Topic: geo.enabled in Thunderbird?

[Winfox]

Casualmente ho visto che esiste questa preferenza anche nel programma di posta.
Intanto l'ho messa su false, ma mi chiedevo la sua funzione.

[deckard]

Ad una prima ricerca su DuckDuckGo pare che lo scopo sia quello di riportare a Google il proprio indirizzo IP. Credo che lo scopo sia la geolocalizzazione dell'utente. Con quali finalità di preciso, lo ignoro ancora...

[michro]

Per quanto riguarda Firefox
http://www.mozilla.org/it/firefox/geolocation/

Le finalità di geolocalizzare un utente attraverso l'utilizzo di un client di posta come Thunderbird mi lasciano perplesso. Mail/spam mirate?

[deckard]

Forse per implementare la funzione di far sapere che i messaggi ricevuti sono stati inviati dal mittente quando si trovava nella località a cui si è risaliti con la geolocalizzazione. Questo servirebbe anche a prevenire truffe, scam, spam, phishing. M'è venuto in mente...
Cioè se Banca Paperon-De-Paperoni Spa di Paperopoli mi scrive di verificare il mio home banking e il messaggio proviene da "In-Capo-Al-Mondo" mi sorgono dei dubbi...

[Winfox]

Resta il fatto che su Firefox la richiesta di localizzazione avviene su invito e quando c'è un senso, su TB appunto manca il senso.
La risposta di Deckard mi fa pensare ad una specie di cookie: possibile?

A questo punto mi viene da pensare alla visualizzazione di immagini da remoto....

Ha senso installare addon di sicurezza anche su TB? Voi lo fate?

[klades]

Che ci sia la preferenza non è strano, visto che Thunderbird condivide una gran parte di codice con Firefox.

La geolocalizzazione si basa su javascript, che di default è disabilitato, quindi non vedo che problema possa esserci con la posta. Non diffondiamo allarmismo infondato con affermazioni tipo "riportare a Google il proprio indirizzo IP", che tecnicamente non può accadere con i messaggi, dato che nessuno - credo - tenga javascript abilitato.

[deckard]

Non è proprio una questione di Cookie, si tratta di rintracciare il mittente di una email dal suo indirizzo IP come forma di ulteriore sicurezza e, se possibile, di prevenzione di virus, phishing, scam, e similia. Poi è probabile che abilitare la geolocalizzazione sia ridondante.

[klades]

Non è proprio una questione di Cookie, si tratta di rintracciare il mittente di una email dal suo indirizzo IP come forma di ulteriore sicurezza e, se possibile, di prevenzione di virus, phishing, scam, e similia. Poi è probabile che abilitare la geolocalizzazione sia ridondante.

Cosa c'entra questo con la geolocalizzazione???

[deckard]

Ho cercato di fare una ipotesi. Magari sbagliando in buona fede. Tutto qui.
E comunque non era mia intenzione diffondere allarmismo e mi scuso se ho sbagliato in ciò... e comunque non sarei troppo sicuro che nessuno tiene abilitato Javascript.

[klades]

Chiariamo un po' i termini della questione: per capire cosa è la "geolocalizzazione" consiglio di leggere questa pagina http://www.mozilla.org/it/firefox/geolocation/

In sintesi è un metodo con cui il client (Firefox o - ipoteticamente - Thunderbird) comunica la propria posizione geografica ad un sito/server con questo meccanismo:

- la pagina contiene una richiesta di geolocalizzazione, attraverso un codice javascript
- se l'utente ha geo.enabled su true, il client chiede il permesso all'utente di procedere
- se l'utente acconsente, l'indirizzo IP viene trasformato prima in localizzazione geografica attraverso un servizio apposito (Firefox usa un servizio di Google) e quindi viene inviata al sito la posizione geografica

Con javascript disabilitato tutto ciò non può assolutamente avvenire.
E' ovvio che in via ipotetica io potrei mandare un messaggio con una richiesta di geolocalizzazione dentro e poi venire a sapere dove sta chi lo legge, ma questo richiede che javascript sia abilitato (cosa assolutamente sconsigliata e per questo da sempre disabilitato di default in Thundebird) e che l'utente acconsenta.
Lo stesso vale per i feed RSS.

Tutto il resto non c'entra nulla.

[deckard]

Grazie del chiarimento e mi scuso dell'errore da parte mia.
E comunque il tracciamento richiede il consenso da parte di chi riceve il messaggio oltre all'abilitazione di Javascript (cosa che dovrebbe essere molto insicura, motivo per cui anche tu la sconsigli altamente)...
Poi hai ragione nel dire, se capisco correttamente, che allarmismi e paranoie probabilmente servono a poco o a nulla.

[Geko]

Con javascript disabilitato tutto ciò non può assolutamente avvenire.
E' ovvio che in via ipotetica io potrei mandare un messaggio con una richiesta di geolocalizzazione dentro e poi venire a sapere dove sta chi lo legge, ma questo richiede che javascript sia abilitato (cosa assolutamente sconsigliata e per questo da sempre disabilitato di default in Thundebird)

Qualcosa non mi torna,incuriosito da questa discussione sono andato a controllare nell'editor di configurazione ed ho trovato javascript.enabled su true di default,tanto è vero che ora che l'ho messo a false risulta così

Codice: [Seleziona]

javascript.enabled user set boolean false
quindi quale sarebbe realmente il valore di default? E' forse diverso a seconda delle versioni di Thunderbird,il che mi sembrerebbe strano? La mia versione per la cronaca sarebbe la ESR  10.0.12 .
           

