Olimpo Informatico

[Zeus News]

Commenti all'articolo Falla grave nei browser alternativi, si salva IE (*aggiornamento*)
Il mancato rispetto degli standard risparmia a Internet Explorer una trappola perfetta che farà la gioia dei truffatori online. Pronte le prime correzioni.

[Opas]

NON vulnerabile. Test passato :) il secondo link me lo blocca alla pagina secunia.

[Paolo Attivissimo]

>Mozilla 1.7.3 ita NON vulnerabile. Test passato :) il secondo link me lo blocca alla pagina secunia.

Attenzione, non e' cosi' che si verifica la falla! Sei al sicuro se nella pagina con il logo di Secunia (quella che compare cliccando sul secondo link) la barra dell'indirizzo _non_ indica "paypal.com".

Ciao da Paolo.

[Cunctator]

Ho letto l'articolo e vorrei segnalare una possibile soluzione per chi usa Firefox.
Come saprete, Firefox ha la possibilità di installare le cosiddette "estensioni", ovvero una sorta di plug-in - creati all'interno della comunità - che permettono di espandere le funzionalità del vostro browser preferito.
Una di queste estensioni si chiama SpoofStick (attualmente alla versione 1.03) e, sebbene non blocchi l'accesso al sito finto, per lo meno vi permette di accorgervene (ed è sempre meglio che niente...)

[Pincopallino]

Nuova tecnologia disponibile a breve per Opera

http://my.opera.com/haavard/journal/32

[Andrea Mennini]

Nell'articolo si dice che la soluzione presentata non sempre funziona: infatti, non funziona perché è parziale!

Oltre a quello che indica l'articolo, occorre editarsi il file compreg.dat (magari
facendosene prima una copia, non si sa mai), cercare la riga:

@mozilla.org/network/idn-service;1,{62b778a6-bce3-456b-8c31-2865fbb68c91}

e farla diventare:

@mozilla.org/network/idn-service;0,{62b778a6-bce3-456b-8c31-2865fbb68c91}

Dopo funziona (provate su: http://www.shmoo.com/idn/)

Il file lo si trova nel proprio profilo, tipicamente:

C:Documents and Settings\Dati applicazioniMozillaFirefoxProfiles

In tutti i casi, un cerca file aiuta.

[Ospite]

connessione a.... sgamato il link falso in 1.5 sec con FF...

[Amilius]

Con Firefox 1.0 il secondo indirizzo nella barra appare con la seconda A chiaramente diversa da come dovrebbe essere (molto più piccola). Quindi la differenza si vede.

[Davide]

1. Non è una falla, nè un baco. Se il carattere speciale è uguale alla "a" di chi è la colpa? Se io sono un sosia di Berlusconi e vado al ristorante dicendo di mandare il conta a Palazzo Chigi sono un truffatore ma non mi si possono eliminare a priori tutti i sosia. Bisogna trovare un altro sistema per riconoscere i truffatori.
2.IE è fallato (che novità). Sfida: chi è che riesce a trovare un sito interessante inaccessibile da IE?
3. Il copia e incolla non serve a un tubo. (Almeno con FireFox 1.0)

[Daniela]

Ma che cosa si predica "gli standard di Internet" quando i linguaggi *ML sono stati scelti proprio perche' si potevano migliorare e arricchire i presunti standard? Fra parentesi non so se vi ricordate quando lo faceva netscape (in condizioni di monopolio) e tutti lo osannavano per questo?
Perfino in presenza di un ovvio miglioramento dei presunti standard si legge su ZN un articolo che attacca IE? Invece di, eventualmente, attaccare "gli standard di Internet" che in questa occasione sono carenti e andrebbero RAPIDAMENTE rattoppati?
spiace vedere che ZN pubblica articoli qualunquisti "togli IE e OE dal tuo PC con Windows (ovvio che hai un pc con win, come potrebbe essere diversamente?!) e metti firewall e antivirus, e non preoccuparti figliolo..." invece di aiutare l'utente a diventare un utente sempre piu' consapevole, e a spingere chi scrive a leggere, studiare e capire quei comunicati stampa di cui si vorrebbe essere interpretazione critica e non amplificazione.... finiro' nel forum delle critiche ma pazienza.

[Paolo Attivissimo]

>Ma che cosa si predica "gli standard di Internet" quando i linguaggi *ML sono stati scelti proprio perche' si potevano migliorare e arricchire i presunti standard?

Che cosa c'entrano i linguaggi *ML con l'IDN che e' alla base di questo problema?

>Perfino in presenza di un ovvio miglioramento dei presunti standard si legge su ZN un articolo che attacca IE?

Non sto attaccando IE. Anzi, dico che e' l'unico che si salva perche' non supporta nativamente l'IDN.

> Invece di, eventualmente, attaccare "gli standard di Internet" che in questa occasione sono carenti e andrebbero RAPIDAMENTE rattoppati?

Gli standard IDN non sono carenti. Sono fatti per rispettare chi usa alfabeti diversi dal nostro. Sono i browser che si devono adeguare allo standard ed eventualmente segnalare all'utente il possibile rischio di ambiguita'.

>spiace vedere che ZN pubblica articoli qualunquisti "togli IE e OE dal tuo PC con Windows (ovvio che hai un pc con win, come potrebbe essere diversamente?!)

Potrebbe essere diversamente eccome. Il PC dal quale ti scrivo non ha Windows: e' un Mac (si', il Mac e' un PC). Altri utenti usano Linux.

> e metti firewall e antivirus, e non preoccuparti figliolo..."

nessuno dice che un articolo risolve ogni problema di sicurezza, cosi' come non si diventa medici leggendo un inserto di salute su un quotidiano. Esistono libri interi in proposito. Evitare l'uso di IE e OE, e adottare FW e AV, sono semplicemente *l'inizio* di una maggiore sicurezza.

