IppatsuBlog

Pochi giorni fa Oracle ha annunciato il rilascio della prima beta di VirtualBox 3.2. Con il passaggio da Sun a Oracle VirtualBox è stato “declassato”, non sarà più proposto anche per la virtualizzazione di server (per cui Oracle ha già la sua offerta) ma solo di desktop. La novità più rilevante è il supporto a Mac OS X:  è sufficiente un CD di Snow Leopard per installare il sistema operativo Apple.

Essendo una beta, il supporto non è ancora perfetto. In particolare:

• la dimensione dello schermo è fissa;
• non è supportato l’audio;
• il disco di VirtualBox deve avere dimensione fissa e non dinamica;
• il folder sharing delle Guest Addition non è supportato.

La rete e le connessioni USB invece sono funzionanti. Le altre feature importanti introdotte con questa beta sono:

• il memory ballooning, che permette di modificare dinamicamente la RAM dedicata al sistema operativo guest;
• il CPU hot-plugging, che permette di aggiungere e rimuovere CPU dedicate al guest (la rimozione è supportata solo su host Linux);
• supporto alle large pages su processori con tecnologia di virtualizzazione VT-x/AMD-V (solo 64 bit) per migliorare le prestazioni della virtualizzazione;
• possibilità di cancellare gli snapshot durante il funzionamento della virtual machine;
• accelerazione video di RDP (Remote Desktop Protocol è il protocollo con cui VirtualBox realizza la modalità seamless, quella che fa convivere sullo stesso desktop le finestre del sistema operativo host e del guest).

I binari per l’installazione di VirtualBox 3.2 beta 1 possono essere scaricati da qui. Si tenga presente che è ancora una versione beta e potrebbe causare instabilità anche gravi, sia al sistema guest che all’host.

Tomas Ptacek, membro del team di Matasano Security, ha pubblicato sul blog della sua compagnia un bel post sulla sicurezza per sviluppatori indipendenti: i primi 12 passi da compiere per un software sicuro. Potete leggere l’articolo completo qui.

In brevissimo (la lettura dell’articolo è obbligatoria):

1. preoccuparsi di meno: bisogna avere un prodotto funzionante e con un mercato prima di potersi occupare della sicurezza;
2. essere coscienti del fatto che bisogna gestire i bug di sicurezza – e risolverli non è una “feature” per una versione successiva del software;
3. gestire la memoria è difficile, gestire gli input degli utenti è difficile: tutto l’input deve essere controllato e sanitizzato;
4. non inventarsi soluzioni “fai da te” per problemi noti (memorizzazione password, comunicazioni criptate);
5. un po’ di security through obscurity può servire come piccolo ostacolo per allontanare una grossa porzione di attaccanti poco esperti;
6. eseguire fuzzing;
7. non ritenere che il codice sia “proprietario” in nessun caso.

E altro ancora. Una lettura consigliata a chi voglia iniziare a scrivere software per sapere come avere buone fondamenta senza essere esperti di sicurezza.