         
Lo stesso vale per i feed RSS.

Visto che ci siamo,di preciso in che senso lo stesso vale per i feed RSS? Se javascript è abilitato,potrebbero sfruttare lo stesso meccanismo dei messaggi email?

[klades]

Con javascript disabilitato tutto ciò non può assolutamente avvenire.
E' ovvio che in via ipotetica io potrei mandare un messaggio con una richiesta di geolocalizzazione dentro e poi venire a sapere dove sta chi lo legge, ma questo richiede che javascript sia abilitato (cosa assolutamente sconsigliata e per questo da sempre disabilitato di default in Thundebird)

Qualcosa non mi torna,incuriosito da questa discussione sono andato a controllare nell'editor di configurazione ed ho trovato javascript.enabled su true di default,tanto è vero che ora che l'ho messo a false risulta così

Codice: [Seleziona]

javascript.enabled user set boolean false
quindi quale sarebbe realmente il valore di default? E' forse diverso a seconda delle versioni di Thunderbird,il che mi sembrerebbe strano? La mia versione per la cronaca sarebbe la ESR  10.0.12 .
           

         
Lo stesso vale per i feed RSS.

Visto che ci siamo,di preciso in che senso lo stesso vale per i feed RSS? Se javascript è abilitato,potrebbero sfruttare lo stesso meccanismo dei messaggi email?

Grazie per le tue domande, mi hanno spinto a controllare meglio lo stato dell'arte sul codice di Thunderbird e posso essere più preciso. A partire da TB3 la situazione è questa:

- Javascript per i messaggi è disabilitato e non può essere in alcun modo abilitato (cfr. http://kb.mozillazine.org/Javascript.allow.mailnews e http://mozilla.6506.n7.nabble.com/JavaScript-in-messages-for-Tb3-td181342.html). Sotto questo profilo quindi non ci sono preoccupazioni di alcun genere;

- Javascript è abilitato di default per i contenuti diciamo "tipo web": feed RSS e anche pagine web (ad esempio tramite estensioni come Thunderbrowse). La preferenza "javascript.enabled" controlla solo questa caratteristica. Per sua natura questo non crea problemi di sicurezza in linea generale, è la stessa situazione che si verifica navigando con Firefox. Comunque se si usano i feed RSS e non si vuole consentire l'esecuzione di Javascript si può fare mettendo "javascript.enabled" a "false".

Per quanto riguarda nello specifico "geo.enabled", il discorso è lo stesso: non può mai essere eseguito nei messaggi di posta. Può essere eseguito nei feed RSS (e nelle pagine web se si usa Thunderbrowse), ma comunque richiede sempre l'ok dell'utente.

In sintesi: se si usa Thunderbird solo per la posta non ci si deve preoccupare di Javascript perché è disabilitato e non si può attivare. Se si usa Thunderbird anche per i feed RSS o per il web tramite Thunderbrowse, il mio consiglio è di comportarsi come ci si comporterebbe con Firefox.

[deckard]

Grazie a te delle precisazioni.
Andrò a nascondermi in bagno per coprirmi il capo di cenere
Posto che :
- Javascript è abilitato di default per i contenuti diciamo "tipo web" e non può essere in alcun modo per i messaggi e-mail (che senso avrebbe poi nelle e-mail?!?)
- Javascript può essere eseguito nei feed RSS (e nelle pagine web se si usa Thunderbrowse), ma comunque richiede sempre l'ok dell'utente e quindi la geolocalizzazione può avvenire solo in questi casi e dietro il consenso dell'utente
- il consiglio è di comportarsi come ci si comporterebbe con Firefox, cioé un utilizzo consapevole e prudente, cioè la prima sicurezza sta nell'utilizzo corretto di un prodotto

Mi chiedo che senso avrebbe una geolocalizzazione fatta tramite i Feed RSS o il contenuto WEB visualizzato tramite Thunderbird (e che comunque credo che richieda estensioni come Thunderbrowse...) ?!?

EDIT: Aggiunta. in Firefox esiste un codice identificativo casuale del client che è un cookie. Se ho capito bene. (Correggetemi, per cortesia, se ho sbagliato!) In Thunderbird esiste qualcosa di analogo ?

[Geko]

Grazie 1000 a klades per la dotta dissertazione,mi stava venendo un colpo a pensare che javascript fosse abilitato di default per le mail

in quanto a questo argomento

Javascript è abilitato di default per i contenuti diciamo "tipo web": feed RSS e anche pagine web (ad esempio tramite estensioni come Thunderbrowse). La preferenza "javascript.enabled" controlla solo questa caratteristica. Per sua natura questo non crea problemi di sicurezza in linea generale, è la stessa situazione che si verifica navigando con Firefox. Comunque se si usano i feed RSS e non si vuole consentire l'esecuzione di Javascript si può fare mettendo "javascript.enabled" a "false".

rimango però poco convinto,se non sbaglio l'eventuale esecuzione di codice javascript malevolo o comunque poco "trasparente" va ben  oltre la problematica della geolocalizzazione,rappresenta una vulnerabilità a sé stante ed è proprio per questo che in tanti usiamo NoScript in Firefox,questa preferenza in Thunderbird dovrebbe essere a false  di default.
Mi sembra un pò troppo consentire l'esecuzione di javascript ai feed RSS,che sono per loro natura brevi notizie,che contenuto dovrebbero avere per necessitare di javascript?