Browser: Configurazioni di sicurezza

[Romagnolo1973]

Quote:

Originariamente inviato da Kohai

Allego un indirizzo dove si parla della fraud protection. Mi son poi permesso di segnare in rosso un passaggio del nostro buon romagnolo ove si parla della cache e dell'utilizzo (eventuale) che ne farebbe opera e nel caso specifico della opzione su menzionata (capirete il perche' leggendo l'articolo all'indirizzo posto in basso).
Ove ricorressero errori di interpretazione (da parte mia ovviamente), ben accetti consigli e note di riferimento:

http://www.operazone.it/portal/content/view/162/1/

Ciaooo !

Grazie Kohai quel link lo vado a mettere nel post di opera perchè sulla faccenda dei colori non avevo parlato
la FrauProtection di opera è identica a quella di FireFox e Google (sviluppata in simbiosi tra i 2), poichè tanto ormai se vogliono ci tracciano tutto, io le lascio attive perchè quando entro nel sito della mia banca (che non tengo nei preferiti perchè se mi leggessero i preferiti saprebbero quale è e magari sarei bersaglio di un pishing + mirato, sarò ipocondriaco ma lì non lo tengo) e quindi la ricerco con google, vedere HTTPS e tutto ok, sito con certificato valido e veritiero mi rincuora. Poi se invece di fare come dicono si tengono i nostri IP beh allora non dovremmo manco più navigare, la funzione è davvero utile contro il phishing e soprattutto per i neofiti

[Romagnolo1973]

Quote:

Originariamente inviato da theBlooder

Ci sono quasi...

io allora sono da Honoris Causa
Consolati quindi, comunque io faccio così
sui siti come questo o simili ho circa lo stesso nome e anche la stessa pass e li gestisco con l'estensione secure login , al limite se me li rubano entreranno qui e vi riempiranno di improperi in inglese o cinese nulla di irrimediabile dai.
però per quello che riguarda email e siti sensibili non li metto nei preferiti e uso pass e ID di accesso un po' più difficilotti e non li memorizzo
Certo altri metodi sono sicuramente più sicuri ma direi che il non memorizzarli è il più sicuro di tutto imho
Per i forum insomma direi che non sono così importanti da essere particolarmente curati

[riazzituoi]

.

[theBlooder]

Quote:

Originariamente inviato da riazzituoi

Male, molto male.
In questo modo sei particolarmente esposto ad attacchi basati sul "furto" della sessione (CSRF) in tutte le possibili varianti. Tra l'altro non è assolutamente vero che una password di un forum è di serie B rispetto alle credenziali del proprio conto corrente, infatti in caso un malintenzionato risalga alla tua identità (soprattutto poi se usi password banali sempre uguali in tutti i siti), potrà sfruttarla per operazioni illecite, e di spamming.
E quello chiamato in causa sarai TU, e sarai TU a dover dimostrare di essere estraneo ai fatti (e magari avere il sistema infetto)...

Su questo siamo daccordo, comunque sia il log ad un forum è sicuramente meno importante che il log al conto in banca et simila..

Quote:

Il punto è che i password manager integrati nei browser sono da evitare (qualche mese fa fu pubblicato anche uno studio sui principali browser), soprattutto la funzione autocompletamento.
Ovviamente se hai il sistema infetto, sarà più difficile proteggere le password, anche se il bersaglio principale sono sempre i password manager dei browser.

Adesso seguendo i vostri consigli penso di essere abbastanza protetto, e sicuramente molto più protetto di un tempo in cui non usavo nulla in real time e facevo solo qualche scan on demand una volta ogni qualche mese...

Quote:

Keepass è sicuramente un'ottima soluzione, gratutita e open source. Un altro sistema, anche se più scomodo, potrebbe essere quello di scrivere tutte le credenziali su un file di testo per poi criptarlo (ad esempio, un'utility standalone e opensource molto utile è LockNote della Steganos)

Il discorso è che oggi (avendo l'eliminazione di cookie, password salvate e tutto il resto in chiusura di firefox) loggherò probabilmente questo forum inserendo user e pass una decina di volta, per non parlare degli altri... E' ovvio che è scomodo e poco pratico, di certo era molto più comodo l'autocompletamento, o quando rimeneva loggato. Quello che appunto vorrei capire, è qual'è il giusto compromesso per me, e quali siano appunto i veri rischi.
Certo è che non ha senso creare una MegaPassword per poi lasciarla salvata in mano al pass manager di firefox... adesso voglio vedere quanto è pratico nell'utilizzo KeePass, oggi lo provo

Edit:
Sto verificando che per ora uso una password a 34Bit per questo forum per esempio, mentre dove voglio più sicurezza a 53Bit... ora non mettetevi a ridere, quanto ci metterebbero a drecriptarla?

