Pagina 1 di 4
Maurizio Fonte - Consulente Informatico - Ingegnere del Software e Cyber Security Specialist Freelance
Ogni codebase PHP legacy che eredo ha la stessa peste: costanti integer o stringhe magiche per rappresentare stati di business. ORDINE_STATO_1, ORDINE_STATO_2. Con PHP 8 Enums, ho modernizzato un sistema ordini trasformando 40 costanti sparse in enum tipizzati con metodi di dominio. Il codice è diventato leggibile. Continua a leggere
Dal punto di vista di un attaccante, il codice LLM-generated è una miniera d'oro. I pattern ricorrenti - concatenazione di input in query, gestione uniforme degli errori che leak info sensibili, assunzioni di sanitizzazione fatte dall'LLM senza dirlo - sono sfruttabili con PoC mirati. Ti racconto 5 classi di attacco osservate su codice reale, con exploit dimostrato e la strategia di difesa applicativa che uso in audit. Continua a leggere
Security testing manuale è costoso e non scala. Ho costruito un layer di security testing automatico nella pipeline GitHub Actions di un cliente: PHPStan per l'analisi statica, OWASP ZAP in modalità baseline per il DAST, Trivy per i container. Zero colli di bottiglia, il tempo di CI è aumentato solo di 4 minuti. Continua a leggere
Le pipeline CI/CD sono diventate un vettore di attacco privilegiato: compromettere un'action GitHub condivisa significa comprometterne tutti i consumer. Ho auditato le pipeline di dieci clienti e trovato action appuntate a tag mutabili, secrets esposti nei log, e workflow con permessi eccessivi. Vi mostro le fix. Continua a leggere
Self-hosting di LLM medi (Llama 3 70B, Mistral Large) richiede GPU di classe A100 o H100 che non trovi su Hetzner o OVH tradizionali. I provider specializzati sono Scaleway (EU, GDPR-friendly), Lambda Labs (best performance, US-based), RunPod (cheapest spot instances). Ti mostro il confronto su workload reali: costi orari effettivi per token, latenza, affidabilità dell'orchestrazione, compliance GDPR per PMI italiane che non possono esportare dati fuori dall'UE. Continua a leggere
ModSecurity con le regole OWASP CRS di default blocca il 30% delle richieste legittime su applicazioni PHP complesse. Il tuning è il lavoro vero. Vi mostro il processo che uso: audit mode per una settimana, analisi delle regole che scattano di più, whitelist chirurgiche e graduale passaggio a blocking mode. Continua a leggere
Un'API key di produzione finita su GitHub pubblico per errore di un junior. Con pre-commit hooks avrei potuto prevenirlo. Vi mostro il setup che uso su tutti i miei progetti: detect-secrets per le credenziali, PHPStan per i bug evidenti, licenza check e formattazione automatica. Installazione in 10 minuti. Continua a leggere
JWT è facile da implementare male. Ho trovato algorithm confusion attack (alg: none) in tre API Laravel auditate nell'ultimo anno - una vulnerabilità che permette di forgiare token validi senza conoscere il segreto. Vi spiego le vulnerabilità tipiche e il pattern di implementazione sicura con firebase/php-jwt. Continua a leggere
Python è la lingua franca delle librerie AI: Langchain, Transformers, LlamaIndex. PHP non ha questo ecosistema, ma ha la logica di business. La soluzione pragmatica è un'architettura ibrida: FastAPI come orchestrator degli LLM, Laravel come backend di dominio. Ti mostro il pattern di comunicazione, l'autenticazione inter-servizi, il deployment su singolo VPS e le trappole che ho incontrato mettendo questa architettura in produzione. Continua a leggere
Ho trovato una vulnerabilità critica in un gestionale PHP usato da 300 PMI italiane. Non era un mio cliente. La gestione della disclosure è stata complicata: il vendor non aveva un canale dedicato, i tempi di fix erano incerti, e le PMI erano a rischio. Vi racconto come ho gestito ogni fase. Continua a leggere
