Super video andrea, specialmente la storia dei cookie che non conoscevo, più la discussione sul tracking tramite etag (ci sarebbero mille discussioni rispetto alle differenze tra visione legale e tecnica nel mondo cyber, della serie chi fa leggi si spacca il culo per regolamentare un aspetto tecnico, mentre poi le features che ti permettono di ottenere la stessa cosa sono tante e varie e chi si sporca le mani continua a utilizzare roba non regolamentata). Rispetto alla fine del video, se ho capito bene questo nuovo meccanismo eviterebbe attacchi tipo session hijacking, quello sì, però le XSS sarebbero comunque un problema in quanto il codice JS viene eseguito effettivamente sul browser vittima, che quindi dovrebbe aver accesso alla chiave del dispositivo. Alla fine sarebbe più una remediation contro quelli attacchi che vanno a rubare il cookie per utilizzarlo su un altro browser. 🔥
Grazie! Vero, anche se per quegli use cases dove XSS e JavaScript injection permettono di fare cose lato client, abbiamo già delle remediation possibili (vedi content security policy in primis) anche se non vengono implementate correttamente da molti purtroppo. Questa nuova funzionalità, unita a quelle già presenti, dovrebbe effettivamente abbattere l'impatto di vulnerabilità come XSS. Sono curioso di vedere come evolverà quando DBSC verrà reso disponibile anche per altri sistemi operativi
Vero, e in molti casi ha fatto la differenza obbligando aziende a stare dentro determinate best practice. Sulla cookie law non ci siamo purtroppo, speriamo che possa adattarsi in futuro a ciò che succede nella realtà senza instillare un falso senso di sicurezza negli utenti
credo non siano compliant in quel caso. Secondo EDPB (www.edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf) "...a vast majority of authorities considered that the absence of refuse/reject/not consent options on any layer with a consent button of the cookie consent banner is not in line with the requirements for a valid consent and thus constitutes an infringement."
Grande Andrea, i tuoi video sono sempre pazzeschi per la qualità degli argomenti e la chiarezza espositiva.
Super video andrea, specialmente la storia dei cookie che non conoscevo, più la discussione sul tracking tramite etag (ci sarebbero mille discussioni rispetto alle differenze tra visione legale e tecnica nel mondo cyber, della serie chi fa leggi si spacca il culo per regolamentare un aspetto tecnico, mentre poi le features che ti permettono di ottenere la stessa cosa sono tante e varie e chi si sporca le mani continua a utilizzare roba non regolamentata).
Rispetto alla fine del video, se ho capito bene questo nuovo meccanismo eviterebbe attacchi tipo session hijacking, quello sì, però le XSS sarebbero comunque un problema in quanto il codice JS viene eseguito effettivamente sul browser vittima, che quindi dovrebbe aver accesso alla chiave del dispositivo. Alla fine sarebbe più una remediation contro quelli attacchi che vanno a rubare il cookie per utilizzarlo su un altro browser.
🔥
Grazie! Vero, anche se per quegli use cases dove XSS e JavaScript injection permettono di fare cose lato client, abbiamo già delle remediation possibili (vedi content security policy in primis) anche se non vengono implementate correttamente da molti purtroppo. Questa nuova funzionalità, unita a quelle già presenti, dovrebbe effettivamente abbattere l'impatto di vulnerabilità come XSS. Sono curioso di vedere come evolverà quando DBSC verrà reso disponibile anche per altri sistemi operativi
Bello, bello, vedremo. Ma cosa mi dici dell'impatto sulle risorse del computer e sulla velocità del browser, soprattutto durante un uso intensivo?
Unica nota, il GDPR ha una copertura più ampia. Non è lo strumento migliore, ma è pur sempre qualcosa verso una direzione
Vero, e in molti casi ha fatto la differenza obbligando aziende a stare dentro determinate best practice. Sulla cookie law non ci siamo purtroppo, speriamo che possa adattarsi in futuro a ciò che succede nella realtà senza instillare un falso senso di sicurezza negli utenti
perdonami ma l'autocomplite del codice come si chiama ?? se è un estensione, e tipo github copilot??
Esatto, copilot su vscode 😁 consigliatissimo
Offtopic: di chi è la canzone in sottofondo all'outro?
generata con AI :D
Che ne pensi del fatto che alcuni siti non ti danno la possibilità di rigettare la richiesta dei cookie?
credo non siano compliant in quel caso. Secondo EDPB (www.edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf)
"...a vast majority of authorities considered that the absence of refuse/reject/not consent options on any layer with a consent button of the cookie consent banner is not in line with the requirements for a valid consent and thus constitutes an infringement."
@@rev3rsesecurity ottimo!