Ho installato su PC Libation per convertire gli audiolibri di Amazon Audible in mp3 e copiarli sullo smartwatch. Nel programma ho inserito le mie credenziali di Amazon. Siccome su amazon ci sono salvati i miei metodi di pagamento, secondo voi e' sicuro?
Pubblicità
DOMANDA Litabion e' sicuro?
- Autore discussione steveone
- Data d'inizio
Pubblicità
non ho capito...mi spieghi per favore meglio?
Un programma prima di essere pubblicato/venduto viene scritto con un linguaggio di programmazione e l'insieme di istruzioni che lo compongono è il codice sorgente che viene poi compilato dando vita al programma vero e proprio, ci sono i programmi proprietari che sono a codice sorgente chiuso, quindi solo l'azienda che li ha prodotti ha il codice e nessuno può leggerlo e analizzarlo. Poi ci sono i programmi open source che hanno il codice sorgente aperto, quindi chiunque (se conosce il linguaggio di programmazione) può scaricare il codice e analizzarlo vedendo nel dettaglio cosa fa il programma. Quindi è poco probabile che un programma open source faccia cose strane visto che lo scoprirebbero subito analizzandolo
Andretti60
Utente Èlite
- Messaggi
- 6,441
- Reazioni
- 5,093
- Punteggio
- 163
Scusa @Eren88 , hai detto veramente un sacco di inesattezze (pericoloso in questa sezione), tipiche di molto stereotipi che si leggono in rete. Io non sono molto bravo nel spiegare (specie in italiano) per cui scomodo il mio amico @DispatchCode che potrà correggermi. Premetto che sono sviluppatore professionale di software da una vita (e ormai vicino alla pensione)
Programmi Open Source non sono più sicuri, semplicemente perché a meno di non scaricare il programma dal sito ufficiale dello sviluppatore (che molte volte non lo ha neanche) non hai la garanzia che sia stato compilato usando il codice sorgente originale. Vale anche con gli applicativi a codice “chiuso” in quanto anche non avendo il codice sorgente è perfettamente possibile esaminare il codice macchina (assembly), trovare una falla e “iniettare” un virus (che non è altro che codice aggiuntivo). Supponiamo per esempio che vuoi comprare Photoshop, vai sul sito Adobe, vedi il prezzo e non te la senti di vendere un rene per cui fai una ricerca Google e trovi che lo puoi scaricare gratuitamente (o a basso prezzo) da un sito. Quindi lo scarichi senza minimamente fare una ricerca per validare la serietà di quel sito (che per principio non è serio per nulla in quanto mette a disposizione software piratato). Ed è così che la gente si ritrova malware nei propri computer.
Morale della favola, conta poco se il codice sorgente sia chiuso o aperto, quello che conta è scaricare solo dai siti ufficiali, altrimenti “usa a tuo rischio e pericolo”.
L’unico modo per essere certi di avere un programma open source “sicuro” è
Programmi Open Source non sono più sicuri, semplicemente perché a meno di non scaricare il programma dal sito ufficiale dello sviluppatore (che molte volte non lo ha neanche) non hai la garanzia che sia stato compilato usando il codice sorgente originale. Vale anche con gli applicativi a codice “chiuso” in quanto anche non avendo il codice sorgente è perfettamente possibile esaminare il codice macchina (assembly), trovare una falla e “iniettare” un virus (che non è altro che codice aggiuntivo). Supponiamo per esempio che vuoi comprare Photoshop, vai sul sito Adobe, vedi il prezzo e non te la senti di vendere un rene per cui fai una ricerca Google e trovi che lo puoi scaricare gratuitamente (o a basso prezzo) da un sito. Quindi lo scarichi senza minimamente fare una ricerca per validare la serietà di quel sito (che per principio non è serio per nulla in quanto mette a disposizione software piratato). Ed è così che la gente si ritrova malware nei propri computer.
Morale della favola, conta poco se il codice sorgente sia chiuso o aperto, quello che conta è scaricare solo dai siti ufficiali, altrimenti “usa a tuo rischio e pericolo”.
L’unico modo per essere certi di avere un programma open source “sicuro” è
- Scaricare il codice sorgente (se si conosce il linguaggio di programmazione usato)
- Esaminare il codice, linea per linea, sperando che sia stato scritto bene e non sia “offuscato”, può richiedere giorni se non mesi.
