Link alla notizia: http://www.hwupgrade.it/news/sicurezza-software/un-malware-su-6000-siti-basati-su-wordpress_58870.html

Un gran numero di siti web basati su WordPress viene sfruttato per prendere il controllo del computer degli utenti. Ancora ignota la causa prima, ma si pensa ad una vulnerabilità di un plugin della piattaforma CMS

Click sul link per visualizzare la notizia.

Molte grazie a quest'azienda, ma si è persa l'abitudine di fornire i dettagli? Quali OS sono a rischio?

Hanno postato quella parte di script da cui sembrerebbe che solo i sistemi mobile sono colpiti. Giusto?

<<Daniel Cid, CTO della società di Sucuri, ha commentato: "A pensarci, i siti web compromessi sono mezzi che i criminali usano per avere l'accesso a quanti più desktop endpoint possibili. Qual è il modo più facile di raggiungere i terminali dell'utente finale? I siti web, ovviamente". >>

A pensarci, l'acqua calda non è ne fredda ne tiepida ne bollente. E' calda ovviamente.

veramente i dettagli sul sito di sucuri ci sono.
non si corre alcun rischio se visitando il sito infetto si tiene js disattivato.
peraltro i siti che richiedono necessariamente js attivo per la semplice navigazione sono sempre da evitare accuratamente.

veramente i dettagli sul sito di sucuri ci sono.
non si corre alcun rischio se visitando il sito infetto si tiene js disattivato.
peraltro i siti che richiedono necessariamente js attivo per la semplice navigazione sono sempre da evitare accuratamente.


Cosa darei per vederti navigare. Fai prima a chiudere il web.

Prova senza javascript a navigare su amazon, sulla mail di tiscali(sempre se vedi qualcosa), guardare le gallery dell'huffingtonpost, navigare su repubblica(c'è da ridere), su farnell.com o rs-online.com(uno spettacolo scegliere i prodotti). Certo esiste la whitelist per i siti conosciuti, per i siti non conosciuti cosa facciamo? Tafazzi-style tanto per complicarci ulteriormente la vita?

Cosa darei per vederti navigare. Fai prima a chiudere il web. Ti farebbe bene.
Cosa darei per vedere quante estensioni devi usare per bloccare popup, pubblicità, virus, worm ecc ecc ecc... :rolleyes:
Prova senza javascript a navigare su amazon, sulla mail di tiscali(sempre se vedi qualcosa), guardare le gallery dell'huffingtonpost, navigare su repubblica(c'è da ridere), su farnell.com o rs-online.com(uno spettacolo scegliere i prodotti).
tipici siti sconosciuti... :doh:
Certo esiste la whitelist per i siti conosciuti,
ecco, bravo...
per i siti non conosciuti cosa facciamo?
beccati pure il malware, che problema c'è?

veramente i dettagli sul sito di sucuri ci sono.
non si corre alcun rischio se visitando il sito infetto si tiene js disattivato.
peraltro i siti che richiedono necessariamente js attivo per la semplice navigazione sono sempre da evitare accuratamente.Sulla carta hai semplicemente ragione, il fatto che è si tratta di una soluzione semplicemente irrealizzabile, chiunque abbia anche solo lontanamente avuto contatti con un utente finale sa bene che "l'uomo della strada" non solo non ha le competenze per disattivare javascript ma non ha nemmeno la più pallida idea di cosa sia.

Il problema di fondo è un altro, negli ultimi anni si è sviluppata un'intera generazione di "espertoni" del web che solo per il fatto di saper mettere insieme un banale cms in php e qualche plugin si fregia del titolo di sviluppatore, aggiungi qualche supercazzola su SEO e magicamente diventano "architects", ancora aggiungi data entry su social networks e diventano "social merdia guru". :rolleyes: :doh:
Ormai ho perso il conto di quanti "sviluppatori Wordpress" ho visto passare, e quando gli chiedi se sono sviluppatori php ti guardano con occhio pallato... :eek:

