Tech
WordPress: attenti alla vulnerabilità Xss riflessa del servizio antimalware e firewall. Cosa fare
Un popolare plugin anti-malware per WordPress ha una vulnerabilità cross-site scripting reflected. Questo è un tipo di vulnerabilità che può consentire a un utente malintenzionato di compromettere un utente di livello amministratore del sito web interessato.
Plugin WordPress interessato
Il plugin scoperto contenere la vulnerabilità è Anti-Malware Security and Brute-Force Firewall, che è utilizzato da oltre 200.000 siti web.
Anti-Malware Security and Brute-Force Firewall è un plugin che difende un sito web come un firewall (per bloccare le minacce in entrata) e come uno scanner di sicurezza, per controllare le minacce alla sicurezza sotto forma di backdoor hack e iniezioni di database.
Una versione premium difende i siti web contro gli attacchi di forza bruta che cercano di indovinare password e nomi utente e protegge dagli attacchi DDoS.
Vulnerabilità di Cross-Site Scripting reflected
Questo plugin è stato trovato per contenere una vulnerabilità che ha permesso ad un attaccante di lanciare un attacco Cross-Site Scripting reflected (XSS reflected).
Una vulnerabilità cross-site scripting reflected in questo contesto è quella in cui un sito WordPress non limita correttamente ciò che può essere inserito nel sito.
Questo fallimento nel limitare ciò che viene caricato è essenzialmente come lasciare la porta principale del sito web aperta e consentire praticamente qualsiasi cosa da caricare.
Un hacker approfitta di questa vulnerabilità caricando uno script e facendo in modo che il sito web lo rifletta.
Quando qualcuno con permessi di livello amministratore visita un URL compromesso creato dall’attaccante, lo script viene attivato con i permessi di livello amministratore memorizzati nel browser della vittima.
Il rapporto di WPScan sulla sicurezza anti-malware e Firewall Brute-Force ha descritto la vulnerabilità:
“Il plugin non sanifica ed esegue l’escape del QUERY_STRING prima di restituirlo in una pagina di amministrazione, portando ad un Cross-Site Scripting riflesso nei browser che non codificano i caratteri”
Il National Vulnerability Database del governo degli Stati Uniti non ha ancora assegnato a questa vulnerabilità un punteggio di livello di gravità. La vulnerabilità in questo plugin è chiamata una vulnerabilità “XSS riflessa“.
Ci sono altri tipi di vulnerabilità XSS, ma questi sono tre tipi principali:
- Vulnerabilità Cross-Site Scripting memorizzata (Stored XSS)
- Cross-Site Scripting cieco (Blind XSS)
- XSS riflesso
In una vulnerabilità XSS Stored o Blind XSS, lo script dannoso è memorizzato sul sito stesso. Questi sono generalmente considerati una minaccia più alta perché è più facile ottenere un utente di livello amministrativo per attivare lo script. Ma questi non sono quelli che sono stati scoperti nel plugin.
In un XSS riflesso, che è quello che è stato scoperto nel plugin, una persona con credenziali di livello admin deve essere indotta con l’inganno a cliccare su un link (per esempio da una e-mail) che poi riflette il payload dannoso dal sito web.
Il non-profit Open Web Application Security Project (OWASP) descrive un XSS riflesso in questo modo:
“Gli attacchi riflessi sono quelli in cui lo script iniettato viene riflesso dal server web, come in un messaggio di errore, un risultato di ricerca, o qualsiasi altra risposta che include alcuni o tutti gli input inviati al server come parte della richiesta. Gli attacchi riflessi sono consegnati alle vittime attraverso un altro percorso, come in un messaggio di posta elettronica, o su qualche altro sito web”.
Consigliato l’aggiornamento alla versione 4.20.96
Si raccomanda generalmente di avere un backup dei file di WordPress prima di aggiornare qualsiasi plugin o tema.
La versione 4.20.96 del plugin WordPress Anti-Malware Security and Brute-Force Firewall contiene una correzione per la vulnerabilità.
Tech
Google Filtro “Web” ai Risultati di Ricerca in un passo verso l’IA
Tempo di lettura: 2 minuti. Google introduce un filtro “Web” nei risultati di ricerca mentre si sposta verso una ricerca incentrata sull’IA.