- Compilare il codice da noi stessi, avendo il giusto compilatore e sperando di avere tutte le librerie necessarie, e non solo librerie.
- Ovviamente questo processo va rifatto tutte le volte che lo sviluppatore cambia il codice (per sistemare problemi e aggiungere nuove opzioni)
Ti ringrazio per la spiegazione, forse non mi ero espresso bene ma io nel messaggio stavo dando per scontato che il programma in questione fosse stato scaricato dalla fonte ufficiale quindi quello che dicevo si riferiva al programma ufficiale, non ad eventuali modifiche fatte da altri. Quindi intendevo solo dire che se uno sviluppatore pubblica un programma open source in teoria non dovrebbe essere un programma malevolo, sennò il codice sorgente non lo avrebbe reso pubblico. Poi, come hai detto tu la sicurezza massima si ha analizzandolo personalmente
DispatchCode
Utente Èlite
- Messaggi
- 2,499
- Reazioni
- 2,045
- Punteggio
- 134
Leggo solo ora, con un pò di ritardo, ma meglio tardi che mai!
Se è il programma che vedo su Github, dovrebbe essere affidabile, vedendo anche le stelline che ha ricevuto. Io tendo ad essere paranoico quindi... raramente - mai - vado ad inserire dati come quelli di amazon altrove. Per gestire gli ebook e convertire tra i vari formati c'è anche Calibre. Se non erro funziona anche con gli audio books.
Commentando Andretti ed Eren, andrò "un pò" sul tecnico (e andrò probabilmente un pò OT per spiegarmi).
Concordo con Andretti comunque, e anche con il discorso di Eren: se è il programma è Open Source il suo codice sorgente è leggibile da chiunque, quindi è più probabile che in caso di modifiche a scopo "malevolo" qualcuno se ne accorga. Nei progetti grandi non so quanto possa essere una garanzia, sempre se non lo si scarica da un sito ufficiale dell'autore dove anche le modifiche introdotte vengono comunque validate se non dall'autore stesso, da un team di persone che valuta l'effettiva utilità della modifica (oltre che ciò che provoca).
Andando un pò più sul tecnico, quando non si è propriamente sicuri nemmeno del codice sorgente anche dopo averlo letto, la soluzione migliore è probabilmente compilarlo ed eseguirlo su una macchina virtuale e verificare come si comporta, ad esempio vedere se comunica attraverso la rete e nel caso se scarica qualcosa o quali informazioni trasmette verso l'esterno.
Chiaro che un utente normale non potrà mai eseguire operazioni di questo tipo.
Anche a tal proposito si, è vero. Non so quanto ancora utilizzato, ma in passato si inseriva quello che era un trojan (non un virus, tecnicamente), con lo scopo piuttosto di scaricare altro malware sulla macchina. Ma in generale si può fare un pò di tutto, specie sotto Windows; è più complicato di prima, visto che ci sono più protezioni.
In teoria puoi aprire un processo in esecuzione e fare modifiche direttamente sul codice prima che viene eseguito, puoi anche creare un thread, puoi aggiungere sezioni al file exe, iniettare DLL e altro ancora.
Il bello è che non serve nemmeno una falla per questo tipo di modifiche: in passato si riusciva ad iniettare del codice sfruttando quelli che vengono chiamati "code cave"; tipicamente alla fine della sezione del codice c'è dello spazio vuoto, lasciato per garantire l'allineamento (e per questioni di arrotondamento). In questo spazio puoi (o meglio, potevi) iniettare del codice all'interno di un eseguibile, modificare l'entry point del programma (alterando l'indirizzo che si trova nell'header del file exe) e fare in modo che la prima istruzione che venisse eseguita dal programma modificato, una volta eseguito, fosse il codice inserito nel "code cave". Al termine del code cave - che poteva essere benissimo il trojan stesso - veniva lanciato il programma saltando a quello che era l'entry point originale.
Ora le cose sono più complicate, grazie appunto alle protezioni. Tutti i programmi vengono compilati di default (con MSVC almeno) usando ASLR, così come lo stack canary e altro... quindi insomma, passi avanti se ne sono fatti.
Per fortuna (dal punto di vista di chi si difende) non è più semplice come un pò di anni fa fare danni.
Ps. vista l'ora sono partito convinto e mi sono dilungato, pensavo di essere nella sezione Programmazione... non cancello ciò che ho scritto, anche se sono uscito un pò dal seminato con i "tecnicismi".