>Invece di aiutare l'utente a diventare un utente sempre piu' consapevole, e a spingere chi scrive a leggere, studiare e capire quei comunicati stampa di cui si vorrebbe essere interpretazione critica e non amplificazione.... finiro' nel forum delle critiche ma pazienza.

T'e' andata buca e ti sei pure beccato una risposta :-)

ZN cerca di creare la consapevolezza nell'utente attraverso il *complesso* dei propri articoli. Una goccia oggi, una goccia domani. Tutto qui. Poi sta al lettore intelligente sfruttare i link forniti negli articoli per approfondire le tematiche.

Ciao da Paolo.

[RiKK]

Editando il codice HTML ed andando a cercare la riga che contiene il LINK a www.paypal.com si può ben vedere la differenza tra l'autentico ed il fasullo.
Ecco il fasullo:
http://www.paypаl.com/"target="_blank">http://www.paypаl.com

Come si può vedere al posto della seconda 'a' è indicata una stringa che si riferisce all'utilizzo di caratteri speciali come indicato nell'articolo.
Comunque non fate marcia indietro, continuate ad usare l'ottimo Firefox, occhi aperti! Ciao.

[franz]

Caro paolo, ti leggo sempre volentieri, ma stavolta mi pare davvero eccessivo che, una volta tanto che IE dimostra una qualità, si trovi il modo di connotarla comunque negativamente. Mancato rispetto degli standard? Di quali standard si parla, visto che IE detiene da almeno 6 anni (anche se con mezzi discutibili) il 90% del mercato? La limitazione dei caratteri consentiti nelle stringhe di comando è una prassi consolidata in tutti i linguaggi di programmazione proprio per circoscrivere le possibilità di confusione.

[Paolo Attivissimo]

>una volta tanto che IE dimostra una qualità, si trovi il modo di connotarla comunque negativamente.

Non e' una connotazione negativa: e' un'osservazione. IE si salva perche' effettivamente non rispetta gli standard.

>Mancato rispetto degli standard? Di quali standard si parla, visto che IE detiene da almeno 6 anni (anche se con mezzi discutibili) il 90% del mercato?

Il monopolio non definisce gli standard, esattamente come la Fiat non definisce la larghezza delle carreggiate. Ci sono enti normativi appositi per queste cose: documentati a proposito dello standard IDN (Internationalized Domain Names), RFC 3490:

http://www.faqs.org/rfcs/rfc3490.html

>La limitazione dei caratteri consentiti nelle stringhe di comando è una prassi consolidata in tutti i linguaggi di programmazione proprio per circoscrivere le possibilità di confusione.

...ma questo non e' un linguaggio di programmazione.

Ciao da Paolo.

[Francesco]

Ho provato con Galeon, è non mi ha dato nessun problema, il link falso non me lo ha aperto; mi ha dato l'indirizzo: http://www.payp%D0%B0l.com/
ciao
Francesco

[Elena]

Questa "falla" non e` una novita`, e` una caratteristica nota da tempo, sulla quale mettono in guardia gia` sul sito di unicode http://www.unicode.org/faq/security.html (l'ultimo aggiornamento si questa pagina sembra essere del 2002...) e suggeriscono alcune possibili soluzioni al problema.

Certo, non e` bello che molti browser abbiano implementato la funzione senza preoccuparsi di fare controlli sulla sicurezza della funzione stessa; d'altra parte e` ovvio che un programma che non implementi una funzione non sia soggetto ai problemi della funzione stessa.

P.S. Safari mostra la seconda a leggermente diversa, ma non e` di sicuro sufficiente per accorgersene. In ogni caso facendo copia e incolla si copia ugualmente il carattere unicode, e non si risolve niente

[Cicca]

Communicator 4.7 non se la beve: il Vs 2° link lo mostra, già sulla pagina, come:
http://www.payp?l.com/

[Steve]

che uso per quasi tutte le applicazioni come leggere Zeusnews non viene fregato... :-DDD
Steve

[franz]

>Il monopolio non definisce gli standard, esattamente come la Fiat non definisce la larghezza delle carreggiate. Ci sono enti normativi appositi per queste cose...

Accidenti, a quale standard appartengono le carreggiate della Salerno - ReggioC., tangenziale di Mestre, strada comunale Trento - Passo Cimirlo? La FIAT certo avrebbe difficoltà a fissarlo (come l'anas, il ministero dei trasporti e tutti gli enti normativi di cui parli).

Però se la FIAT detenesse il 90% del mercato mondiale dell'auto (cosa poco probabile nel breve periodo) e lanciasse nuovi modelli a 5 ruote, l'auto standard diverrebbe a 5 ruote. Temo che lo standard sia un concetto che appartiene al mercato, agli usi, alla diffusione... Gli enti normano, vigilano, omologano più che fare standard.

>>La limitazione dei caratteri consentiti nelle stringhe di comando è una prassi consolidata in tutti i linguaggi di programmazione proprio per circoscrivere le possibilità di confusione.
>...ma questo non e' un linguaggio di programmazione.

No, ma l'url che immetti è pur sempre un'istruzione che va a dire al programma cosa fare. Come in un linguaggio di programmazione. La sintesi di un comando in pochi caratteri essenziali mette al riparo da falle come la presente.

ciao da franz

[luca]

tutti i browser hanno la possibilita' di visualizzare il codice html della pagina contenente il link
in questa il sito corretto nel codice e' come appare, mentre quello tarocco e' www.paypаl.com

troppo complicato?