Autore Topic: Problema di sicurezza scoperto dal sito secunia (Letto 6802 volte)

MatrixIsAllOver · « **Risposta #15 il:** 12 Dicembre 2004 15:09:36 »

Innanzitutto mi scuso anche perché "involontariamente" ho interpretato in maniera contorta la questione dell' immagine

...
Mi spiego meglio : cliccando sia sul primo che sul secondo link, visualizzavo l' immagine che vado a postare

:arrow:

Avevo quindi erroneamente pensato che "il logo" che Secunia indicava non apparisse proprio nel caso che si superasse il test

, ed invece l' immagine rientra in una delle complesse stringhe di filtraggio di AdBlock

Mi spiace, forse ho voluto talmente credere che FF fosse immune, che ho proprio escluso a priori di controllare fra le innumelerovi stringhe di AdBlock

Purtroppo anche Firefox non è immune a tale spiacevole situazione

Quoto pertanto con molto dispiacere che è una falla che colpisce tutti i browser, e credo dovrebbe essere "un' atto d' ingegno il non utilizzare quei comandi javascript", da parte di chi crea questi siti innanzitutto...

halifax · « **Risposta #16 il:** 12 Dicembre 2004 15:35:22 »

Citazione da: MatrixIsAllOver

Innanzitutto mi scuso anche perché "involontariamente" ho interpretato in maniera contorta la questione dell' immagine ...
Mi spiego meglio : cliccando sia sul primo che sul secondo link, visualizzavo l' immagine che vado a postare
:arrow:

Avevo quindi erroneamente pensato che "il logo" che Secunia indicava non apparisse proprio nel caso che si superasse il test , ed invece l' immagine rientra in una delle complesse stringhe di filtraggio di AdBlock
Mi spiace, forse ho voluto talmente credere che FF fosse immune, che ho proprio escluso a priori di controllare fra le innumelerovi stringhe di AdBlock
Purtroppo anche Firefox non è immune a tale spiacevole situazione

Quoto pertanto con molto dispiacere che è una falla che colpisce tutti i browser, e credo dovrebbe essere "un' atto d' ingegno il non utilizzare quei comandi javascript", da parte di chi crea questi siti innanzitutto...

Anch'io uso ad block Matrix quindi devo pensare che al momento sia l'unica protezione sperando che con i suoi filtri non ci visualizzi immagini di quel tipo.
Comunque come ho postato precedentemente,non è un discorso di falla,ma un comportamento normale dei browser sviati da comandi javascript dei siti vweb.
Se no penso,visto che è già qualche giorno che se ne parla,che qualche produttore avrebbe già preso in considerazione il fatto di distribuire una patch,o perchè stanno ancora valutando la situazione o perchè non la ritengono tanto grave(e sbagliano

)lasciando il problema sulle spalle di ogni singolo utente(e poi si lamentano del fatto che sono ancora in pochi ad utilizzare i servizi internet per certe operazioni finanziare

)
Ciao

halifax · « **Risposta #17 il:** 12 Dicembre 2004 15:40:13 »

A ulteriore conferma di quanto postato prima vi aggiungo uno stralcio dell'articolo di punto informatico molto interessante al riguardo:

Sebbene Thomas Kristensen, chief technology officer di Secunia, ammetta che la "vulnerabilità" non è originata da un errore di programmazione vero e proprio, egli sostiene che essa è in ogni caso il frutto di una grave svista: nessuno dei browser testati dalla società, ha infatti spiegato Kristensen, controlla se il sito che sta modificando un pop-up è autorizzato a farlo. Ad aggravare la cosa interviene poi il fatto che la finestra pop-up è generalmente priva della barra di navigazione, e dunque l'URL della pagina web malevola non viene visualizzato.

In attesa che i produttori di browser modifichino il comportamento dei propri programmi, Secunia suggerisce agli utenti di navigare sui siti protetti tenendo aperta una sola finestra del browser.

Ciao

P.S.Non l'ho inserito nel post di prima per non renderlo troppo lungo e poco leggibile.

bluesman · « **Risposta #18 il:** 12 Dicembre 2004 21:48:17 »

Ciao a tutti,
ho la versione 1.0 di firefox scaricati da mozillaitalia.org (il tar.gz) su debian linux e non ho riscontrato la vulnerabilità eseguendo il test si secunia
ciao

jarod82 · « **Risposta #19 il:** 13 Dicembre 2004 18:09:06 »

Ah ecco! A me sembrava strano che tutti passaste il test e io no! Cominciavo anche ad innervosirmi... "sarò così scemo da capire male le istruzioni alla decima volta che le rileggo???"