Se è il programma che vedo su Github, dovrebbe essere affidabile, vedendo anche le stelline che ha ricevuto. Io tendo ad essere paranoico quindi... raramente - mai - vado ad inserire dati come quelli di amazon altrove. Per gestire gli ebook e convertire tra i vari formati c'è anche Calibre. Se non erro funziona anche con gli audio books.
Commentando Andretti ed Eren, andrò "un pò" sul tecnico (e andrò probabilmente un pò OT per spiegarmi).
Concordo con Andretti comunque, e anche con il discorso di Eren: se è il programma è Open Source il suo codice sorgente è leggibile da chiunque, quindi è più probabile che in caso di modifiche a scopo "malevolo" qualcuno se ne accorga. Nei progetti grandi non so quanto possa essere una garanzia, sempre se non lo si scarica da un sito ufficiale dell'autore dove anche le modifiche introdotte vengono comunque validate se non dall'autore stesso, da un team di persone che valuta l'effettiva utilità della modifica (oltre che ciò che provoca).
Andando un pò più sul tecnico, quando non si è propriamente sicuri nemmeno del codice sorgente anche dopo averlo letto, la soluzione migliore è probabilmente compilarlo ed eseguirlo su una macchina virtuale e verificare come si comporta, ad esempio vedere se comunica attraverso la rete e nel caso se scarica qualcosa o quali informazioni trasmette verso l'esterno.
Chiaro che un utente normale non potrà mai eseguire operazioni di questo tipo.
Anche a tal proposito si, è vero. Non so quanto ancora utilizzato, ma in passato si inseriva quello che era un trojan (non un virus, tecnicamente), con lo scopo piuttosto di scaricare altro malware sulla macchina. Ma in generale si può fare un pò di tutto, specie sotto Windows; è più complicato di prima, visto che ci sono più protezioni.
In teoria puoi aprire un processo in esecuzione e fare modifiche direttamente sul codice prima che viene eseguito, puoi anche creare un thread, puoi aggiungere sezioni al file exe, iniettare DLL e altro ancora.
Il bello è che non serve nemmeno una falla per questo tipo di modifiche: in passato si riusciva ad iniettare del codice sfruttando quelli che vengono chiamati "code cave"; tipicamente alla fine della sezione del codice c'è dello spazio vuoto, lasciato per garantire l'allineamento (e per questioni di arrotondamento). In questo spazio puoi (o meglio, potevi) iniettare del codice all'interno di un eseguibile, modificare l'entry point del programma (alterando l'indirizzo che si trova nell'header del file exe) e fare in modo che la prima istruzione che venisse eseguita dal programma modificato, una volta eseguito, fosse il codice inserito nel "code cave". Al termine del code cave - che poteva essere benissimo il trojan stesso - veniva lanciato il programma saltando a quello che era l'entry point originale.
Prendo un vecchissimo programma di esempio che scrissi anni fa (un Paint molto basilare, scritto in assembly):
Scrissi un programma proprio per cercare code cave e iniettare una message box (la classica finestrella di "alert" dei programmi windows), con titolo e contenuto personalizzati (iniettati anch'essi nell'eseguibile, nelle stringhe):
Eseguendolo ora:
E poi si avvia il programma.
Giusto per dire: invece di una messagebox potevano essere fatte cose più invasive.
Scrissi un programma proprio per cercare code cave e iniettare una message box (la classica finestrella di "alert" dei programmi windows), con titolo e contenuto personalizzati (iniettati anch'essi nell'eseguibile, nelle stringhe):
Eseguendolo ora:
E poi si avvia il programma.
Giusto per dire: invece di una messagebox potevano essere fatte cose più invasive.
Ora le cose sono più complicate, grazie appunto alle protezioni. Tutti i programmi vengono compilati di default (con MSVC almeno) usando ASLR, così come lo stack canary e altro... quindi insomma, passi avanti se ne sono fatti.
Per fortuna (dal punto di vista di chi si difende) non è più semplice come un pò di anni fa fare danni.
Ps. vista l'ora sono partito convinto e mi sono dilungato, pensavo di essere nella sezione Programmazione... non cancello ciò che ho scritto, anche se sono uscito un pò dal seminato con i "tecnicismi".
Ok pero' anche in Calibre devo inserire le credenziali no?
Come li scarico gli audiolibri da convertire? su PC non esiste piu' il software Audible per scaricarli...
Pubblicità