Topic: Problema di sicurezza scoperto dal sito secunia

[halifax]

Ragazzi vi riporto qui due articoli,uno tratto dal sito secunia che elenca una nuova vulnerabilità dei browser,tra cui anche mozilla e ff(non so se è un bug vecchio di cui abbiamo già discusso):
http://secunia.com/advisories/13129/
Poi la pagina web di bugzilla che parla di un possibile bug riguardo a questa cosa:
https://bugzilla.mozilla.org/show_bug.cgi?id=273699
Che ne dite?
Ciao

P.S.Inserisco anche la pagina web di secunia in cui spiega meglio questa vulnerabilità:
http://secunia.com/multiple_browsers_window_injection_vulnerability_test/

P.P.S.Per la cronaca ho provato a fare il test di cui sopra l'indirizzo web,ed è risultato okey(cioè è comparsa la pagina web giusta e non quella che metteva a nudo la vulnerabilità)

[FRANTO]

A ME NO, CHE VERSIONE DI FIREFOX HAI?

IO HO LA 1.0

[halifax]

A ME NO, CHE VERSIONE DI FIREFOX HAI?

IO HO LA 1.0

Anch'io ho la 1.0,FRANTO ma perchè hai scritto in maiuscolo il post?
Quale dei due indirizzi hai provato,quello che blocca le finestre pop up o l'altro?
Ciao

[FRANTO]

Allora ho fato un po di prove:

premesso che navigo con il blocco dei pop-up attivo
ho notato anche differenze al primo clik e al secondo (senza fare refresh)

col link dei  pop-up bloccati al primo click mi fa vedere la pagina manipolata da secunuia, al secondo mi apre la pagina corretta di city.

con il link senza i pop-up bloccati mi apre la finestra iusta di city ma nella pagina vecchia di secunia (dove c'è il link per il test), la seconda volta mi apre il pop-up giusto.

[MatrixIsAllOver]

     Ma avete letto le istruzioni ?!?      
Vi pregherei prima di scrivere "allarmismi", di verificare che questi siano "effettivamente" tali ...

Step 2
Starting the test is done by clicking the relevant link below. Use the first link if you have a pop-up blocker enabled, or the second link if you do not have a pop-up blocker enabled.

Passo 2
Inizia/avvia il test cliccando il relativo link seguente.
Utilizzare il primo link se si ha il blocco pop-up attivato/attivo, oppure
 utilizzare il secondo link se il blocco pop-up è disattivato

Quindi, in base alle proprie impostazioni e solo dopo aver controllato più volte l' effettivo "stato" del blocco pop-up, procedere ad eseguire il test
E se li si vuole effettuare entrambi correttamente, allora provvedere prima ad attivare / disattivare il blocco pop-up



  Dulcis in fundo : Firefox, che uso col il blocco attivato, cliccando sul primo link, ha superato "a pieni voti" il test  

[Keychan]

     Ma avete letto le istruzioni ?!?      
Vi pregherei prima di scrivere "allarmismi", di verificare che questi siano "effettivamente" tali ...

Step 2
Starting the test is done by clicking the relevant link below. Use the first link if you have a pop-up blocker enabled, or the second link if you do not have a pop-up blocker enabled.

Passo 2
Inizia/avvia il test cliccando il relativo link seguente.
Utilizzare il primo link se si ha il blocco pop-up attivato/attivo, oppure
 utilizzare il secondo link se il blocco pop-up è disattivato

Quindi, in base alle proprie impostazioni e solo dopo aver controllato più volte l' effettivo "stato" del blocco pop-up, procedere ad eseguire il test
E se li si vuole effettuare entrambi correttamente, allora provvedere prima ad attivare / disattivare il blocco pop-up



  Dulcis in fundo : Firefox, che uso col il blocco attivato, cliccando sul primo link, ha superato "a pieni voti" il test  

Anch'io ho il blocco popup attivato (quindi ho cliccato sul primo link   ), però il mio Ffox (1.0)  non ha superato il test.    Mi si è aperta la pagina di secunia

[jarod82]

Anche a me si è aperta la pagina di secunia, blocco popup attivato (tra l'altro, -esiste- qualcuno che ce l'ha disattivato???)