[Ignorante Informatico]

Quote:

Originariamente inviato da theBlooder

Su questo siamo daccordo, comunque sia il log ad un forum è sicuramente meno importante che il log al conto in banca et simila..

Paradossalmente, proprio per quanto scritto da riazzituoi (discorso su SPAM ed operazioni illecite), sarebbe più difficile dimostrare la propria estraneità in quei casi che in eventuali operazioni bancarie (anche perché gli admin di un Forum ti denuncerebbero senza contattarti nemmeno, mentre è probabile che la tua Banca ti contatterebbe in caso di transazioni dubbie).

Quote:

Originariamente inviato da Romagnolo1973

..la FrauProtection di opera è identica a quella di FireFox e Google (sviluppata in simbiosi tra i 2)..

Li disabiliterei, senza fare discriminazioni

Quote:

..se vogliono ci tracciano tutto..

Ragionando sempre da becero ignorante, affermo di non essere d'accordo. Se da un lato, è indiscutibile che i metodi di tracciamento siano molto sofisticati ed invasivi, dall'altro è pur vero che condotte fin troppo spinte potrebbero nuocere ai vari colossi e/o esporli ad eventuali sanzioni. Ora, la soluzione potrebbe essere giocare sul motivo valido per poter attuare certi sistemi e, come è comprensibile, la sicurezza rientra fra quei motivi.

Oltretutto, un sistema anti-frode del genere si basa, con molta probabilità, su dei database. Il livello di sicurezza, per quanto possa essere continuo l'aggiornamento, è paragonabile ad un AV, senza euristica, basato sulle sole firme virali (ossia limitato).

Quote:

..Poi se invece di fare come dicono si tengono i nostri IP beh allora non dovremmo manco più navigare..

Il problema non sono gli IP, comunque loggati, bensì questo...

Quote:

Originariamente inviato da OperaZone

Quando il sistema di Fraud Protection di Opera e' attivo, per ogni sito che visitate il Frad Protection Server viene contattato per verificare l'attendibilita' del sito richiesto.

In pratica, è consegnare la propria cronologia, che potrebbe rispecchiare un fedele profilo dell'utente

Le Società devono guadagnare per, poi, poter investire e non vorrei che, oltre all'ottimo servizio anti-frode offerto, si trovasse un modo per guadagnare su eventuale pubblicità mirata.

Ma, ripeto, io ragiono da becero ignorante

[sampei.nihira]

Anche se i password manager dei browser sono purtroppo in condizioni semi-pietose gli utenti tengano presente che nonostante al test datato di Chapin sia Opera che FF ottengono lo stesso risultato, per ammissione dello stesso autore il migliore sarebbe proprio quello di Opera.

[Romagnolo1973]

Quote:

Originariamente inviato da Ignorante Informatico

Li disabiliterei, senza fare discriminazioni




Ragionando sempre da becero ignorante, affermo di non essere d'accordo. Se da un lato, è indiscutibile che i metodi di tracciamento siano molto sofisticati ed invasivi, dall'altro è pur vero che condotte fin troppo spinte potrebbero nuocere ai vari colossi e/o esporli ad eventuali sanzioni. Ora, la soluzione potrebbe essere giocare sul motivo valido per poter attuare certi sistemi e, come è comprensibile, la sicurezza rientra fra quei motivi.

Oltretutto, un sistema anti-frode del genere si basa, con molta probabilità, su dei database. Il livello di sicurezza, per quanto possa essere continuo l'aggiornamento, è paragonabile ad un AV, senza euristica, basato sulle sole firme virali (ossia limitato).


Il problema non sono gli IP, comunque loggati, bensì questo...


In pratica, è consegnare la propria cronologia, che potrebbe rispecchiare un fedele profilo dell'utente

Le Società devono guadagnare per, poi, poter investire e non vorrei che, oltre all'ottimo servizio anti-frode offerto, si trovasse un modo per guadagnare su eventuale pubblicità mirata.

Ma, ripeto, io ragiono da becero ignorante

A ben vedere FF e Opera sono 2 metodi diversi,
http://it.www.mozilla.com/it/firefox...ng-protection/
in sintesi FF aggiorna una lista interna e se si incappa in un sito qui presente allora contatta il DB di Goolge per vedere se è ancora un sito blocato o meno (quindi i dati e cookie che arrivano a goolge sono solo quelli della sessione se si segue quanto detto in guida, insomma info veramente limitate), Opera invece come fa per la Turbo, anche per la Fraud Protection ti monitora il traffico, una cosa ben differente e molto più tracciante.
Il discorso poi è quello che facevo io e pure tu (non era un disaccordo alla fine diciamo la stessa cosa), i colossi hanno meno bisogno di vendere le info rispetto ai pesci piccoli e quindi prima o poi di qualcuno ci dobbiamo fidare gioco forza sia esso il nostro Antivirus, compagnia del FW o Browser perchè a meno di andare su Tor i nostri dati di navigazione che sia Google o Opera o FF, li hanno davvero tutti, ci dobbiamo fidare di loro. Comunque per quanto riguarda Opera metto un rimando sarà poi l'utente a decidere se fidarsi di Opera e lasciare la FraudProtection oppure no.
Tanto se siamo in cima alle classifiche di password rubate saremo in cima anche in quelle di phishing si veda poste, banche ecc.. quindi soprattutto per l'utente alle prime armi è cosa buona e utile proteggersi, poi ovvio ne io ne tu clicchiamo le email di bancoposta-UBI-Unicredit ecc... che ci arrivano, ma il pivello lo fa eccome

[Kohai]

Quote:

Originariamente inviato da Romagnolo1973

Grazie Kohai quel link lo vado a mettere nel post di opera perchè sulla faccenda dei colori non avevo parlato
la FrauProtection di opera è identica a quella di FireFox e Google (sviluppata in simbiosi tra i 2), poichè tanto ormai se vogliono ci tracciano tutto, io le lascio attive perchè quando entro nel sito della mia banca (che non tengo nei preferiti perchè se mi leggessero i preferiti saprebbero quale è e magari sarei bersaglio di un pishing + mirato, sarò ipocondriaco ma lì non lo tengo) e quindi la ricerco con google, vedere HTTPS e tutto ok, sito con certificato valido e veritiero mi rincuora. Poi se invece di fare come dicono si tengono i nostri IP beh allora non dovremmo manco più navigare, la funzione è davvero utile contro il phishing e soprattutto per i neofiti

Infatti... a sto punto preferisco essere tracciato da opera o firefox piuttosto che da malintenzionati
Per carita', ben venga anche il discorso fatto da ignorante informatico, pero' se per la privacy comincio a negare tutto di tutto, mi conviene non avere nemmeno una linea internet...
Ma voi lo sapete che TUTTI quanti noi siamo intercettati dalla mattina alla sera parlando con il cellulare? In america da quando c'e' stato l'attacco alle torri gemelle c'e' un supercomputer che registra automaticamente il discorso effettuato fra due interlocutori non appena si pronunciano parole e/o frasi sospette.
Inoltre tramite i satelliti siamo rintracciabili ovunque con i nostri cari cellulari e NON basta spegnerli per disattivare un eventuale tracciamento, ma si deve togliere completamente la batteria perche' anche se il cell. e' spento ma la batteria e' inserita siamo localizzabili...
Aperto e chiuso OT perche' (a mio modesto parere) se in internet qualcuno vuol spiarci avrebbe mille modi....
Ultima cosetta: ma lo sapete che anche se un cellulare e' nuovo ed ancora senza sim volendo lo si puo' attivare in 1 minuto ed usarlo senza problemi? (Certo funzionalita' non per noi comuni mortali ma fruibile dalle forze dell'ordine )...
Ciaoooo

[Kohai]

Quote:

Originariamente inviato da Romagnolo1973

io allora sono da Honoris Causa
Consolati quindi, comunque io faccio così
sui siti come questo o simili ho circa lo stesso nome e anche la stessa pass e li gestisco con l'estensione secure login , al limite se me li rubano entreranno qui e vi riempiranno di improperi in inglese o cinese nulla di irrimediabile dai.
però per quello che riguarda email e siti sensibili non li metto nei preferiti e uso pass e ID di accesso un po' più difficilotti e non li memorizzo
Certo altri metodi sono sicuramente più sicuri ma direi che il non memorizzarli è il più sicuro di tutto imho
Per i forum insomma direi che non sono così importanti da essere particolarmente curati

Io non ho mai memorizzato alcuna password nel pc, me le tengo a mente ed eventualmente se son difficili le ricopio da qualche parte tenendole al sicuro ma mai sul computer...
Entra un ladro in casa, mi ruba il pc e gli servo su un piatto d'argento il sito della mia banca con annessa password eehhh no
Anzi, se so che devo mancare un po di tempo (praticamente mai viste le mie condizioni finanziarie ) mi porto ditro anche i documenti "sensibili".... ma questo e' un altro discorso....
Buona norma sarebbe poi ogni tanto cambiare la password... non farla fossilizzare per noia o troppa sicurezza

