News

Disattivata in Node.js 4 la crittografia “debole”

Due giorni fa è stato rilasciato Node.js 4.0.0; come in genere avviene quando si effettuano importanti aggiornamenti per qualsiasi software, anche la nuova versione del noto framework presenta una serie di profondi cambiamenti.

Per molti anni di seguito la piattaforma Node è rimasta bloccata alla versione 0.x, mai considerata abbastanza stabile per poter passare ad una release 1.x; per questo motivo, la community, sulla base del codice esistente, ha realizzato un fork del software, creando io.js. Il fork è stato poi migliorato in maniera considerevole, indipendentemente da Node.js, ed ha così raggiunto la versione 3.3.0.

Ora che i due distinti progetti software hanno deciso di riunire il loro codice con la release della versione Node.js 4.0.0, la community di Node ha assistito all’introduzione di numerose nuove funzionalità nel framework in questione, la maggior parte delle quali presenta un carattere di unicità, oppure si differenzia notevolmente dalle funzionalità presenti nella vecchia versione 0.12.x.

Per quel che riguarda la sicurezza, si registrano due significativi cambiamenti, i quali vanno ad interessare l’abituale routine di codifica del progetto in Node.js.

In primo luogo, gli sviluppatori di Node sono giunti alla medesima conclusione alla quale sono pervenuti alcuni importanti produttori di browser e vari ingegneri IETF.

“L’algoritmo di cifratura RC4 non viene ormai ritenuto sicuro, ed è stato pertanto rimosso dall’elenco delle codifiche utilizzabili di default per i server TLS, – affermano gli sviluppatori della piattaforma Node. – Utilizzate l’opzione relativa alla definizione di un elenco alternativo, quando avviate un nuovo server TLS”.

Il secondo significativo cambiamento riguarda il protocollo SSL (Secure Sockets Layer); in effetti, proprio a partire da Node 4, sono stati disattivati, già in fase di compilazione, SSLv2 e SSLv3.
Il protocollo SSLv2 è stato disabilitato per il fatto di essere ormai obsoleto e “riconosciuto come vulnerabile da circa 20 anni a questa parte”, mentre il protocollo SSLv3 è stato disattivato in quanto suscettibile agli attacchi downgrade.

Fonte: Softpedia

Disattivata in Node.js 4 la crittografia “debole”

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox