomeno limita l’abilità di un sistema operativo di proteggere la chiave crittografica da un aggressore che abba un accesso fisico (al computer, ndt.). Abbiamo usato reboot a freddo (cold reboot, ovvero quando si spegne il computer togliendo la corrente all’improvviso, senza eseguire uno shutdown, ndt.) per imbastire attacchi ai più popolari sistemi di crittazione di dischi - BitLocker, FileVault, dm-crypt, e TrueCrypt - senza usare materiali o periferiche speciali. Abbiamo caratterizzato sperimentalmente l’estensione e la predicibilità di ciò che rimane in memoria e abbiamo riferito che i tempi di permanenza possono venire incrementati in maniera sensibile adottando semplici tecniche. Offriamo nuovi algoritmi per trovare le chiavi crittografiche nelle immagini della memoria e per correggere gli errori causati dal decadimento dei bit. Sebbene discutiamo (nella ricerca in pdf che si trova sul sito, ndt.) di diverse strategia per mitigare questi rischi, non conosciamo alcun rimedio di semplice applicazione che li possa eliminare.

Center for Information Technology Policy - Princeton University

[Via Ministry of Intrigue]