Autore Topic: Secunia: spoofing e problema di sicurezza per Firefox (Letto 5822 volte)

Khan · « **il:** 08 Febbraio 2005 11:07:28 »

Sfogliando http://www.wintricks.it/index.shtml mi sono imbattuto su 2 notizie sconcertanti:

Un problema di sicurezza in Mozilla, Firefox, Opera e Konqueror può essere sfruttato per lo spoofing dell'indirizzo mostrato nella comune barra degli indirizzi, nella status bar e nei certificati SSL. La vulnerabilità concerne l'implementazione del IDN (International Domain Name).

Il bug può essere sfruttato registrando domini con certi caratteri internazionali, che appaiono come comuni caratteri, al fine di apparire "trusted site".

Thomas Kristensen, CTO di Secunia, ha dichiarato che il problema non appare come una comune vulnerabilità, bensì un serio problema di sicurezza causato da una inappropriata implementazione dell'IDN.

La vulnerabilità affligge, secondo i reports di Secunia, Mozilla 1.7.5, Firefox 1.0, Konqueror 3.2.2 e Opera 7.54.
Non è escluso che anche altre versioni possano essere affette.
E' possibile testare il proprio browser utilizzando il test** messo a disposizione da Secunia.

Secunia inoltre ha avvisato gli utenti di non seguire links da fonti non considerate sicure e di editare manualmente l'URL che si vuole visitare.
------------------

Il successo di Firefox è anche dovuto alla sua totale 'pulizia' intesa come totale assenza da spyware od Adware. Gli esperti dicono che l'aumentata popolarità del browser di casa mozilla lo rende uno dei target preferiti dalle case produttrici di spyware e prevedono che entro l'anno Firefox potrebbe cominciare ad integrarne qualcuno.

Altri 'esperti' non sono d'accordo con questa visione della situazione e prevedono che gli spyware, se dovessero arrivare a firefox, non lo faranno in tempi brevi.
-----------------

** il test si può eseguire su http://secunia.com/multiple_browsers_idn_spoofing_test/

Ciao belli

[/code]

miki64 · « **Risposta #1 il:** 08 Febbraio 2005 11:15:45 »

Caro Khan, non prendertela come un rimprovero, ma:
1) l'argomento non andava discusso nella sezione di Firefox, ma in "Discussioni su Mozilla";
2) se non erro (ma forse erro), se ne era già parlato in passato;
3) "Notizie" è comunque uno dei peggiori titoli che tu potevi appioppare al thread: per cortesia, cerca di essere sempre più descrittivo nei topics, grazie!

Pacopas · « **Risposta #2 il:** 08 Febbraio 2005 11:52:41 »

Ho fatto anche io le mie prove su due computer

Prova con FF
1 computer
il test mi carica una pagina di monito che mi avverte che il sito che sto visualizzando è un test, che il mio browser non è del tutto sicuro pochè l'indirizzo della barra non rispecchia quello da me visualizzato
2 computer
idem

Prova con IE
1 computer
non mi carica proprio la pagina
2 computer
non solo mi carica la pagina ma non mi avverte che c'è un errore e mi chiede di istallare un software

conclusioni
nulla ormai ci riserva dai rischi della rete in pieno
comunque
i migliori anti virus (a pagamento) e generis ci permettono di aiutarci, sempre se settati a dovere, avendo opzioni di sicurezza di ogni genere ma serve anche un po di esperienza del web e conoscenza del software per essere al sicuro.
lo stesso discorso si puo fare per i browser
i migliori ci permettono di configurarli a dovere ma serve sempre un po di esperienza del web e conoscenza del software per essere al sicuro.

i peggiori non possono essere configurati anche conosci il software e hai esperienza del web.

Ps
una mia personale considerazione
un programma che in tutto pesa una ventina di mega è istallato in un sistema operativo che non accetta concorrenti e alternative ma mi ha protetto fin ora in maniera migliore del nativo browser di quel sistema il quale sistema nella sua totalità fa di tutto per proteggerlo con continui aggiornamenti e service pack.

CONSIGLIO
se ogni volta che appare una schermata con un tasto SI o OK o INSTALL ci cliccate sopra senza battere ciglio non parlerei di insicurezza del web ma di ignoranza.

miki64 · « **Risposta #3 il:** 08 Febbraio 2005 12:06:59 »

Scusate l'OT:

Citazione da: Pacopas

CONSIGLIO
se ogni volta che appare una schermata con un tasto SI o OK o INSTALL ci cliccate sopra senza battere ciglio non parlerei di insicurezza del web ma di ignoranza.

Quoto ed aggiungo: NON premete neppure i pulsanti "Esc" o la "X" di chiusura!
A volte sono pulsanti che camuffano il "Sì" o l' "OK"!
Non siate pigri!
Utilizzate semplicemente la combinazione Alt + F4 per uscire!
(almeno la combinazione dei tasti, per il momento, non sono riusciti a "sabotarla"...)

andystriker · « **Risposta #4 il:** 08 Febbraio 2005 12:52:08 »

Rispondo qua, ma converrebbe cambiare il titolo della discussione.

Una possibile soluzione al problema, in attesa di patch, è disabilitare il supporto IDN. Da quanto si è capito, però, non basta settare a false la proprietà network.enableIDN sotto about.config, va modificato il valore in un file.

