Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
Inviato: 21 Giu 2005 23:00 Oggetto: Falla Javascript, a rischio quasi tutti i browser |
|
|
Commenti all'articolo Falla Javascript, a rischio quasi tutti i browser
Una vulnerabilità molto diffusa consente di creare false finestre di dialogo, utilizzabili da un aggressore per rubare password e altri dati sensibili. |
|
Top |
|
|
Ospite
|
Inviato: 22 Giu 2005 13:09 Oggetto: gmail notifier |
|
|
per chi usa firefox si può utilizzare l'estensione noscrpt
http://www.gmail notifier.net/whats |
|
Top |
|
|
Ospite
|
Inviato: 22 Giu 2005 13:45 Oggetto: |
|
|
Paolo è vulnerabile anche firefox su Ubuntu Linux |
|
Top |
|
|
Ospite
|
Inviato: 22 Giu 2005 14:33 Oggetto: Sul mio firefox |
|
|
il test non funziona... o meglio, mi apre la pagina di google, più un'altra finestrella, che però io visualizzo vuota, quindi non posso fare altro che chiuderla :-) |
|
Top |
|
|
Inu-Yasha Ospite
|
Inviato: 22 Giu 2005 15:16 Oggetto: Konqueror 3.4.1 |
|
|
Con Konqueror appare la finestra di dialogo, ma rimane anche l'altra finestralla ostile visibilissima :) |
|
Top |
|
|
Ospite
|
Inviato: 22 Giu 2005 18:02 Oggetto: Maxthon OK, anche se non e' una vera bug |
|
|
http://punto-informatico.it/forum/pol.asp?mid=1039991&tid=1039756&p=1&r=PI#1039991
Ma, appunto, una cagatona. |
|
Top |
|
|
InuYaksa Ospite
|
Inviato: 22 Giu 2005 20:37 Oggetto: Con l'estensione Tabbrowser siete protetti |
|
|
Ho provato il sito Secunia, ma con l'estensione Tabbrowser su Firefox non appera nessuna finestra di dialogo.
Direi che così si naviga un po' più sicuri. :) |
|
Top |
|
|
Ospite
|
Inviato: 22 Giu 2005 20:42 Oggetto: Paolo è vulnerabile |
|
|
Lo dice il "commento" n. 2.
Buono a sapersi ?
MAH |
|
Top |
|
|
Hayabusa Ospite
|
Inviato: 22 Giu 2005 20:59 Oggetto: |
|
|
> è vulnerabile anche firefox su Ubuntu Linux
E' parzialmente vero.
FF apre anche la finestrella con la pagina bianca (che e' poi quella che contiene il javascript malevolo), ma chiaramente riporta come indirizzo di questa http://www.google.com.secunia.com che gia' dovrebbe mettere sul "chi vive" un utente a mala pena attento (certo... contro la mancanza assoluta di attenzione dell'utente non si puo' far molto).
C'e' da dire che aprendo il link di secunia con il tasto centrale (apri in nuovo tab), il trucco non funziona.
Comunque mi sembra piu' una tecnica da "social engeeneering" che non un baco vero e proprio dei browsers. Si aprono due siti di cui uno apparentemente senza contenuto e minimizzato perche' salti poco all'occhio e l'altro estremamente fidato per fare si che il javascript, e la richiesta che veicola, sembri provenire dal sito fidato e quindi da esso avallato. |
|
Top |
|
|
daniele Ospite
|
Inviato: 23 Giu 2005 08:13 Oggetto: forse non ho ben capito |
|
|
comunque mi permetto di confermare quanto detto da altri:
- FireFox : mi si apre Google ed una finestra JavaScript dove vengo invitato a digitare la password;
- Maxthon : idem, MA nella finestrella vi è l'indirizzo del sito origine;
- Opera : come per Maxthon.