L'ultima questa settimana, tale "sviluppatrice Wordpress" che lamenta lentezza sul server (un PowerEdge 2950 con 16GB di ram e storage SAS 15k praticamente dedicato), 5 minuti di verifica che scovare la causa, uno dei mille plugin con cui aveva insozzato l'istanza Wordpress cercava di fare una richiesta HTTP verso un sito esterno e la macchina aveva la TCP 80 chiusa in un outbound.
Inutile dire che ignorava bellamente il tutto, e non parlo dell'handshake TCP ma anche solo del semplice concetto di connessione ad un servizio in ascolto su una porta TCP. :muro:

Con queste premesse vogliamo soprenderci ancora di fronte a questo genere di problemi?
Ma è normale ragazzi, riduciamo sempre di più il compenso per figure professionali senior (es gare con offerta al ribasso a partire da 160 €/giornata per senior che fino a ieri si pagava 350-400 €/giorno) e di conseguenza vengono etichettate come tali figure che non lo sono, smanettoni senza un briciolo di formazione tecnica e incapaci travestiti da esperti.

Ti farebbe bene.

Ah... caspita ho trovato "Er guru" della navigazione web.

Cosa darei per vedere quante estensioni devi usare per bloccare popup, pubblicità, virus, worm ecc ecc ecc... :rolleyes:

Vedi lo screenshot in basso.


tipici siti sconosciuti... :doh:

Spero capirai l'antifona, ecco 2 tipici siti sconosciuti https://freakattack.com/ http://heartbleed.com/


Se uno deve effettuare una ricerca e nel giro di 2/3 ore gira 30/40/50 siti web straconosciuti o di serie aziende produttrici(con siti web colapasta) ma visitati solo per l'occasione cosa fa? Mette in whitelist ogni singolo sito dopo aver visto che che non funziona qualcosa o ablilita js per non perdere ulteriore tempo?
A già vero... su un live cd di whonix ci faccio girare una vm di tails e navigo con una mano sulle parti basse in segno di scaramanzia.

IMHO, js va eliminato a monte punto. Non posso mettermi ogni 3 secondi a sbloccare qualcosa(cookie, js, flash, ecc...) per fruire di un sito web, così come è impossibile evitare siti con JS.


beccati pure il malware, che problema c'è?

Aspetta, per una volta voglio pure io fare il figo https://i.imgur.com/II7orDO.png. Scansione fatta appositamente per te e puoi vedere le estensioni utilizzate dal browser, soddisfatto?

n.b. la navigazione in incognito la uso solamente per non tenere in cronologia hwupgrade che come vedi è pure sotto adblock.

@Tasslehoff

Pienamente con te riguardo l'ignoranza del utente che non sa cosa sia un browser tanto meno ne sa del modo in cui funziona.

Ma tu esempio sai come funziona nei dettaglio che so un treno o una macchina e magari te la ripari da solo?

Passi che i plugin spesso fanno più danni che guadagni su questo sono con te al 100%.

In quanto alle figure senior che chiedono cifre che hai citato e fanno tutto, conoscono perfettamente 8-10 linguaggi di prog. (compreso il colabrodo php) in più sanno tutto di networking (addirittura ti mettono su un data center da soli con server farm e servizi).

Su questi soggetti sono scettico mi sembrano persone che sanno tutto e non hanno bisogno di nessuna collaborazione, vivono in una località isolata senza telefono e se iniziano un lavoro e sempre perfetto senza una svista o un errore( se c'è è colpa di un aggiornamento che non è andato a buon fine).

Personalmente preferisco figure Senior che con un buon lavoro e (perchè no!) una buona dose pazienza trasformino un/a Smanettone/a in Senior.
Per gente così non esiste un tariffario o cifre, non hanno prezzo.

Questo e quello che manca, senior come dici tu li trovi quì li e la!:) :) :)

Ciao!:) :) ;)

Molte grazie a quest'azienda, ma si è persa l'abitudine di fornire i dettagli? Quali OS sono a rischio?C'è il link al loro blog, e dal loro blog c'è il link al Nuclear Exploit Kit, il nome del malware, che tra l'altro è venduto sul mercato nero.