Qua trovate come risolvere, purtroppo in inglese:
http://users.tns.net/~skingery/weblog/2005/02/permanent-fix-for-shmoo-group-exploit.html

Non ho tempo di fare una traduzione al dettaglio, comunque, per sommi capi:

- chiudete firefox
- rintracciate il file "compreg.dat" nella cartella di profilo. Caldamente raccomandato fare un backup
- all'interno di questo file, nella sezione [CONTRACTIDS], rintracciate la stringa @mozilla.org/network/idn-service;1
- cambiate l'1 in 0, salvate, riavviate firefox
- testate di nuovo, dopo aver avviato il browser
- Occhio che all'interno del file ci sono due stringhe @mozilla.org/network/idn-service;1, dovete modificare soltanto quella sotto [CONTRACTIDS]

Testato con Firefox 1.0 su Windows XP SP2, funziona correttamente.

Non so se è lo stesso problema di spoofing segnalato qualche settimana fa da Secunia, credo sia un nuovo problema.

Khan · « **Risposta #5 il:** 08 Febbraio 2005 12:55:41 »

Carissimo miki64 sicuramente tu potrai dare un titolo migliore , purtroppo non mi sovveniva nessun titolo migliore.
per il posto, mi sembrava giusto mettere nella sezione FF, in quanto si parla di FF!

PS io uso FF e ne sono contentissimo, questo post non era per attaccare, anzi per accrescere eventualmente

Vabbè ciao

miki64 · « **Risposta #6 il:** 08 Febbraio 2005 12:58:56 »

Dài, non prendertela!

"Secunia: spoofing e problema di sicurezza per Firefox" era un titolo facilissimo!

Khan · « **Risposta #7 il:** 08 Febbraio 2005 13:02:47 »

Hai ragione, modificalo, io non posso

!

ciaoooo

cecca · « **Risposta #8 il:** 08 Febbraio 2005 13:03:32 »

Modificato il titolo del messaggio... in effetti "Notizie" non era il massimo della chiarezza....

Per Khan: non te la devi prendere se qualche utente ti muove delle critiche. Nessuno di noi, comunque, conosce tutto dei prodotti Mozilla: capita a tutti di fare degli errori...

drudo · « **Risposta #9 il:** 08 Febbraio 2005 13:53:00 »

Il problema e la soluzione tramite un "workaround" è disponibile quì:
http://forums.mozillazine.org/viewtopic.php?t=215221
Nelle recenti nightly il problema è stato risolto.

ciao
drudo

halifax · « **Risposta #10 il:** 08 Febbraio 2005 17:07:56 »

Su Bugzilla consigliano di eseguire questa operazione tramite il comando about:config

Steps to Reproduce:
1. Go to about:config and set network.enableIDN to false
2. Go to www.shmoo.com/idn/ and test links, they should not function
3. Close browser
4. Re open browser
5. Go to www.shmoo.com/idn/ and retry links, links function
6. Go to about:config and network.enableIDN is still false

Actual Results:
IDN links still function after a browser restart

Expected Results:
IDN links should not function after a browser restart

La procedura è più semplice rispetto a quella postata da andystriker
Ciao

iacchi · « **Risposta #11 il:** 08 Febbraio 2005 17:12:06 »

Può darsi che sbagli la traduzione, ma c'è scritto chiaramente che quella procedura soltanto, se non si modifica anche il file del profilo, non funziona più al riavvio del browser.

andystriker · « **Risposta #12 il:** 08 Febbraio 2005 17:15:11 »

Si, ma da come si legge, dopo il riavvio del browser il problema permane

Prova a riavviare e a cliccare sul link di Paypal, si riapre di nuovo la pagina fasulla

Rispondevo ad Halifax, ovviamente, Iacchi mi ha preceduto sul filo di lana

halifax · « **Risposta #13 il:** 08 Febbraio 2005 17:23:28 »

Citazione da: iacchi

Può darsi che sbagli la traduzione, ma c'è scritto chiaramente che quella procedura soltanto, se non si modifica anche il file del profilo, non funziona più al riavvio del browser.

Ma infatti Bugzilla per questo consiglia di effettuare due volte il test in quanto il parametro potrebbe non risultare modificato al riavvio del browser,ma provando il parametro rimane modificato su false al riavvio dello stesso(e l' ho effettuato soltanto tramite about:config),a questo punto però controllo il file profilo e vediamo se c'è un discrepanza tra le due operazioni.
Ciao

andystriker · « **Risposta #14 il:** 08 Febbraio 2005 17:27:45 »

Citazione da: halifax

Ma infatti Bugzilla per questo consiglia di effettuare due volte il test in quanto il parametro potrebbe non risultare modificato al riavvio del browser,ma provando il parametro rimane modificato su false al riavvio dello stesso(e l' ho effettuato soltanto tramite about:config),a questo punto però controllo il file profilo e vediamo se c'è un discrepanza tra le due operazioni.

Quando avevo provato io, il parametro nominalmente su about:config rimaneva settato a false, ma l'idn rimaneva attivo, il click rimandava alla pagina fasulla. Ho dovuto far la modifica che ho indicato per far funzionare la cosa.