E permettetemi di aggiungere che vale a poco dire che con FireFox basta aggiungere una estensione per controllare i possibili problemi o avere nuove opzioni. Sinceramente sto pensando di cambiare con Opera o con Netscape. Forse non ho una mentalità "open", vene chiedo scusa. Sono solo un mediocre utente che il computer vorrebbe usarlo con meno problemi possibili. Già aggiornare i programmi ed il firmware e quantaltro è un lavoretto non da niente. |
|
Top |
|
|
Stefano Ospite
|
Inviato: 23 Giu 2005 10:32 Oggetto: Non sono convinto... |
|
|
Di tutti i modi per farsi fregare i dati questo mi sembra il più assurdo e improbabile. Penso che Secunia dovrebbe tornare ad occuparsi dei bug piuttosto che costruire spaventapasseri in java. |
|
Top |
|
|
gianluca Ospite
|
Inviato: 23 Giu 2005 13:59 Oggetto: |
|
|
io penso invece che sia abbastanza pericoloso. cmq sia con firefox che con explorer compare quella finestrella con l'indirizzo vero che può permettere di stare all'erta |
|
Top |
|
|
beppe Ospite
|
Inviato: 23 Giu 2005 14:59 Oggetto: e su Mozilla 1.7.5? |
|
|
come si risolve il bug?
grazie |
|
Top |
|
|
Ospite
|
Inviato: 23 Giu 2005 16:55 Oggetto: |
|
|
Stefano non pensare che tutti gli utenti siano cos' accorti quando navigano in internet, questa specie di bug è comunque una cosa seria. Non è che forse i bug o comportamenti potenzialmente dannosi vengono enfatizzati solo quando riguardano la concorrenza e quasi sminuiti quando ne va di mezzo anche firefox? |
|
Top |
|
|
Gica Ospite
|
Inviato: 23 Giu 2005 18:47 Oggetto: |
|
|
Che strano... con Linux Fedora Core 3 e il mio vecchio Firefox 1.0 (strafallato) non succede nulla! ;-) |
|
Top |
|
|
yotatta Ospite
|
Inviato: 24 Giu 2005 00:54 Oggetto: osservazione |
|
|
Ho controllato con il mio firefox...tra l'altro nel sito www.mozilla.org è indicata la presenza di questo bug...e c'è scritto che è pure stato risolto nella versione 1.0.4...ma non è vero!
Inoltre:
ma chi si azzarda a fare il login nei siti con le finestrelle che si aprono a questo modo? E' da temerari, anche senza questo bug! |
|
Top |
|
|
Ospite
|
Inviato: 24 Giu 2005 07:38 Oggetto: Allarme eccessivo |
|
|
Capisco il problema di fondo ma ritengo che usando il "buonsenso" sia difficile cadere in una trappola così banale. Dubito che qualsiasi sito "truffaldino" sia in grado di riprodurre fedelmente i form di immisione dati di tutti i siti "sicuri" esistenti al mondo. E' a mio avviso sufficiente utilizzare quel sano buonsenso e la giusta dose di "sospetto" quando ci venga richiesta l'immissione di dati "sensisbili" in modo diverso dall'usuale. Sbaglio? |
|
Top |
|
|
Giacomo Ospite
|
Inviato: 24 Giu 2005 09:41 Oggetto: Non dipende dal browser |
|
|
La falla dipende dalla JVM della Sun.
Proprio oggi è uscito l'update 4 della versione 1.5 che dovrebbe risolvere (si spera) il problema. |
|
Top |
|
|
Francesco Ospite
|
Inviato: 24 Giu 2005 09:43 Oggetto: Perche` bug? |
|
|
Javascript e` un linguaggio di programmazione.
Permette di aprire delle finestre di dialog come quella descritta,
quindi non va bene per l'uso che la gente crede di poterne fare.
Cavoli di chi non usa il linguaggio giusto per la cosa giusta.
E` pericoloso per l'incolumita` dei fessi che ormai usano il pc per guardare solo banner colorati e luminosi? Meglio, cosi` prima o poi ci toglieremo i fessi dai piedi ed il pc tornera` ad essere un personal computer e non un mezzo di pubblicita` per quegli stronzi che lo hanno rovinato.
Dimenticavo: https mica esiste per niente e non serve javascript per fare certi login. |
|
Top |
|
|
Ospite
|
Inviato: 25 Giu 2005 09:10 Oggetto: Java update 4 della vers. 1.5 |
|
|
l'ho installato, poi ho riprovato con FireFox ... mi sembra non sia cambiato nulla.
Forse fra un po' scoprirò che non ho installato bene. |
|
Top |
|
|
|