Google ha recentemente introdotto un nuovo filtro “Web” nei suoi risultati di ricerca, a seguito di un cambiamento significativo verso risultati di ricerca focalizzati sull’intelligenza artificiale (IA). Questo aggiornamento arriva con il lancio della “Search Generative Experience” (SGE), ora chiamata “AI Overview”, che è stata estesa a tutti gli utenti negli Stati Uniti. La nuova funzionalità IA fornisce riepiloghi generati dall’IA direttamente nei risultati di ricerca, riducendo la necessità di cliccare sui risultati tradizionali.
Funzionalità di AI Overview
L’AI Overview si presenta come una casella informativa in cima a molti risultati di ricerca, soprattutto per le query di tipo domande. Questo riepilogo IA è spesso istantaneo per le query popolari, grazie alla memorizzazione nella cache delle risposte. Tuttavia, in alcuni casi, potrebbe non essere disponibile, e un messaggio indica che “An AI overview is not available for this search.”
Il nuovo approccio di Google rende difficile visualizzare i risultati web tradizionali senza scorrere molto. La prima “pagina” visibile è dominata dall’AI Overview e altre caselle di risposte, mentre i classici 10 link blu si trovano solo dopo molti scroll. Questa configurazione ha sollevato preoccupazioni su come questo possa influire sulla visibilità dei siti web tradizionali e sulla sostenibilità per i publisher web.
Introduzione del Filtro “Web”
Per mitigare queste preoccupazioni, Google ha introdotto un filtro “Web” tra le opzioni di ricerca come “Video,” “Immagini,” “Mappe,” e “Shopping.” Questo filtro, se selezionato, restituisce risultati di ricerca simili alla vecchia esperienza di Google, mostrando i 10 link blu senza sovrapposizioni di AI Overview o altre informazioni contestuali. Tuttavia, il filtro “Web” è spesso nascosto nella sezione “More,” rendendo meno immediato il suo utilizzo per molti utenti.
Implicazioni per gli Utenti e i Publisher
Google sostiene che i link inclusi nell’AI Overview ricevono più clic rispetto ai link tradizionali, ma questo è difficile da credere considerando che l’IA presenta già le informazioni in modo comprensivo. Questa nuova configurazione potrebbe portare a una riduzione dei clic diretti verso i siti web, impattando negativamente i publisher che dipendono dal traffico di Google per le entrate pubblicitarie.
Gli utenti esperti possono ancora ottenere risultati web tradizionali cliccando su “More” e poi su “Web,” e utilizzando l’opzione “Tools” per cambiare “all results” in “verbatim.” Tuttavia, questa procedura aggiuntiva potrebbe spingere alcuni utenti a cercare motori di ricerca più focalizzati sui risultati web tradizionali.
Il passaggio di Google verso un’esperienza di ricerca centrata sull’IA rappresenta un cambiamento significativo nell’evoluzione del motore di ricerca. Mentre l’AI Overview può fornire risposte rapide e complete, il nuovo filtro “Web” offre un compromesso per gli utenti che preferiscono la vecchia esperienza di ricerca. Rimane da vedere come questo influenzerà il comportamento degli utenti e la sostenibilità dei publisher web nel lungo termine.
Smartphone
Honor 200 e 200 Pro: lancio elegante con specifiche avanzate
Tempo di lettura: 2 minuti. La serie Honor 200, con il lancio previsto per il 27 maggio, offre un design elegante e specifiche avanzate. Scopri di più sui modelli Honor 200 e Honor 200 Pro.
Honor ha annunciato la data di lancio della nuova serie di smartphone, Honor 200 e Honor 200 Pro, prevista per il 27 maggio 2024. Questi nuovi modelli saranno inizialmente disponibili sul mercato cinese, con caratteristiche di design eleganti e colorazioni distintive.
Design e opzioni di colore
La serie Honor 200 presenta un design innovativo con un modulo fotocamera di forma ovale situato nella parte superiore del pannello posteriore. Questo modulo ospita sensori tripli e un flash LED, conferendo al dispositivo un aspetto moderno e sofisticato. Il retro dei telefoni ha una finitura lucida e riflettente, con un motivo ondulato che aggiunge profondità al design.
Le opzioni di colore per l’Honor 200 includono Blu, Bianco, Rosa e Nero, mentre l’Honor 200 Pro sarà disponibile nei colori Verde, Bianco, Rosa e Nero. Entrambi i modelli condividono lo stesso design del modulo fotocamera, ma differiscono nella disposizione della fotocamera frontale: l’Honor 200 ha un singolo foro per la fotocamera selfie, mentre l’Honor 200 Pro dispone di un’isola a forma di pillola per ospitare due sensori, sottolineando l’attenzione di Honor sulla qualità delle fotocamere frontali.
