Olimpo Informatico

Zeus News · Ospite

Commenti all'articolo Falla Javascript, a rischio quasi tutti i browser
Una vulnerabilità molto diffusa consente di creare false finestre di dialogo, utilizzabili da un aggressore per rubare password e altri dati sensibili.

Ospite

per chi usa firefox si può utilizzare l'estensione noscrpt

http://www.gmail notifier.net/whats

Ospite

Paolo è vulnerabile anche firefox su Ubuntu Linux

Ospite

il test non funziona... o meglio, mi apre la pagina di google, più un'altra finestrella, che però io visualizzo vuota, quindi non posso fare altro che chiuderla :-)

Inu-Yasha · Ospite

Con Konqueror appare la finestra di dialogo, ma rimane anche l'altra finestralla ostile visibilissima :)

Ospite

http://punto-informatico.it/forum/pol.asp?mid=1039991&tid=1039756&p=1&r=PI#1039991

Ma, appunto, una cagatona.

InuYaksa · Ospite

Ho provato il sito Secunia, ma con l'estensione Tabbrowser su Firefox non appera nessuna finestra di dialogo.
Direi che così si naviga un po' più sicuri. :)

Ospite

Lo dice il "commento" n. 2.
Buono a sapersi ?
MAH

Hayabusa · Ospite

> è vulnerabile anche firefox su Ubuntu Linux

E' parzialmente vero.
FF apre anche la finestrella con la pagina bianca (che e' poi quella che contiene il javascript malevolo), ma chiaramente riporta come indirizzo di questa http://www.google.com.secunia.com che gia' dovrebbe mettere sul "chi vive" un utente a mala pena attento (certo... contro la mancanza assoluta di attenzione dell'utente non si puo' far molto).

C'e' da dire che aprendo il link di secunia con il tasto centrale (apri in nuovo tab), il trucco non funziona.

Comunque mi sembra piu' una tecnica da "social engeeneering" che non un baco vero e proprio dei browsers. Si aprono due siti di cui uno apparentemente senza contenuto e minimizzato perche' salti poco all'occhio e l'altro estremamente fidato per fare si che il javascript, e la richiesta che veicola, sembri provenire dal sito fidato e quindi da esso avallato.

daniele · Ospite

comunque mi permetto di confermare quanto detto da altri:
- FireFox : mi si apre Google ed una finestra JavaScript dove vengo invitato a digitare la password;
- Maxthon : idem, MA nella finestrella vi è l'indirizzo del sito origine;
- Opera : come per Maxthon.
E permettetemi di aggiungere che vale a poco dire che con FireFox basta aggiungere una estensione per controllare i possibili problemi o avere nuove opzioni. Sinceramente sto pensando di cambiare con Opera o con Netscape. Forse non ho una mentalità "open", vene chiedo scusa. Sono solo un mediocre utente che il computer vorrebbe usarlo con meno problemi possibili. Già aggiornare i programmi ed il firmware e quantaltro è un lavoretto non da niente.

Stefano · Ospite

Di tutti i modi per farsi fregare i dati questo mi sembra il più assurdo e improbabile. Penso che Secunia dovrebbe tornare ad occuparsi dei bug piuttosto che costruire spaventapasseri in java.

gianluca · Ospite

io penso invece che sia abbastanza pericoloso. cmq sia con firefox che con explorer compare quella finestrella con l'indirizzo vero che può permettere di stare all'erta

beppe · Ospite

come si risolve il bug?
grazie

Ospite

Stefano non pensare che tutti gli utenti siano cos' accorti quando navigano in internet, questa specie di bug è comunque una cosa seria. Non è che forse i bug o comportamenti potenzialmente dannosi vengono enfatizzati solo quando riguardano la concorrenza e quasi sminuiti quando ne va di mezzo anche firefox?

Gica · Ospite

Che strano... con Linux Fedora Core 3 e il mio vecchio Firefox 1.0 (strafallato) non succede nulla! ;-)

yotatta · Ospite

Ho controllato con il mio firefox...tra l'altro nel sito www.mozilla.org è indicata la presenza di questo bug...e c'è scritto che è pure stato risolto nella versione 1.0.4...ma non è vero!

Inoltre:

ma chi si azzarda a fare il login nei siti con le finestrelle che si aprono a questo modo? E' da temerari, anche senza questo bug!

Ospite

Capisco il problema di fondo ma ritengo che usando il "buonsenso" sia difficile cadere in una trappola così banale. Dubito che qualsiasi sito "truffaldino" sia in grado di riprodurre fedelmente i form di immisione dati di tutti i siti "sicuri" esistenti al mondo. E' a mio avviso sufficiente utilizzare quel sano buonsenso e la giusta dose di "sospetto" quando ci venga richiesta l'immissione di dati "sensisbili" in modo diverso dall'usuale. Sbaglio?

Giacomo · Ospite

La falla dipende dalla JVM della Sun.
Proprio oggi è uscito l'update 4 della versione 1.5 che dovrebbe risolvere (si spera) il problema.

Francesco · Ospite

Javascript e` un linguaggio di programmazione.
Permette di aprire delle finestre di dialog come quella descritta,
quindi non va bene per l'uso che la gente crede di poterne fare.
Cavoli di chi non usa il linguaggio giusto per la cosa giusta.
E` pericoloso per l'incolumita` dei fessi che ormai usano il pc per guardare solo banner colorati e luminosi? Meglio, cosi` prima o poi ci toglieremo i fessi dai piedi ed il pc tornera` ad essere un personal computer e non un mezzo di pubblicita` per quegli stronzi che lo hanno rovinato.
Dimenticavo: https mica esiste per niente e non serve javascript per fare certi login.

Ospite

l'ho installato, poi ho riprovato con FireFox ... mi sembra non sia cambiato nulla.
Forse fra un po' scoprirò che non ho installato bene.