Mattia Rizzolo ha scritto: > On Thu, Aug 10, 2023 at 10:20:18AM +0200, Davide Prina wrote: >> Se usi Gnome3 ti rimuove alcuni metapacchetti che permettono di tenere >> aggiornato Gnome3.
> Fortunatamente qualcuno di sano ancora esiste, e la relativa modifica è > stata richiesta e giù preparata: > https://bugs.debian.org/1042781 > > https://salsa.debian.org/gnome-team/gnome-control-center/-/commit/67c01f6a892336376d0bf16e48c8c52054351a97 ok l'ho rimosso :-) Ho notato una cosa: con questo "aggiornamento" nelle "impostazioni di Gnome -> Privacy" è apparso un nuovo elemento che è "Device security" Se sono installati i famigerati pacchetti del thread, allora verifica se è stato avviato con secure boot, se hai UEFI abilitato, ... mentre se non hai i pacchetti installati, allora ti dice che non è stato rilevato nessun hardware fisico e quindi è una macchina virtuale. A me sembra un po' assurdo che si indichi come sicuro un sistema che ha quelle parti e relativi pacchetti... basti pensare che in un articolo di sicurezza avevo letto qualche mese fa che probabilmente il 50-60% dei portatili (se non ricordo male) avevano tutto questo stack di "sicurezza" che in realtà non funzionava, quindi il tuo sistema ti diceva che tutto questo era funzionante e attivo, ma in realtà non era così, era come se non vi fosse tale stack. Inoltre in m$ hanno un grosso problema: hanno dichiarato che hanno rubato delle chiavi di firma per la generazione di token di sicurezza e che hanno acceduto a delle caselle di posta di governativi USA. Ma poi se vai a vedere il NIST ti consiglia di mettere in sicurezza tutto quello che è m$ on-line e m$ stessa ti chiede di segnalare eventuali anomalie che i sistemisti riscontrano... quindi da quello che capisco non sanno come hanno fatto ad entrare, non sanno cosa hanno fatto, non sanno cosa potrebbero ancora fare, non sanno da quanto tempo abbiano avuto accesso e non sono in grado di fermali... e poi ci sono aziende che si sentono sicure solo perché hanno lo stack di sicurezza m$ sui dispositivi aziendali. Tenendo conto che una società ha consegnato ad un esperto di sicurezza un portatile aziendale con secure boot, UEFI, ... con installato uindous... e questo nel giro di 15 o 45 minuti (ora non ricordo) è riuscito ad avere una console e l'accesso alla rete aziendale... Come diceva qualcuno: un falso senso di sicurezza è peggiore di non avere nessuna sicurezza. Nel senso che se sai di non avere nessuna sicurezza stai più attento. Inoltre, secondo me, l'apertura dell'informatica alle masse sta portando l'informatica verso il baratro: si fanno sempre più cose insicure by design e si richiedono sempre più cose per mitigare il punto precedente, senza mai risolverlo. E ci sono una marea di esperti che di informatica non ne capiscono nulla... anche nei corsi aziendali che ho seguito recentemente ci sono persone "super esperte" che dicono di quelle cose assurde (tipo l'hash genera codici univoci... sentito sia recentemente che qualche anno fa da un esperto di sicurezza. Nel secondo caso ho dissentito, ma questo ha detto a che a lui non risultava quello che gli dicevo io, nel primo caso ho evitato, anche perché il corso era on-line e si poteva solo scrivere e la docente aveva una preparazione informatica... diciamo approssimativa. Ciao Davide -- La mia privacy non è affar tuo https://noyb.eu/it - You do not have my permission to use this email to train an AI - If you use this to train your AI than you accept to distribute under AGPL license >= 3.0 all the model trained, all the source you have used to training your model and all the source of the program that use that model
