Notizie: scarica ora l'ultima versione disponibile di SeaMonkey!

Autore Topic: Ultime novità dal Web sul Mondo Mozilla  (Letto 583352 volte)

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline miki64

  • Moderatore
  • Post: 35461
Re: Ultime novità dal Web sul Mondo Mozilla
« Risposta #3720 il: 03 Settembre 2014 19:38:16 »
Da Punto Informatico:
Firefox e Opera si aggiornano
Nuove versioni per uno dei browser Web più popolari e per il software di navigazione "alternativo" per eccellenza: le novità principali includono una migliore sicurezza nel primo caso, la preview delle schede non in focus nel secondo.

Offline Geko

  • Post: 1376
Re: Ultime novità dal Web sul Mondo Mozilla
« Risposta #3721 il: 06 Settembre 2014 10:53:39 »
Interessante questa nuova funzione riportata nell'articolo di PI:
Citazione
La novità principale del browser del Panda Rosso è dunque rappresentata dall'introduzione del "pinning" delle chiavi crittografiche pubbliche, un meccanismo (standard ratificato dall'IETF) pensato per lasciare fuori dalla porta i cyber-criminali impegnati in attacchi di tipo man-in-the-middle.
Qualcuno saprebbe spiegare di preciso come funziona e come gestirla?
Mi sbaglierò,ma su SUMO ho già letto di qualche sito che non si apre più per via di questa funzione.

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: Ultime novità dal Web sul Mondo Mozilla
« Risposta #3722 il: 06 Settembre 2014 11:15:45 »
Citazione
Mi sbaglierò,ma su SUMO ho già letto di qualche sito che non si apre più per via di questa funzione.

Boh, in teoria gli unici due siti supportati al momento sono addons.mozilla.org e twitter.com.

Praticamente permettono a quei siti di specificare le QA autorizzate a emettere i certificati per il dominio.

Nelle QA che sono di default accettate da Firefox ci sono Very Sign e Thawte e molte altre.

- Senza key pinning

qualsiasi certificato emesso dalle QA accettate da Firefox può validare il sito sito1.com

- Con key pinning

sito1.com dice che l'unica QA autorizzata a validarlo è Thawte.
Ogni altro certificato, esempio uno di Very Sign, viene rifiutato.


Offline Mte90

  • Moderator
  • *****
  • Post: 1333
    • Mte90.Net
Re: Ultime novità dal Web sul Mondo Mozilla
« Risposta #3723 il: 07 Settembre 2014 13:04:35 »
L'attacco man in the middle vuol dire qualcuno che si inserisce in una comunicazione permettendogli di leggere, inserire o modificare messaggi tra le due parti comunicanti.
Praticamente un sito in modalità HTTPS usa un certificato SSL che è rilasciato da un'ente. Questi enti sono registrati nei browser ma se qualcuno crea un certificato dicendo che è di un dato ente ma non lo è e si mette in mezzo tra le comunicazioni facendo credere al browser di essere il vero ente bèh si frega il browser e l'utente.
Firefox invece ha un'archivio che specifica quali sono gli enti che hanno realizzato i certificati per quei siti. In questo modo viene fatto un confronto per i falsi certificati rilasciati da enti inesistenti.

Offline Geko

  • Post: 1376
Re: Ultime novità dal Web sul Mondo Mozilla
« Risposta #3724 il: 09 Settembre 2014 18:00:49 »
Allora se ho capito quanto detto da gialloporpora,questa nuova modalità di cerificazione si affianca e  non sostituisce quella attuale?
E so ho capito quello che ha detto mte90,Firefox oltre ai certificati dovrà avere un apposito archivio contenente anche l'origine dei certificati stessi e l'ente che ha rilasciato di fatto il certificato per il sito a cui ci si sta connettendo,facendo quindi una verifica volta per volta?

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: Ultime novità dal Web sul Mondo Mozilla
« Risposta #3725 il: 09 Settembre 2014 20:52:57 »
È solamente una protezione ulteriore, in questo modo se una CA smarrisce i certificati a causa di un attacco informatico non si rischia che firmi certificati per siti con cui nulla ha a che fare.
Credo la cosa sia partita da qui:
http://googleonlinesecurity.blogspot.it/2011/08/update-on-attempted-man-in-middle.html

Praticamente, riassumendo brevemente, gli attacker (il governo iraniano) aveva rubato le chiavi digitali di DigiNotar (anagrammato è (Iran Got ID) che era una società  che aveva una sicurezza abbastanza scarsa per essere una autority preposta alla certificazione dei certificati.
Digi Notar è stata tolta da tutte le liste di CA e ha chiuso.
Il problema era che per qualche tempo il governo iraniano aveva fatto un fake sito di GMail rubando password e leggendo mail di attivisti. 

Sarebbe stato molto complicato accorgersi della falsificazione del certificato se Chrome non avesse avuto questa funzionalità implementata (ma allora lo poteva fare solo Chrome perché era prodotto dalla stessa società che gestiva il sito di GMail).

Col public key pinning questa ulteriore difesa potrà essere utilizzata da tutti i browser e per tutti i siti (non solo Gmail).

Edit: 
Mozilla aggiorna spesso le CA e fa molta attenzione a chi inserisce, ad esempio è di oggi la notizia che toglierà tutte quelle che hanno una chiave RSA di soli 1024 bit:
http://mzl.la/1lSxyym
altri browser non fanno lo stesso, vedi questo vecchio articolo:
http://ww.bellaciao.org/it/spip.php?article28663
« Ultima modifica: 09 Settembre 2014 21:23:22 da gialloporpora »


Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: Ultime novità dal Web sul Mondo Mozilla
« Risposta #3727 il: 16 Settembre 2014 13:28:50 »
Firefox sneaks out an “inbetweener” update, with security improvements rather than fixes | Naked Security
Citazione
Mozilla's most recent Fortytwosday (2014-09-03).