Il NEK è un software di attacco multi-piattaforma, una "base di lancio" per malware specifici per falle varie appena vengono scoperte.

https://heimdalsecurity.com/blog/nuclear-exploit-kit-flash-player/

most commonly used vulnerable 3rd party software are:

Oracle Java Runtime environment
Adobe Acrobat Reader
Adobe Flash Player / Plugin
Apple Quicktime


TOTALMENTE INASPETTATO. Java e Flash con una spruzzata di mela.

This kit is capable to deploy a wide range of attacks, from Flash, Silverlight, PDF, and Internet Explorer exploits to the possibility of launching advanced pieces of malware and ransomware.

E l'antivirus non ti protegge, quindi voi che usate OS non patchati credendo che basti un AV... non basta. :Prrr:

I have antivirus protection. I’m safe, right?

Well, not really. The bad news is that Nuclear, the latest Flash Player exploit kit has been protected with Protect SWF from Kindi [.] Com.

Though it is a legitimate piece of software, which has been designed to protect the Flash content from being decompiled by third party software, in this case this feature makes it difficult for antivirus solutions to access the hidden malicious code and block it from being delivered.

In quanto alle figure senior che chiedono cifre che hai citato e fanno tutto, conoscono perfettamente 8-10 linguaggi di prog. (compreso il colabrodo php) in più sanno tutto di networking (addirittura ti mettono su un data center da soli con server farm e servizi).Ecco uno sviluppatore wordpress. :rolleyes:

tipici siti sconosciuti... :doh:

ricordo che tanti, tantissimi siti conosciuti e ipervisitati utilizzano wordpress, tanto per rimarcare la vac..ta che hai scritto e rientrare in topic.

Es. techcrunch.com, Sonymobile.com, bbcamerica.com, blog.us.playstation.com, rollingstones.com, ilfattoquotidiano.it, blog.mozilla.org, blogs.adobe.com, blogs.blackberry.com e qui per il resto https://wordpress.org/showcase/archives/

Il NEK è un software di attacco multi-piattaforma


L'exploit kit sapevo che era multipiattaforma. Ma l'attacco in questione non si sa se lo sai o meno.

ricordo che tanti, tantissimi siti conosciuti e ipervisitati utilizzano wordpress, tanto per rimarcare la vac..ta che hai scritto e rientrare in topic.

Ma il problema generale è ben più ampio e non risolve dicendo "blocchiamo javascript".

E non è nemmeno realistico avere una white list di siti su cui abilitare javascript. Primo perchè dovremmo passare le giornate ad aggiungere nuovi siti. Secondo perchè non è detto che tra quei siti "fidati" non ce ne sarà mai nessuno che verrà compromesso un giorno o l'altro.

E' chiaro che le misure devono essere altre, a partire dall'irrobustimento del software fino all'uso di sistemi hips ( che sono ancora usati molto poco in ambito consumer ).

@Tasslehoff

Pienamente con te riguardo l'ignoranza del utente che non sa cosa sia un browser tanto meno ne sa del modo in cui funziona.
Ma tu esempio sai come funziona nei dettaglio che so un treno o una macchina e magari te la ripari da solo?Sono perfettamente d'accordo, io infatti non citavo l'ignoranza dell'utente finale come qualcosa di sbagliato o riprovevole, per lui questi servizi o siti sono uno strumento ed è normale e sacrosanto che non sia interessato a come funzionano o agli aspetti eccessivamente tecnici.
Infatti la mia critica va a chi afferma che al giorno d'oggi sia possibile usare un browser senza javascript, è una soluzione insostenibile quindi bisogna cercarne una più fattibile altrove, ad esempio nella qualità dei prodotti rilasciati e delle soluzioni sviluppate.

In quanto alle figure senior che chiedono cifre che hai citato e fanno tutto, conoscono perfettamente 8-10 linguaggi di prog. (compreso il colabrodo php) in più sanno tutto di networking (addirittura ti mettono su un data center da soli con server farm e servizi).