[Kohai]

Quote:

Originariamente inviato da Romagnolo1973

Tanto se siamo in cima alle classifiche di password rubate saremo in cima anche in quelle di phishing si veda poste, banche ecc.. quindi soprattutto per l'utente alle prime armi è cosa buona e utile proteggersi, poi ovvio ne io ne tu clicchiamo le email di bancoposta-UBI-Unicredit ecc... che ci arrivano, ma il pivello lo fa eccome

Tempo addietro mi e' arrivato pishing per il conto banco posta chiedendomi di aggiornare le password....
Ma io il conto banco posta manco cello'
Non c'e' niente da fare.... se le inventano tutte, ormai mandano pishing a tutti come se regalassero acqua nel deserto...
Il problema e' che spesso (e purtroppo ) molte persona incappano in questi tranelli mandando via internet tutte le informazioni richieste... ma non gli viene un piccolo dubbio?
Anche la mia banca a volte mi manda posta informativa, ma sto semrpe vigile per vedere se chiedono qualcosa di strano o e' tutto a posto E poi son loro stessi che ogni volta mi avvertono che via internet DATI PERSONALI E PASSWORD NON NE CHIEDONO...
Quindi, a buon intenditor poche parole

[Kohai]

@ romagnolo1973
@ ignorante informatico

Riporto pari pari quanto scritto nel sito riguardo la fraud protection di opera:

"Quando il nome del sito visitato e' presente nel documento XML il browser mostra un'avvertimento. I nomi dei domini vengono messi in cache durante la sessione di navigazione in modo tale che non sia necessario riverificarli per successive richieste.

Le implicazioni sulla privacy relativamente al sistema di Fraud Protection di Opera possono essere riassunte come segue:
Il sistema di Fraud protection di Opera e' abilitato di default.
Con il sistema di Fraud Protection di Opera abilitato, i nomi dei domini visitati vengono inviati al server di Farud Protection di Opera insieme ad un hash. Siti che fanno uso del protocollo HTTPS sono verificati tramite un canale criptato mentre gli indirizzi IP locali (intranet) non sono mai controllati.
Il server di Fraud Protection di Opera non tiene traccia del vostro IP o di qualunque altra informazioni legata alla vostra identita'. Non viene fatto uso di cookie o altre informazioni di sessione e il server non effettua logging delle operazioni.
Potete in qualunque momento disabilitare il sistema di Fraud Protection di Opera andando in Tools > Preferences > Advanced > Security e spuntando la voce "Enable Fraud Protection.". Il browser non contattera' in nessun caso il server di Fraud Protection nel caso in cui il sistema di Fraud Protection sia stato disabilitato."

- In blu (quindi per romagnolo) ho evidenziato il discorso inerente la cache utilizzata da opera per questo tipo di informazioni (se sia utile quindi disabilitarla oppure no )
- In rosso (e quindi per esclusione rivolto ad ignorante informatico) la parte dell'esposizione (ripeto: soggettiva) riguardo la sicurezza e la privacy di cui "dovrebbe" tener conto opera e la fraud protection.
Ciaoooo

[Kohai]

Quote:

Originariamente inviato da Romagnolo1973

Grazie Kohai quel link lo vado a mettere nel post di opera perchè sulla faccenda dei colori non avevo parlato

Prego amico mio

[sampei.nihira]

Per quei "4 gatti" a cui interesserà vi informo che è uscito un aggiornamento per SAFARI 4.



Nonostante nel'immagine ci sia un pulsante installa che presuppone una scelta dell'utente,alla fine del download, il sw viene installato in modo automatico.
Il download stranamente è suddiviso, come è possibile notare in figura, in 2 parti (mah !! ).
Prima di avviare il download vi consiglio di deselezionare i sw accessori (come da immagine visualizzata dove parlo del browser).

Purtroppo in questi gg non ho tempo per verificare eventuali modifiche e funzionalità.
Quindi ben vengano utenti che si cimentano......nell'impresa !!!

Salutoni.

I difetti più evidenti (che frà parentesi avevo notificato al team di sviluppo e quindi da ora in avanti "ciccia".....) ci sono ancora.
Non ho fatto invece un nuovo test di velocità.

[LaSheikka]

Grazie ragazzi! Ho configurato il mio amatissimo Opera come da guida di Romagnolo! E' proprio un lavoro magistrale!