[halifax]

     Ma avete letto le istruzioni ?!?      
Vi pregherei prima di scrivere "allarmismi", di verificare che questi siano "effettivamente" tali ...

Step 2
Starting the test is done by clicking the relevant link below. Use the first link if you have a pop-up blocker enabled, or the second link if you do not have a pop-up blocker enabled.

Passo 2
Inizia/avvia il test cliccando il relativo link seguente.
Utilizzare il primo link se si ha il blocco pop-up attivato/attivo, oppure
 utilizzare il secondo link se il blocco pop-up è disattivato


Quindi, in base alle proprie impostazioni e solo dopo aver controllato più volte l' effettivo "stato" del blocco pop-up, procedere ad eseguire il test
E se li si vuole effettuare entrambi correttamente, allora provvedere prima ad attivare / disattivare il blocco pop-up



  Dulcis in fundo : Firefox, che uso col il blocco attivato, cliccando sul primo link, ha superato "a pieni voti" il test  

  E infatti Matrix avevo fatto pari pari quello che tu hai testè elencato,ho provato il primo link con il blocco pop up attivo(è la mia funzione di default)ed il secondo dopo aver riammesso i pop up,naturalmente ricaricando la pagina.
In entrambi i casi test superato
Ciao

[MatrixIsAllOver]

  E infatti Matrix avevo fatto pari pari quello che tu hai testè elencato,ho provato il primo link con il blocco pop up attivo(è la mia funzione di default)ed il secondo dopo aver riammesso i pop up,naturalmente ricaricando la pagina.
In entrambi i casi test superato
Ciao

Con molto, moltissimo piacere quoto questo post !
Ho provato anche il II link, avendo previamente tolto dalle Opzioni - Proprietà web il blocco dei pop-up e Firefox ha superato a pieni voti anche questo test !  

[iacchi]

a me aperto la pagina di citibank e ha superato il test. Blocco popup attivato

[halifax]

a me aperto la pagina di citibank e ha superato il test. Blocco popup attivato

  Hai provato entrambi i link del test?

[iacchi]

ho provato a fare ripetuti test: se clicco sul link with popup blocker enabled, me lo visualizza correttamente; se clicco sull'altro me lo visualizza correttamente; se poi clicco nuovamente sul primo mi appare un'applicazione js che mi dice che non ho attivo un blocco popup (anche se ce l'ho), e mi apre per bene le pagine della citibank, però mi appare quel messaggio di avviso di test non superato non al posto delle pagine della citibank, bensì al posto della pagina di secunia dove c'erano i link.

[miki64]

Se non erro (spero di no) qualcosa relativo a questo problema lo leggete su
ZeusNews .

[halifax]

Se non erro (spero di no) qualcosa relativo a questo problema lo leggete su
ZeusNews .

  Hai fatto benissimo miki64 a postare questo indirizzo,infatti purtroppo il bug c'è  
Mi spiego meglio,il sito secunia è stato un pò criptico nella spiegazione del test(o forse un pò disattenti noi nel leggere,o almeno io personalmente),infatti leggendo l'articolo postato da miki64,il vero test si effettua cliccando si sui link proposti,però una volta giunti sul sito della citibank bisogna ulteriormente cliccare su un'immagine(sarebbe questa: http://s04.imagehost.org/1113/fraud_alert.gif ) la quale purtroppo mostra la finestra di secunia(in entrambi i casi sia con il blocco pop up che senza).
Il problema a questo punto però è se sia giusto parlare di bug di sicurezza o meno,nel senso che leggendo altri articololi per il web  molti sono portati a prenderlo più come un comportamento che tutti i browser hanno(e forse sempre avuto)nell'intersgire con i siti che usano javascript(infatti la soluzione che viene proposta è appunto quella di disabilitare questa funzione in attesa di un eventuale patch,con ovvi problemi sulla visualizzazione di molti siti però).
Ciao

[iacchi]

io ho sempre cliccato su quel pulsante, e i risultati sono quelli descritti sopra.