Link alla notizia: http://news.hwupgrade.it/13626.html

Secondo alcuni esperti l'innocente funzione "salva immagine con nome" di Internet Explorer potrebbe rivelarsi una pericolosa breccia nella sicurezza del proprio sistema

Click sul link per visualizzare la notizia.

Un'altro cono gelato per tutti quelli che persistono nell'utilizzo di IE e Windoof :p

Bufala. A me salva una doppia estensione (Win 98 SE)
Se la news fosse vera allora accadrebbe la stessa cosa anche con "Salva oggetto con nome". Mah

ma chi è che ha stabilito il default setting di explorer?
anche in questo caso si mostra come le vulnerabilità non dipendano solo da una cattiva programmazione ma anche da una scarsa propensione di microsoft a promuovere un utilizzo responsabile dei suoi prodotti per inseguire la chimera della semplicità d'uso. Un esempio eclatante è la mancanza di informazione sui rischi di un utilizzo del s.o. con i privilegi di amministratore: ci vuole molto a suggerire durante l' installazione di winXP la creazione di un utente con privilegi ridotti?
quante infezioni da worm potrebbero essere evitate e/o contenute se gli utenti windows la smettessero di fare login come root?

Comunque il "Nascondi estensione" ha fatto più danni :rolleyes:

ma non potrebbero disabilitarla di default?

chi non l'ha ancora capito che non deve usare prodotti microsoft e soprattutto un browser scritto coi piedi, che è integrato nel s.o. in modo da massimizzare eventuali danni, a questo punto è un pazzo o un stupido che si merita di vedersi i suoi file rovinati

Io non riesco a capire con quale logica alla microsoft abbiano pensato di segare le estensioni invece di salvare il file col nome così scritto... :confused:

In effetti è una scelta alquanto discutibile

Ma se anche fosse vera sta news, un file ciccio.hta.jpg verrebbe solo visualizzato come un ciccio.hta ma in realtà è un .jpg e quindi trattato come immagine. L'avere 2 estensioni non ne modifica il tipo e quindi il programma che lo apre.

Originariamente inviato da Wonder
Ma se anche fosse vera sta news, un file ciccio.hta.jpg verrebbe solo visualizzato come un ciccio.hta ma in realtà è un .jpg e quindi trattato come immagine. L'avere 2 estensioni non ne modifica il tipo e quindi il programma che lo apre. No... il file viene salvato come .hta, la seconda estensione viene "segata", non nascosta...

Questo anche grazie alla loro scelta di riconoscere i file dall'estensione e non dall'header.

X Wonder

Penso che il problema si ponga se il realtà il file che ti salva è un .hta su cui è stato aggiunto .jpg in fondo, resta comunque il fatto che solo un suicida poi andrebbe a aprire il file .hta :rolleyes:

hihihi...

il mio umile panda rosso se se strafrega :D

Originariamente inviato da Serpico78
Questo anche grazie alla loro scelta di riconoscere i file dall'estensione e non dall'header.Nel secondo caso sarebbe ancora peggio... verrebbe direttamente eseguito lo script anche se il file ha solamente l'estensione jpg...

secondo me sono sempre le solite stronzate...
è 8 anni che uso prodotti microsoft e sono connesso ad internet 24 su 24 e non c'ho mai rimesso un solo file per colpa di bug o virus.
questo non vuol dire che non abbiano difetti o che approvo la dittatura di bill...ma rimetterci qualcosa per ste cazzate è veramente da polli!
a buon intenditor poche parole...

Originariamente inviato da share_it
chi non l'ha ancora capito che non deve usare prodotti microsoft e soprattutto un browser scritto coi piedi, che è integrato nel s.o. in modo da massimizzare eventuali danni, a questo punto è un pazzo o un stupido che si merita di vedersi i suoi file rovinati


Io non l'ho ancora capito: sono un pazzo o uno stupido o forse entrambi.

Originariamente inviato da Wonder
Ma se anche fosse vera sta news, un file ciccio.hta.jpg verrebbe solo visualizzato come un ciccio.hta ma in realtà è un .jpg e quindi trattato come immagine. L'avere 2 estensioni non ne modifica il tipo e quindi il programma che lo apre.

guarda che windows non è mica UNIX..... in unix l'estensione non serve a un cippa, la cambi, non la metti, e cmq il sistema sa con cosa aprire un file.
Ma in windows senza estensione , sto bellissimo SO, non sa con cosa aprire e se è doppia come nell' esempio il file viene usato come hta...

Originariamente inviato da Mad Penguin
Ma in windows senza estensione , sto bellissimo SO, non sa con cosa aprire e se è doppia come nell' esempio il file viene usato come hta... No... se è doppia viene usata l'ultima...

Per tutti quelli che dicono che Microsoft programma male... tempo fa quando uscì una parte del codice sorgente di Windows 2000, alcuni esperti l'analizzarono e lo trovarono tutto tranne che scritto male, anzi...