[Romagnolo1973]

Quote:

Originariamente inviato da Ignorante Informatico

Consiglio di dare un'occhiata a questo post

Purtoppo causa mia ignoranza non ci ho capito nulla , non nel post di riazzi ma in questo:
http://www.thespanner.co.uk/2009/05/...a-xss-vectors/

Opera Arioso io lo provai a suo tempo ma non mi funzionava, se qualcuno volesse provare... io al momento non ho opera sul pc
http://groups.google.com/group/ph4nt...4dadd3e3e9f572

[G1971B]

Ho deciso di installare e di utilizzare esclusivamente UNR 9.04 e Opera sul Samsung NC10.
Secondo voi posso stare tranquillo nell'utilizzo di transazione bancarie on-line o devo fare qualcos'altro?
Grazie mille.

[Romagnolo1973]

Quote:

Originariamente inviato da G1971B

Ho deciso di installare e di utilizzare esclusivamente UNR 9.04 e Opera sul Samsung NC10.
Secondo voi posso stare tranquillo nell'utilizzo di transazione bancarie on-line o devo fare qualcos'altro?
Grazie mille.

ubuntu è una garanzia, i virus e malware per linux non li fanno, coprendo sì e no il 2% degli utenti

[Kohai]

Salve ragazzi, avrei bisogno che mi illuminiate su di un punto: in strumenti > opzioni > privacy (naturalmente in ff) che differenza c'e' fra "accetta i cookie dai siti" e "accetta i cookie di terze parti"?
Io sarei propenso a togliere la spunta su quest'ultima opzione, farei bene? Male? Se ha compreso bene, la prima opzione servirebbe per far accettare i cookie dal sito che si sta visitando in quell'istante mentre la seconda sarebbe per far accettare i cookies da siti in un certo modo correlati a quello che si sta visitando e quindi a nostra insaputa. Giusto il mio ragionamento?
Un grazie anticipato a tutti quanti per l'aiuto e la pazienza che mi portate
Ciauuuzzzz

[Romagnolo1973]

Quote:

Originariamente inviato da Kohai

Salve ragazzi, avrei bisogno che mi illuminiate su di un punto: in strumenti > opzioni > privacy (naturalmente in ff) che differenza c'e' fra "accetta i cookie dai siti" e "accetta i cookie di terze parti"?
Io sarei propenso a togliere la spunta su quest'ultima opzione, farei bene? Male? Se ha compreso bene, la prima opzione servirebbe per far accettare i cookie dal sito che si sta visitando in quell'istante mentre la seconda sarebbe per far accettare i cookies da siti in un certo modo correlati a quello che si sta visitando e quindi a nostra insaputa. Giusto il mio ragionamento?
Un grazie anticipato a tutti quanti per l'aiuto e la pazienza che mi portate
Ciauuuzzzz

Da pagina 1: " Si potrebbe anche non accettare i cookie di terze parti (impostazione molto più sicura) e ricordarsi che in caso di una non corretta visualizzazione della pagina li si deve riabilitare"
Poichè a volte questa opzione da problemi ed essendo la guida anche per i pivellini che magari se non vedono un sito vanno in tilt, non me la sono sentita di dare l'opzione più restrittiva lasciando all'utente la scelta. Io i cookie di terzi li lascio attivi ma le mie sezioni sono ad esagerare di 5 minuti e poi riparto, questione di abitudine mia, chi fa sezioni lunghe direi che è meglio blocchi i terze parti ricordandosi che se un sito non va bene allora forse l'inghippo sta lì

[Kohai]

Quote:

Originariamente inviato da Romagnolo1973

Da pagina 1: " Si potrebbe anche non accettare i cookie di terze parti (impostazione molto più sicura) e ricordarsi che in caso di una non corretta visualizzazione della pagina li si deve riabilitare"
Poichè a volte questa opzione da problemi ed essendo la guida anche per i pivellini che magari se non vedono un sito vanno in tilt, non me la sono sentita di dare l'opzione più restrittiva lasciando all'utente la scelta. Io i cookie di terzi li lascio attivi ma le mie sezioni sono ad esagerare di 5 minuti e poi riparto, questione di abitudine mia, chi fa sezioni lunghe direi che è meglio blocchi i terze parti ricordandosi che se un sito non va bene allora forse l'inghippo sta lì

Grazie tante per il chiarimento romagnolo. Il tutto e' nato dal fatto che opera di default superava il browser-test su pc flank mentre ff si "impallava" sui cookies.
Provaro' a far cosi' e rifare i test cosi' per curiosita'
Grazie ancora e buona serata romagnolo, ciao!