Firefox 2.0.0.5 e i primi problemi di sicurezza

[Mister24]

Quote:

Originariamente inviato da magicpn

No... non fraintendermi...

Apprezzo che chi si sveglia la mattina con lo scopo di migliorare il prorpio software lo faccia nel più breve tempo possibile....

Però prova a pensare a una azienda che usa firefox perchè più sicuro. Installa tale browser sui PC e lo vende al cliente che vuole sicurezza. Il giorno dopo chiama il cliente dicendo c'è un bug in firefox ho paura! Ok aggiorniamo! Il giorno dopo ancora c'è un altro bug! Aggiorniamo... e così via..

Apprezzo la velocità ma questo mi fa capire che è un software mal progettato visto che è pure open source mi sarei aspettato che le falle gravi sparissero già dopo mezza release!

Io non capisco il tuo ragionamento.

In questo mondo esiste qualcosa fatto dagli uomini che è perfetto?
No, quindi non vedo perché il software dovrebbe esserlo. L'unica soluzione è cercare di migliorarlo ogni giorno, poi come ho detto in un post precedente la patch è già stata sviluppata e sarà inclusa nel prossimo aggiornamento.

[mad_hhatter]

semplicemente impossibile quello che chiedi... è noto infatti che

1. la correzione di un bug probabilmente ne introduce uno nuovo (se non di più)
2. a meno di non avere a che fare con software banali è impossibile rilevare tutte le vulnerabilità
3. un software perfetto non esiste, questo è un dato di fatto. a questo punto è meglio puntare sulla rapidità delle patch

dopo di che... IE è esente da bug? no però è closed source e per tappare le vulnerabilità devi aspettare che il team di sviluppo se ne occupi e aspettare il rilascio programmato (assurdo per una patch di sicurezza). FF è open source, una patch la può approntare chiunque almeno per arginare il problema in attesa di una release ufficiale. Stanti così le cose al tuo cliente cosa consiglieresti tra FF e IE?

nessuno può andare da Mozilla Foundation o da Microsoft a dirgli andate a casa? beh no, ma chi ti vieta di non utilizzare i loro prodotti? infatti c'è Opera... almeno fino a quando la sua diffusione resterà bassa, poi vedremo

[Cimmo]

Quote:

Originariamente inviato da magicpn

...dai non essere così categorico... Valutare un software per il numero di linee di codice è un'usanza del 1980 quando c'era fortran... nel 2007 esiste la progettazione... Poi non siamo alla release 0.0.0.1 ma alla 2.0.0.6... ci sono state milioni di miliardi di release per correggere le falle gravi...

semplicemente no
se cosi' fosse windows xp dopo 6 anni non dovrebbe avere + bug di sicurezza, windows 2000 ancor peggio... dai sveglia

Quote:

So bene che non esiste software senza bug, ma i bug gravi sono i primi che saltano all'occhio e i primi a dover essere testati e corretti!

ma dove sta scritto che sono i primi a saltare all'occhio? Ragazzi ma avete mai scritto un programma in vita vostra?

[magicpn]

....inizia a sembrarmi una chat

Certo che le falle gravi vengono scoperte di volta in volta tant'è che da windows a unix a solaris a macintosh correggono di volta in volta le falle...

La mia osservaziun è semplicemente questa... Ma se esistono i test, la progettazione, i codificatori bravi e una comunità di gente che tutto il dì si mette a provare i bug è possibile che ne esistano ancora?

La mia speranza è sempre quella di vedere un dì un software che dopo un anno è a posto. In un anno un team che si occupa solo di quello dovrebbe farcela no?? Almeno con le falle gravi!

[dr-omega]

Fondamentalmente questa non èuna falla grave.
Pare infatti che si verifica solo in particolarissime condizioni e per di più perdi solo la prima password, mica tutte...
Un buon rimedio è tenere sempre installata l'estensione noscript che mette al riparo da moltissimi bachi scoperti e non.

Però è possibile che ogni volta si cade nel 3d ciclico???

Inoltre bisogna cominciare a fare come su PI: DFT! (Don't feed the trolls)

[luca20141]

Premesso che non mi piace chi giudica gratuitamente le persone e sono stufo di vedere post di persone che iniziano le frasi con denigrazioni più o meno accese, vorrei ricordare a tutti due cose:

1) Se non avete voglia di aspettare la patch di Firefox, ci sono altri browser in giro e, se non sbaglio, nessuno di essi è a pagamento.

2) Andate nel sito-prova che ruba le password indicato nella notizia. Immettete un nome utente e password... ve li ruberà. Immettete un secondo nome/password: il sito maligno non riuscirà più a rubare i vostri dati. Non è una soluzione definitiva, ma in attesa della patch...

3) Il sito dev'essere maligno per rubarvi i dati e poi solo il dato che inserite. Es: Se avete salvate 15 nome/password e entrate nel sito di HWU per fare il login, NESSUNA delle vostre password verrà rubata. Diverso è se, per caso entraste in un sito maligno (ed avete abilitato i javascript) che vi richiede una password. Anche in quel caso, comunque, vi ruberebbe la password che avete immesso, e non tutte e 15 quelle che avete.

[goldorak]

Quote:

Originariamente inviato da Zannawhite

Secondo il mio punto di vista, conoscendo l'ottimo livello di sviluppo e di velocità del team Mozilla, la sistemazione del bug non tarderà molto con una versione 2.0.0.6

Bisognerebbe avere qualche timore in più se si utilizzasse IE7, dove la risoluzione di bug e falle ha dei tempi di risoluzione decisamente elevati.