Su questi soggetti sono scettico mi sembrano persone che sanno tutto e non hanno bisogno di nessuna collaborazione, vivono in una località isolata senza telefono e se iniziano un lavoro e sempre perfetto senza una svista o un errore( se c'è è colpa di un aggiornamento che non è andato a buon fine).

Personalmente preferisco figure Senior che con un buon lavoro e (perchè no!) una buona dose pazienza trasformino un/a Smanettone/a in Senior.
Per gente così non esiste un tariffario o cifre, non hanno prezzo.

Questo e quello che manca, senior come dici tu li trovi quì li e la!:) :) :)

Ciao!:) :) ;)Anche qui, scusa ma stai equivocando :)
Io non ho parlato di figure senior come di esseri onniscenti che fanno tutto e non sbagliano mai; ovviamente ognuno si deve formare su un ambito specifico però ci sono delle conoscenze di base che sono imprescindibili, ad esempio le basi di reti (e con questo non intendo saper assegnare un ip ad una scheda di rete, ma tutta la teoria, le sottoreti, la logica con cui funzionano i principali protocolli di rete etc etc...) piuttosto che le principali best practice di sviluppo valide per ogni linguaggio, la validazione dei dati in ingresso, i principi su database e i servizi più diffusi (da quelli di rete alle directory ldap al funzionamento dei servizi di single sign on),etc etc...
Tutte cose che vengono ampiamente trattate nel primo biennio universitario di informatica, ma che possono benissimo essere approfondite privatamente semplicemente studiando.
Queste sono le basi per poter lavorare seriamente in ambito tecnico IT, il minimo sindacale, poi da li uno si può specializzare su un ambito specifico, sviluppatore, analista, dba, sistemistica, tecnico di rete etc etc etc... diventando senior col tempo, con l'esperienza e affrontando problemi sempre diversi.

Io francamente sono molto scettico riguardo al figura del tecnico senior formatore, è una visione semplicistica che si basa su una cosa che non esiste, ovvero che la conoscenza si veicola dall'alto così con qualche mistico corso, passaggio di consegne o training on the job.
E' una cosa assurda e che non funziona ma guardacaso è sempre l'approccio proposto dai commerciali, che infatti sono generalmente ignoranti su qualsiasi aspetto tecnico, inclusa la gestione delle risorse tecniche.
Anzitutto non è assolutamente detto che un buon tecnico sia anche un buon insegnante (lungi dal considerarmi un buon tecnico, però so per certo di essere un pessimo insegnante, non ne ho la pazienza ed è una cosa che non mi interessa o mi piace fare), in secondo luogo in ambito lavorativo non c'è praticamente mai il tempo per fare quello che descrivi, o meglio nessuna azienda ha le risorse tali da permettersi che una figura senior e una (o più) junior stiano fermi a fare dei corsi anzichè lavorare su progetti e fatturare.

Imho naturalmente, poi sarò felice di essere smentito, però nel panorama italiano questo è quello che ho sempre trovato sia in ambito pubblico che privato.

Sulla carta hai semplicemente ragione, il fatto che è si tratta di una soluzione semplicemente irrealizzabile, chiunque abbia anche solo lontanamente avuto contatti con un utente finale sa bene che "l'uomo della strada" non solo non ha le competenze per disattivare javascript ma non ha nemmeno la più pallida idea di cosa sia...
è pieno di siti che usano js per cazzate che si possono ottenere in altro modo. alcuni manco si visualizzano senza js. bene, x me sono siti-spazzatura.