But if needs must, Mozilla delivers in-between updates, too.



Firefox e i servizi di condivisione | Gioxx's Wall
Citazione
Probabilmente non siete neanche a conoscenza della sua esistenza ma Mozilla ha creato già tempo fa un piccolo portale che racchiude tutti i servizi di condivisione integrabili in Firefox, lo trovate all’indirizzo activations.cdn.mozilla.net/it e potrete rapidamente arricchire il pulsante di condivisione aggiungendo i servizi che intendete utilizzare. Twitter, Facebook, Google+ o magari tumblr passando da pocket. I servizi non sono ancora molti ma ci sono i più utilizzati e diffusi, per aggiungerli al browser vi basterà davvero un clic per selezionare la piattaforma e uno per confermare l’aggiunta al vostro browser.



Creating the New Mozilla Logo – We Need YOUR Help | about:pixels
Citazione
Every interaction people have with Mozilla is an opportunity to help them understand who we are and why our mission matters. To make the most of these moments, we’re creating a new Mozilla logo that will represent our values and help communicate the story of our brand. (If you’re new to this project I recommend reading the overview and a couple of earlier blog posts to get caught up on the strategy.)



Firefox OS Translation Evaluation Registration
Citazione
This session will take place 22-26 September and requires 30-60 minutes of participation per day. When you participate each day is entirely up to you to determine. There will be a video training that you will need to complete before 21 September to participate. If you have any questions about the training, you can join us in #MQM on Mozilla's IRC server.

Offline fabrixx

  • Post: 5883
Re: Ultime novità dal Web sul Mondo Mozilla
« Risposta #3728 il: 17 Settembre 2014 21:01:21 »
Grameenphone launches Firefox smartphone

Per la news di gialloporpora sul logo segnalo questo canale YouTube e questo blog.


Con about:config - browser.tabs.drawInTitlebar = TRUE (ma non per linux) si dovrebbe avere questo

« Ultima modifica: 17 Settembre 2014 22:07:28 da fabrixx »

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: Ultime novità dal Web sul Mondo Mozilla
« Risposta #3729 il: 24 Settembre 2014 14:24:05 »
Phasing Out Certificates with SHA-1 based Signature Algorithms | Mozilla Security Blog
Citazione
We plan to add a security warning to the Web Console to remind developers that they should not be using a SHA-1 based certificate. We will display an additional, more prominent warning if the certificate will be valid after January 1, 2017, since we will reject that certificate after that date. We plan to implement these warnings in the next few weeks, so they should be appearing in released versions of Firefox in early 2015. We may implement additional UI indicators later. For instance, after January 1, 2016, we plan to show the “Untrusted Connection” error whenever a newly issued SHA-1 certificate is encountered in Firefox. After January 1, 2017, we plan to show the “Untrusted Connection” error whenever a SHA-1 certificate is encountered in Firefox.

PS: avete mai visto chi è l'inventore degli algoritmi SHA-1 e SHA-2?
« Ultima modifica: 24 Settembre 2014 14:27:27 da gialloporpora »

Offline Iceberg

  • Moderatore
  • Post: 9013
Re: Ultime novità dal Web sul Mondo Mozilla
« Risposta #3730 il: 24 Settembre 2014 15:04:42 »
Vuoi dire che in pratica quegli algoritmi sarebbero sicuri come bere un bicchiere di cicuta?  :P

Offline Underpass

  • I've got fabric to sell
  • Amministratore
  • Post: 24618
    • Mozilla Italia
Re: Ultime novità dal Web sul Mondo Mozilla
« Risposta #3731 il: 24 Settembre 2014 15:22:31 »
Chi è?

Offline Iceberg

  • Moderatore
  • Post: 9013
Re: Ultime novità dal Web sul Mondo Mozilla
« Risposta #3732 il: 24 Settembre 2014 15:25:24 »
La famigerata NSA.

Offline Underpass

  • I've got fabric to sell
  • Amministratore
  • Post: 24618
    • Mozilla Italia
Re: Ultime novità dal Web sul Mondo Mozilla
« Risposta #3733 il: 24 Settembre 2014 15:29:04 »
Ah, certo, pensavo che parlaste di qualche personaggio famoso. :)

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: Ultime novità dal Web sul Mondo Mozilla
« Risposta #3734 il: 24 Settembre 2014 15:56:31 »
Sembrano essere sicuri, però è per lo meno curioso che ci si debba fidare di algoritmi creati da chi ha fatto di tutto per crackarli, anzi mi sa che è proprio l'aver saputo che l'autore è uno dei principali attori coinvolti nel volerli indebolire che ha messo fretta a MS, Google e C.
L'unica cosa che mi fa stare un po' più tranquillo è che quegli algoritmi sono abbastanza “vecchi”  e sviluppati prima che alla NSA arrivasse il signor arraffatutto, Keith Alexander, che ha dettato gli ultimi 10 anni di politica dell'agenzia.

L'unico altro algoritmo, di matrice europea,  è il RIPEMD, però sembra meno sicuro di quelli della famiglia SHA-2. In fase di Beta c'è SHA3 (che vede anche degli italiani fra gli autori), però credo ci vorrà un bel po' prima che lo mandino in produzione.

PS: per i paranoici, E Enigmail usa di default SHA1 ma si può cambiare.
« Ultima modifica: 24 Settembre 2014 15:58:31 da gialloporpora »

0 Utenti e 1 Visitatore stanno visualizzando questo topic.