Latest Articles

View more articles

La non cultura dell'ASAP

Paolo Perego 28 lug 2014

Esiste un adagio, figlio della disorganizzazione e della mancata pianificazione.

Codiceinsicuro su bloglovin

Paolo Perego 22 lug 2014

Bloglovin, è una directory di blog dove puoi trovare un sacco di cose. Per aumentare un po’ di traction ho deciso di iscrivere CodiceInsicuro anche qui. Quindi, da oggi puoi seguire Codice Insicuro anche su Bloglovin.

La sicurezza invisibile: abusing jsonp e la risposta della community rails

Paolo Perego 18 lug 2014

Michele Spagnuolo, non lo scopro certo io, è uno che di application security ne sa tanto. Neanche una settimana fa se ne esce con questo post che mette a nudo un problema di design di JSONP e del suo meccanismo di callback.

Difendiamo i nostri utenti con i secure headers

Paolo Perego 15 lug 2014

In un mondo ideale, e per fortuna questo pazzo universo sembra molto lontano dall’esserlo, due cose succederebbero oggi:

Come salvare la password dei propri utenti e vivere sereni un data breach

Paolo Perego 7 lug 2014

Ok, nessuno vive serenamente un data breach però ci sono accorgimenti che possono mitigare parzialmente un’intrusione nel nostro backend.

Date una linea guida al ragazzo

Paolo Perego 3 lug 2014

Una cosa che possiamo dare per scontata, parlando di sviluppatori, è la seguente:

Automatizzare, automatizzare e automatizzare. Quando non puoi fare tutto tu

Paolo Perego 10 giu 2014

E’ almeno un annetto che il mio capo mi chiede se è possibile automatizzare alcuni test. A lui si è aggiunto il mio team mate da un po’. Di solito quando si tratta di cambiamenti così radicali, lascio che l’esigenza di ripresenti da sola un po’ di volte per capire quanto è critica, prima di buttarmi a capofitto nell’implementarla.

Come usare questo blog

Paolo Perego 30 mag 2014

E’ passato un mese e mezzo dal primo post su heartbleed ed arrivati ad una decina di post, l’ultimo dei quali, sulle startup ha riscosso parecchio successo in termini di visite e commenti1, è ora di stendere un piano di pubblicazione che dia un senso a questo post. speriamo anche i post più in topic arrivino agli stessi risultati. ↩

Se paghi noccioline attirerai scimmie: storie job posting nell'era delle startup

Paolo Perego 22 mag 2014

Questo post nasce da un mio pensiero pubblicato su Facebook a proposito della qualità dei job posting nell’era delle startup innovative, o comunque in un mercato, come quello Italiano, dove stiamo giustificando con la crisi, il non adeguato compenso offerto a chi fa un lavoro tecnico (tranne a quegli degli elettrodomestici).

Ricordami perché lo faccio: non è un lavoro per tutti

Paolo Perego 16 mag 2014

Nel dialetto milanese, che ormai purtroppo in pochi conoscono e ancor meno usano1, c’è un modo di dire che riassume bene il post che sto scrivendo oggi che, a ridosso del weekend, non può essere altro che un post di meditazione da leggersi, rigorosamente, questa sera con un buon bicchiere di vino o di grappa o di passito2. non me ne vogliano i fratelli e le sorelle italiane che parlano altri dialetti. E’ off topic qui, ma io credo con forza che il dialetto del luogo debba essere insegnato in ogni comune per farci comprendere bene le nostre radici. La...

Creiamo una stringa di caratteri casuali con Owasp ESAPI e Java

Paolo Perego 15 mag 2014

Spesso si ha l’esigenza di creare una stringa di caratteri alfanumerici che sia casuale. Ad esempio possiamo usarla come password temporanea, come salt per offuscare una password, come chiave, …

Recuperare informazioni via SNMP (con ruby)

Paolo Perego 13 mag 2014

Se come sysadmin ti stai domandando chi mai potrà essere interessato a recuperare informazioni su un host per un attacco successivo, allora ti manca una profonda dose di awareness. Secondo Gartner, ma il dato che ricordo è vecchiotto di un 6 - 7 anni, più dell’80% delle intrusioni informatiche avviene dall’interno dell’infrastruttura aziendale.

L'ItaGLia è sicura. Posso già chiudere il blog

Paolo Perego 8 mag 2014

Quella nel titolo, è pura ironia, l’Italia informaticamente parlando non ha vinto il palmares della security e no, il neonato codiceinsicuro non chiude.

L'upgrade di Mavericks e il format bug di Safari

Paolo Perego 6 mag 2014

Quello che non conosci potrebbe ucciderti

Scopriamo insieme la superficie d'attacco

Paolo Perego 22 apr 2014

Un software engineer non ha bisogno di troppi rimandi alle cose basilari di application security. Parlando con alcuni sistemisti di heartbleed, è spuntato qualche sviluppatore in grado di indirizzare subito il problema evidenziando come fosse necessario revocare anche tutti i certificati dei server vulnerabili.