...http://heartbleed.com/

...
senza js si legge benissimo. dov'è il problema?
n.b. la navigazione in incognito la uso solamente per non tenere in cronologia hwupgrade che come vedi è pure sotto adblock.
toh, io adblock non lo uso, perchè non è necessario. straavanza noscript. chissà perchè.

ricordo che tanti, tantissimi siti conosciuti e ipervisitati utilizzano wordpress, tanto per rimarcare la vac..ta che hai scritto e rientrare in topic.

la vaccata è ritenere che wordpress senza js non funzioni.
e se un sito richiede necessariamente js semplicemente per essere visto, IMHO è sviluppato da un cerebroleso.

la vaccata è ritenere che wordpress senza js non funzioni.
e se un sito richiede necessariamente js semplicemente per essere visto, IMHO è sviluppato da un cerebroleso.Ma non c'è solo il sito in se, un esempio i servizi di analisi degli accessi?
E non parlo certo di Google Analytics, qualsiasi prodotto del genere funziona allo stesso modo, dall'ottimo Piwik ai prodotti Webtrends passando per Omniture.
Tu nel 2015 offriresti un'analisi di log fatta con Webalizer o Awstats? Ottime per problem solving ma non certo per una analisi degli accessi o dei flussi di navigazione.

E come questi tantissimi altri servizi che volente o nolente sono diventati lo standard minimo di fornitura per qualsiasi sito o servizio.
Ma pensa anche soltanto a tutti i servizi o i dispositivi con interfaccia di amministrazione web based (un andazzo da cui purtroppo non ci si riesce a sganciare, e ribadisco purtroppo, ma questo è un altro discorso...) infarciti di javascript per simulare via web quello che fino a ieri facevano i client locali.
Puoi anche rinunciare a fare browsing di un sito, ma se devi lavorare con un dispositivo e questo ha interfaccia web based piena zeppa di javascript che fai? Ti rifiuti di usare quel dispositivo adducendo come scusa una sorta di obiezione di coscienza del javascript?

Pensa alle webmail, tu credi che al giorno d'oggi ci sia qualcuno disposto a lavorare con Squirrelmail?
E non mi riferisco certo a Gmail, la versione del 2002 di iNotes IBM faceva col javascript cose che con Gmail sarebbero impensabili anche oggi.

E' un approccio non sostenibile, una variabile che comunque non possiamo controllare, tanto vale concentrarsi su quello che invece è controllabile ovvero la qualità del software rilasciato.

L'exploit kit sapevo che era multipiattaforma. Ma l'attacco in questione non si sa se lo sai o meno. Non hai capito l'articolo.

Qui stanno dicendo che a causa di una vulnerabilità in Wordpress, i cattivi stanno hackerando i server di terzi per ridirigere la gente su un server (loro probabilmente o gestito coi piedi da terzi quindi hackerato) con l'exploit kit. Come scopo ultimo è infettare gli utenti (ovviamente), ma qui si parla solo di server compromessi con dentro l'exploit kit.

Il grafico e i dati sono riferiti ai server compromessi. Oltre 6000 siti compromessi.

è pieno di siti che usano js per cazzate che si possono ottenere in altro modo. alcuni manco si visualizzano senza js. bene, x me sono siti-spazzatura.Concordo, quasi tutti i siti di news oltreoceano hanno COME MINIMO 5 ma in genere anche 10 js da siti diversi, e una valanga di tracker da Ghostery.

L'ultima volta che ne ho aperto uno è partito un "orcozzeus!!!!" perchè ghostery mi aveva riempito la pagina con la lista di tracker bloccati.

Il grafico e i dati sono riferiti ai server compromessi. Oltre 6000 siti compromessi.


Quindi non si sa niente sull'infezione lato client? Possibile che abbiano scoperto tutto ciò, ma non abbiano uno straccio d'idea di quale sia il target finale?

veramente i dettagli sul sito di sucuri ci sono.
non si corre alcun rischio se visitando il sito infetto si tiene js disattivato.
peraltro i siti che richiedono necessariamente js attivo per la semplice navigazione sono sempre da evitare accuratamente.

Fantastico, disattiva javascript e torni a 10 anni fa come utilizzo del web :huh:
Oggi come oggi non esiste sito che non utilizzi javascript. Ajax è la prima cosa a saltare senza javascript.