Specifiche tecniche e caratteristiche
Anche se le specifiche complete saranno rivelate il giorno del lancio, alcune informazioni sono già trapelate:
- Display: L’Honor 200 Pro avrà un display 1.5K, un miglioramento significativo rispetto al pannello 1080p del suo predecessore, l’Honor 100.
- Fotocamera: La serie Honor 200 avrà una fotocamera principale da 50MP con supporto OIS, e si prevede che l’Honor 200 Pro includerà anche una lente teleobiettivo da 32MP con zoom ottico 2.5x e zoom digitale 50x.
- Batteria e Ricarica: Entrambi i modelli saranno equipaggiati con una batteria da 5200mAh e supporto per la ricarica rapida da 100W.
- Processore: L’Honor 200 sarà alimentato dal SoC Snapdragon 8s Gen 3, mentre l’Honor 200 Pro utilizzerà il più potente Snapdragon 8 Gen 3.
La serie Honor 200 si preannuncia come una linea di dispositivi eleganti e potenti, con un design distintivo e specifiche tecniche avanzate. Con il lancio previsto per il 27 maggio, gli appassionati di tecnologia e gli utenti di smartphone possono aspettarsi dispositivi che combinano estetica e prestazioni in modo innovativo.
Smartphone
Galaxy Z Fold 6: confermati Snapdragon 8 Gen 3 e 12GB di RAM
Tempo di lettura: < 1 minuto. Samsung conferma che il Galaxy Z Fold 6 avrà il processore Snapdragon 8 Gen 3 e 12GB di RAM. Scopri di più sulle prestazioni e le specifiche tecniche.
Samsung ha confermato che il suo prossimo smartphone pieghevole, il Galaxy Z Fold 6, sarà equipaggiato con il processore Qualcomm Snapdragon 8 Gen 3 e avrà 12GB di RAM. Questo dispositivo, insieme al Galaxy Z Flip 6, sarà lanciato durante l’evento Galaxy Unpacked il 10 luglio 2024.
Dettagli Tecnici
Il Galaxy Z Fold 6, con il numero di modello SM-F956U, è apparso su Geekbench, confermando le specifiche tecniche. Il dispositivo avrà il processore Snapdragon 8 Gen 3, 12GB di RAM e uscirà con Android 14, probabilmente accompagnato dall’interfaccia One UI 6.1.1.
Prestazioni su Geekbench
Nei test Geekbench, il Galaxy Z Fold 6 ha ottenuto un punteggio di 1.964 punti nel test single-core e 6.619 punti nel test multi-core. Per fare un confronto, il Galaxy Z Fold 5, con il SoC Snapdragon 8 Gen 2, ha registrato 1.943 punti nel test single-core e 5.123 punti nel test multi-core. Questi risultati indicano un miglioramento marginale delle prestazioni single-core e un significativo aumento delle prestazioni multi-core.
Aspettative future
Mentre il lancio del Galaxy Z Fold 6 si avvicina, si spera che Samsung introduca anche una variante con 16GB di RAM, che soddisferebbe molti utenti alla ricerca di prestazioni ancora più elevate. Con meno di due mesi dal lancio ufficiale, è probabile che ulteriori dettagli e leak emergeranno, fornendo una visione più completa delle capacità e delle caratteristiche del nuovo dispositivo pieghevole di Samsung, scopri le offerte su Amazon.
- Inchieste1 settimana fa
Perchè il motore di ricerca OpenAI fa paura ai giornalisti?
- L'Altra Bolla1 settimana fa
Meta arriva l’intelligenza artificiale per la Pubblicità
- L'Altra Bolla1 settimana fa
TikTok: azione legale contro Stati Uniti per bloccare il divieto
- L'Altra Bolla1 settimana fa
Meta testa la condivisione incrociata da Instagram a Threads
- L'Altra Bolla1 settimana fa
X sotto indagine dell’Unione Europea
- Robotica6 giorni fa
Come controllare dei Robot morbidi ? MIT ha un’idea geniale
- Smartphone1 settimana fa
Xiaomi 14 e 14 Ultra, problemi di condensa nelle fotocamere
- Smartphone1 settimana fa
Google Pixel 8a vs Pixel 8: quale scegliere?