Anche se il fatto che FF sia afflito dalla falla non è positivo...

RNicoletto · « **Risposta #20 il:** 14 Dicembre 2004 09:33:55 »

Ieri ho provato anch'io il test di Secunia: FFX 1.0 + Blocco Popup attivato (primo link) + TBP 1.1.1 = test passato correttamente !

Qualcuno può confermare se l'Extension TBP influisca sui risultati del test ??

jarod82 · « **Risposta #21 il:** 14 Dicembre 2004 18:17:38 »

A tutti quelli che dicono di aver passato il test:

Il test è stato modificato, e forse ora è più chiaro come svolgerlo correttamente.

A parte la scelta del link a seconda se si è attivato il popup-blocker o meno, una volta che si sarà aperta la pagina di USAToday bisogna ANCHE cliccare sul collegamento "Day in Pictures", che è nel menu a sinistra. A quel punto si aprirà un popup... se vedrete una pagina di secunia, NON avrete superato il test... come me

jarod82 · « **Risposta #22 il:** 14 Dicembre 2004 18:18:42 »

No, TBP (almeno per me) non infuisce affatto sul risultato del test... l'ho installata e il test non lo passo comunque...

iacchi · « **Risposta #23 il:** 14 Dicembre 2004 18:42:37 »

ok, test non passato... qualcuno mi può dire qual è la differenza tra i due link con o senza popup blocker dato che puntano entrambi all'home page di usatoday? eppure effettivamente qualcosa cambia...

RNicoletto · « **Risposta #24 il:** 17 Dicembre 2004 13:10:03 »

Citazione da: jarod82

A tutti quelli che dicono di aver passato il test:

Il test è stato modificato, e forse ora è più chiaro come svolgerlo correttamente.

A parte la scelta del link a seconda se si è attivato il popup-blocker o meno, una volta che si sarà aperta la pagina di USAToday bisogna ANCHE cliccare sul collegamento "Day in Pictures", che è nel menu a sinistra. A quel punto si aprirà un popup... se vedrete una pagina di secunia, NON avrete superato il test... come me

Grazie jarod82, adesso è più chiaro !

Effettivamente non ho passato il test...

halifax · « **Risposta #25 il:** 17 Dicembre 2004 18:44:35 »

Anche sulla nuova pagina web il test non viene passato,a questo punto l'unica cosa da fare e seguire il consilgio data dalla stessa secunia e che avevo già inserito in un mio precedente post.

Citazione da: halifax

In attesa che i produttori di browser modifichino il comportamento dei propri programmi, Secunia suggerisce agli utenti di navigare sui siti protetti tenendo aperta una sola finestra del browser

Ciao

iacchi · « **Risposta #26 il:** 04 Gennaio 2005 11:15:44 »

Non risolve il problema, però c'è un'utile estensione, spoofstick, che ti permette di vedere l'host del sito che si sta navigando, permettendo di accorgersi se siamo stati vittima di questo bug, se così si può chiamare.

halifax · « **Risposta #27 il:** 07 Gennaio 2005 19:47:06 »

Oggi sul web mi sono imbattuto su questo articolo che tratta di una toolbar che ha come scopo il contrasto dello phishing,ora supporta purtroppo solo ie

,però in fondo all'articolo si accenna ad un prossimo supporto di ff,dalla descrizione mi sembra leggermente migliore dell'estensione spoofstick per quanto riguarda le opzioni disponibili,
l'articolo è questo:
http://www.zeusnews.it/index.php3?ar=stampa&cod=3660
Ciao

flod · « **Risposta #28 il:** 07 Gennaio 2005 20:09:42 »

Tra pochi minuti pubblico su eXtenZilla.it un'estensione simile: Spoofstick

Gioxx · « **Risposta #29 il:** 08 Gennaio 2005 03:22:41 »

Spero sinceramente che NetCraft limiti quanto più la tempistica di attesa per avere il proprio prodotto anche su Mozilla FireFox.