Ma non c'è solo il sito in se, un esempio i servizi di analisi degli accessi?...
aspetta. io sto parlando dal lato utente e di visualizzazione del sito, non del lato server-webmaster.
per l'amministrazione, si suppone che sul TUO server sai cosa gira, quindi js puoi anche tenerlo attivo (ci mancherebbe che non ti fidi del tuo stesso codice :-p )

Se un sito altrui manco si VEDE senza js attivo, io tendo ad abbandonarlo immediatamente o trovare workaround per visualizzarlo senza js, se proprio è una cosa che voglio vedere periodicamente.

Fantastico, disattiva javascript e torni a 10 anni fa come utilizzo del web :huh:
Oggi come oggi non esiste sito che non utilizzi javascript. Ajax è la prima cosa a saltare senza javascript.
ho capito che a te piacciono gli effettini e non puoi vivere senza... :p
cmq, liberissimo di tenere js attivo e ricorrere a mille addon ed antivirus.

Quindi non si sa niente sull'infezione lato client? Possibile che abbiano scoperto tutto ciò, ma non abbiano uno straccio d'idea di quale sia il target finale?Come rilevi una infezione lato client scusa?
Questi sono server compromessi, e un server per definizione risponde con qualcosa se lo chiami, questi sono server che rispondono con pagine infette.

Un client infetto come lo rilevi da Internet? Risponde mica perchè non è un server.

Gli studi che hanno fatto in passato erano basati su botnet il cui protocollo di comunicazione era stato hackerato, quindi si poteva comunicare con questi PC compromessi usando gli stessi canali dei criminali che li controllavano.

Se non sai i protocolli/crittazione/chessò coi client infetti non ci parli.

aspetta. io sto parlando dal lato utente e di visualizzazione del sito, non del lato server-webmaster.
per l'amministrazione, si suppone che sul TUO server sai cosa gira, quindi js puoi anche tenerlo attivo (ci mancherebbe che non ti fidi del tuo stesso codice :-p )

Se un sito altrui manco si VEDE senza js attivo, io tendo ad abbandonarlo immediatamente o trovare workaround per visualizzarlo senza js, se proprio è una cosa che voglio vedere periodicamente.Si ma ripeto, tu stai valutando solo un tipo di utenza, ovvero un utente generalista che fa browsing su un sito.
In ambito aziendale, o lavorativo in genere quasi nessuno usa codice sviluppato in proprio, ma nemmeno le società che sviluppano, per le necessità interne (es anagrafiche, documentali, gestionali etc etc) costa meno adottare soluzioni già pronte e sviluppate da terze parti che perdere tempo a svilupparle custom in proprio, è tutto tempo sottratto a progetti e quindi fatturazione.
L'imperativo da ormai 10 anni è avere interfacce web based che sostituiscano i client locali (cazzata immonda imho, ma non decido io le sorti dell'IT) e quindi ti ritrovi costretto a usare prodotti infarciti di javascript che non hai sviluppato tu, dove non sai cosa avviene dietro le quinte.
Oppure ti ritrovi a lavorare su progetti già avviati dove non sai come funzionano e non sai a quali vulnerabilità sono soggetti (i vulnerability assessment costano), eppure ci devi lavorare sopra.
Insomma come già detto da altri l'approccio "whitelist" non è sostenibile, è comunque inaffidabile e non è gestibile a tempo indeterminato o in generale.

Io capisco la tua avversione al javascript, però è inevitabile doverlo usare su siti/software trustati e non; puoi concederti il lusso di schivarlo (se ci riesci) in ambito privato ma tutto questo ha certamente un costo in termini di tempo e features a cui rinunci, e non è realistico fare altrettanto in altri ambiti.
Oggettivamente poi bisogna ammettere per onestà intellettuale che l'uso avanzato di javascript (ovvero l'uso che se ne sta facendo negli ultimi anni con millemila framework diversi, non certo la validazione delle form che si faceva 15 anni fa) ha letteralmente rivoluzionato il web (in positivo e in negativo), non se ne parla mai se non in ambito tecnico però è stata una rivoluzione paragonabile se non superiore a quella del web dinamico e dei linguaggi di scripting server side che l'hanno permesso (php, jsp, asp etc etc).