Mad se io ho un'immagine "nome.hta.jpg" , nascondendo l'estenzione tu vedi "nome.hta" ma lo apre come JPEG.

Se togli completamente l'estenzione nn funziona, e in questo è diverso da UNIX.

Bufala. A me salva una doppia estensione (Win 98 SE)
Se la news fosse vera allora accadrebbe la stessa cosa anche con "Salva oggetto con nome". Mah
Bufale la tua invece! Ho provato e su windows 98 lo fa davvero!! Leggi amodo la news devi abilitare il "nascondi le estensioni per i file conosciuti" perchè la falla funzioni.

a me sta falla sembra molto pericolosa per un utonto, metti che tale utonto convinto di aver scaricato un immagine ( in ufficio da me per esempio non sanno neanche cosa sia un jpg) ci clicca sopra e il sistema operativo avendo potato l 'estenzione jpg lo avvia come .hta,
indovina un pò cosa succede!!!

Originariamente inviato da The_Saint
No... se è doppia viene usata l'ultima...


Sto parlando nel caso del bug in questione che appunto elimina l'estensione .jpg ....:rolleyes:

Originariamente inviato da WarDuck

Mad se io ho un'immagine "nome.hta.jpg" , nascondendo l'estenzione tu vedi "nome.hta" ma lo apre come JPEG.
.

certo che te hai capito tutto di sto bug...

il casino sta proprio nel fatto che se fai salva immagine ti sega l'ultima estensione!

Originariamente inviato da Mad Penguin
Sto parlando nel caso del bug in questione che appunto elimina l'estensione .jpg ....:rolleyes: Se la elimina allora non è doppia... ;)

Originariamente inviato da The_Saint
Se la elimina allora non è doppia... ;)
:mc: :hic:

Originariamente inviato da Mad Penguin
:mc: :hic: :confused:

Ehm... questo l'hai scritto tu, non io:

Originariamente inviato da Mad Penguin
Ma in windows senza estensione , sto bellissimo SO, non sa con cosa aprire e se è doppia come nell' esempio il file viene usato come hta...

spero che si diffondano presto questi cosiddetti nuovi browser...ne vedremo delle belle coi nuovi bug.
Poi vedrete che, con molta meno esperienza di explorer, usciranno bug che ti formattano la macchina...altro che estenzioni troncate.

Io infatti ho scritto: "...come nell' esempio..."e nell' esempio viene spiegato come fa a troncare l'estensione

boh... alle volte resto basito

Originariamente inviato da The_Saint
Nel secondo caso sarebbe ancora peggio... verrebbe direttamente eseguito lo script anche se il file ha solamente l'estensione jpg...


Si ma nel secondo caso, se il software non è fatto con i piedi, dovrebbe avvisarti che quello che stai per scaricare non è quello che credi tu ed è potenzialmente pericoloso,
Un esempio, mi capita che a volte arrivino delle e-mail con allegato da sconosciuti con varie estensioni, tipo .zip .jpg ...etc, ma se scarico l'allegato con la Debian, questa mi dice se sto scaricando un archivio compresso, un'immagine o un codice binario eseguibile, quindi riesco a capire se è un virus rinominato con un'altra estensione o è un file valido.
Questo vuol dire fare una gestione intelligente dell'header del file. :D

Originariamente inviato da Serpico78
Si ma nel secondo caso, se il software non è fatto con i piedi, dovrebbe avvisarti che quello che stai per scaricare non è quello che credi tu ed è potenzialmente pericoloso,
Un esempio, mi capita che a volte arrivino delle e-mail con allegato da sconosciuti con varie estensioni, tipo .zip .jpg ...etc, ma se scarico l'allegato con la Debian, questa mi dice se sto scaricando un archivio compresso, un'immagine o un codice binario eseguibile, quindi riesco a capire se è un virus rinominato con un'altra estensione o è un file valido.
Questo vuol dire fare una gestione intelligente dell'header del file. :D Su questo non ci piove... ma non possiamo pretendere + di tanto da Bill! :D

Cmq basterebbe eliminare completamente da Windows l'opzione "Nascondi le estensioni per i tipi di file conosciuti" (che tra l'altro reputo totalemente inutile ed anche scomoda) ed il problema sarebbe risolto...

Le estensioni sono comunque una gran comodità, perché (sulla carta) permettono di conoscere il tipo di dati contenuto nel file. Andare ad analizzare l'header è sicuramente il metodo migliore, ma richiede, appunto, di dover leggere almeno un certo numero di byte dal file in oggetto.

Concordo con cdimauro... è una questione di scelte, le estensioni non hanno mai creato problemi e semplificano di molto la vita al SO.


Originariamente inviato da Mad Penguin
Io infatti ho scritto: "...come nell' esempio..."e nell' esempio viene spiegato come fa a troncare l'estensione

boh... alle volte resto basito Resti basito dalle tue affermazioni? :p

Scherzi a parte, forse ti sei espresso male oppure ho capito male io quello che avevi scritto... ;)