Si ma ripeto, tu stai valutando solo un tipo di utenza, ovvero un utente generalista che fa browsing su un sito.
In ambito aziendale, o lavorativo in genere quasi nessuno usa codice sviluppato in proprio, ma nemmeno le società che sviluppano, per le necessità interne (es anagrafiche, documentali, gestionali etc etc) ...
cosa c'entrano le "necessità interne" aziendali e una intranet con il wide (wild) web?
è ovvio che su una intranet locale per la gestione di sistemi interni lo scripting lo tieni attivo, anche perchè se non ti fidi della tua stessa rete tanto vale spegnere i pc.
si parla di navigazione dell'utente comune su siti generalisti.

cosa c'entrano le "necessità interne" aziendali e una intranet con il wide (wild) web?
è ovvio che su una intranet locale per la gestione di sistemi interni lo scripting lo tieni attivo, anche perchè se non ti fidi della tua stessa rete tanto vale spegnere i pc.
si parla di navigazione dell'utente comune su siti generalisti.Sta dicendo che non si sa se fidarsi neanche dei siti interni delle webapplicashions aziendali, e che la decisione di fidarsi è presa così sulla parola senza fare test di sicurezza, esattamente come viene fatto per i siti fuori.

Cioè che l'unico javascript sicuro è un javascript morto, sia in azienda che sul web.

Sta dicendo che non si sa se fidarsi neanche dei siti interni delle webapplicashions aziendali, e che la decisione di fidarsi è presa così sulla parola senza fare test di sicurezza, esattamente come viene fatto per i siti fuori.
beh, se uno sviluppatore professionale piglia degli script di terzi e li sbatte sul suo sistema di produzione senza dare un occhio a cosa fanno...
beh, forse non è proprio così pazzescamente "professionale"
Va bene per il sitino amatoriale fatto gratis o quasi, non per roba fatta da (presunti) professionisti, imho.
Cioè che l'unico javascript sicuro è un javascript morto, sia in azienda che sul web.
no, quello l'ho detto io :D

beh, se uno sviluppatore professionale piglia degli script di terzi e li sbatte sul suo sistema di produzione senza dare un occhio a cosa fanno...Hai una strana idea di come funziona a livello aziendale. Il sistema di produzione non è "dello sviluppatore" ma della ditta, lo sviluppatore è un esecutore, deve eseguire ordini del management.

I manager che non sanno accendere un portatile si fanno intortare da un venditore che usa una webapplicashion scriptata (cioè falsa) e usa le giuste buzzword del momento, comprano il software/webapplicashion e poi lo danno ai professionisti/sistemisti/admin da far girare sulle macchine dell'azienda.

Punto.

Ai professionisti viene solo chiesto di far girare questo schifo, non di controllare che sia sicuro, nè di renderlo migliore.

no, quello l'ho detto io :DIo sto dicendo che su quel punto ti sta dando ragione.

Hai una strana idea di come funziona a livello aziendale. Il sistema di produzione non è "dello sviluppatore" ma della ditta, lo sviluppatore è un esecutore, deve eseguire ordini del management....
in tal caso si suppone che se compri un sw (per quanto merdoso), ti fidi del sw.
altrimenti sarebbe come comprare office e poi non fidarsi a lanciarne l'exe.

cmq, per tornare al succo del discorso, ed escludendo i casi di ambienti chiusi e "locali" suddetti, un sito di contenuti grafici e testuali che per funzionare nei suoi elementi basilari richiede necessariamente JS attivo imho è una merda :)

ovvio che roba più complessa (tipo mappe ecc.) lo scripting ci vuole. Ma non per farmi leggere una cagata di articoletto, vedere due foto o aprire un menu che si fa benissimo coi css.
liberi di pensarla diversamente

Bella discusisone, ma

Concordo, quasi tutti i siti di news oltreoceano hanno COME MINIMO 5 ma in genere anche 10 js da siti diversi, e una valanga di tracker da Ghostery.

L'ultima volta che ne ho aperto uno è partito un "orcozzeus!!!!" perchè ghostery mi aveva riempito la pagina con la lista di tracker bloccati.

Ghostery è il tracker dei tarcker. Praticamente si ferma i singoli tracker, ma colleziona dati, li analizza e rivende le analisi. Io userei altre estensioni per controllare le richieste di contenuti e script da siti terzi, certo sono piu spartane e bisogna whitelistare tutto su ognuna e quasi fanno innervosire alla prima visita di un sito, ma se uno ha veramente questa sensibilità su questi temi tanto vale che lo faccia correttamente, non avrebbe senso sapere che un sito ha n tracker se poi alla fine questi tracker le informazioni che vogliono indirettamente le comprano lo stesso. Anzi, forse è peggio, perchè un tracker traccia solo visitando tra quelli in cui è installato, ghostery ha in mano tutta la cronologia, bella mole di info direi

in tal caso si suppone che se compri un sw (per quanto merdoso), ti fidi del sw.
altrimenti sarebbe come comprare office e poi non fidarsi a lanciarne l'exe.

cmq, per tornare al succo del discorso, ed escludendo i casi di ambienti chiusi e "locali" suddetti, un sito di contenuti grafici e testuali che per funzionare nei suoi elementi basilari richiede necessariamente JS attivo imho è una merda :)

ovvio che roba più complessa (tipo mappe ecc.) lo scripting ci vuole. Ma non per farmi leggere una cagata di articoletto, vedere due foto o aprire un menu che si fa benissimo coi css.
liberi di pensarla diversamente
Concordo in pieno, ma non credo sia possibile tornare indietro, ormai la quantità di contenuti esterni caricati da certi siti anche per mezzo di javascript è pazzesca: gallerie, webfonts, librerie di effetti in javascript stesso e servizi vari. Certe cose sono una comodità per gli sviluppatori, che con scatolette chiuse realizzano siti che altrimenti richiederebbero dieci volte in piu di tempo. Con il rischio che poi se non è piu raggiungibile il contenuto remoto il sito diventa inutlizzabile: tipico caso quando librerie esterne divengono obsolete e chi le fornisce le rimuove e lascia solo le ultime versioni, in quel caso o metti mano al sito per aggiornare alle nuove o il sito si vede a metà o mal formattato. Con uno scenario del genere non occorre avere tanta fantasia per immaginare che è possibile attaccare il repository dei contenuti esterni, (es. js) riesco a iniettare sporcizia creata ad hoc in nmila siti che usano quei contenuti.

Concordo in pieno, ma non credo sia possibile tornare indietro, ormai la quantità di contenuti esterni caricati da certi siti anche per mezzo di javascript è pazzesca: gallerie, webfonts, librerie di effetti in javascript stesso e servizi vari. Certe cose sono una comodità per gli sviluppatori, che con scatolette chiuse realizzano siti che altrimenti richiederebbero dieci volte in piu di tempo. Con il rischio che poi se non è piu raggiungibile il contenuto remoto il sito diventa inutlizzabile: tipico caso quando librerie esterne divengono obsolete e chi le fornisce le rimuove e lascia solo le ultime versioni, in quel caso o metti mano al sito per aggiornare alle nuove o il sito si vede a metà o mal formattato. Con uno scenario del genere non occorre avere tanta fantasia per immaginare che è possibile attaccare il repository dei contenuti esterni, (es. js) riesco a iniettare sporcizia creata ad hoc in nmila siti che usano quei contenuti.
si, tutte minchiate. i webfont poi in genere sono solo fastidiosi e faccio di tutto x disabilitarne l'uso, preferisco il vecchio arial. :p
interessante e preoccupante lo scenario dell'iniezione massiva remota di malware... attaccarne uno per colpirne tanti... una struttura fragilissima e prona a millemila punti di debolezza... :doh:

Pensa alle webmail, tu credi che al giorno d'oggi ci sia qualcuno disposto a lavorare con Squirrelmail?
Certo che sì, per esempio i frati che mi forniscono il Tè verde crudo... :D