Cosa centra IE nella notizia ?
Si parla di Firefox e delle sue vulnerabilita', ed e' evidente che e' Firefox non e' perfetto.
E un duro colpo agli utenti Firefoxiani doc che vedono in IE l'anticristo.

[Cimmo]

Quote:

Originariamente inviato da goldorak

Cosa centra IE nella notizia ?
Si parla di Firefox e delle sue vulnerabilita', ed e' evidente che e' Firefox non e' perfetto.
E un duro colpo agli utenti Firefoxiani doc che vedono in IE l'anticristo.

nessun duro colpo, noi tutti siamo gia' consapevoli da tempo che nessun software e' perfetto, il duro colpo e' quando voi pensate che noi pensiamo questa cosa e come sempre vi prendete la solita sdenta

[Rubberick]

NONO scusate... embe'? la possibilita' di fare un alert e avere la pass storata e' roba nuova? sto trucchetto io lo uso da secoli... mica e' una falla, l'importante e' che non possano essere altri siti coinvolti magari in iframe o altre window a ciucciarti la pass via javascript

ai ai ai quanti problemi da quando e' stato introdotto XMLHttpRequest :P

al massimo tempo addietro potevano rivelarla ok ma era + difficile passarla ad un server remoto... adesso non ci vuole proprio nulla :P

poco ci manca che a javascript gli si permetta pieno accesso al local filesystem... a quel punto abbiamo fatto tombola xD

non per cattiveria... il proof of concept e' realizzato un attimino una mer...

[dr-omega]

Quote:

Originariamente inviato da goldorak

Cosa centra IE nella notizia ?
Si parla di Firefox e delle sue vulnerabilita', ed e' evidente che e' Firefox non e' perfetto.
E un duro colpo agli utenti Firefoxiani doc che vedono in IE l'anticristo.

IMHO tutt'ora non cambierei FF con nessun altro, perchè PER ME è il browser che meglio assolve alle MIE esigenze.
Per altri è IE7, oppure Opera, oppure Safari, oppure Konqueror, ecc... non vedo il problema.

E comunque IE6 è l'Anticristo!

[Mister24]

Quote:

Originariamente inviato da luca20141

3) Il sito dev'essere maligno per rubarvi i dati e poi solo il dato che inserite. Es: Se avete salvate 15 nome/password e entrate nel sito di HWU per fare il login, NESSUNA delle vostre password verrà rubata. Diverso è se, per caso entraste in un sito maligno (ed avete abilitato i javascript) che vi richiede una password. Anche in quel caso, comunque, vi ruberebbe la password che avete immesso, e non tutte e 15 quelle che avete.

Potrebbe anche non essere maligno, ti faccio un esempio:
Entri in HWU e inserisci la password, un utente maligno potrebbe avere inserito in un post del codice javascript per rubarti la password. Ora non puoi dire che il sito di HWU sia maligno. L'unica soluzione è impedire agli utenti di inserire javascript.

PS: Con questo non voglio dire che HWU consenta l'inserimento di javascript agli utenti, era solo un esempio.

[magicpn]

Quote:

Originariamente inviato da Rubberick

NONO scusate... embe'? la possibilita' di fare un alert e avere la pass storata e' roba nuova? sto trucchetto io lo uso da secoli... mica e' una falla, l'importante e' che non possano essere altri siti coinvolti magari in iframe o altre window a ciucciarti la pass via javascript

ai ai ai quanti problemi da quando e' stato introdotto XMLHttpRequest :P

al massimo tempo addietro potevano rivelarla ok ma era + difficile passarla ad un server remoto... adesso non ci vuole proprio nulla :P

poco ci manca che a javascript gli si permetta pieno accesso al local filesystem... a quel punto abbiamo fatto tombola xD

non per cattiveria... il proof of concept e' realizzato un attimino una mer...

Ora forse inizio a capire.... vedo la luce...

Effettivamente non avevo mai pensato a questa cosa... Non sono firefox e altri browser ad essere mal progettati... ma è che in fase di progettazione è impossibile prevedere come verranno modificati i framework tipo java sdk etc... e quindi basta che aggiungano o modifichino qualche funzione e la progettazione va a farsi benedire..

Ecco così mi quadra..

W la patata!

[goldorak]

Quote:

Originariamente inviato da Cimmo

nessun duro colpo, noi tutti siamo gia' consapevoli da tempo che nessun software e' perfetto, il duro colpo e' quando voi pensate che noi pensiamo questa cosa e come sempre vi prendete la solita sdenta

Duro colpo a chi ?
Io uso Opera (dopo avere provato per anni Firefox, e IE fino alla release 7) e l'aggiorno quando necessario.
Dico solo che molte persone qui hanno decantato le lodi di Firefox da tanti anni battendo sul tasto della sicurezza, etc... e adesso incominciano a venire i nodi al pettine.
Io, tu e qualcun'altro sapiamo benissimo che non esiste il software perfetto, ma a sentire la maggiornanza dei fanboy Firefoxiani non e' cosi'.
IE e' la merda, Opera e' insignificante (e qui non hanno torto ), Firefox e' perfetto.
Capisci che alla lunga sentire 'sto discorso mi rompe parecchio.

[wollybully]

che abbia falla e bug è legittimo per un software.
La cosa che da veramente fastidio è che venga pubblicizzato come il browser "sicuro", quando non è così. Il numero di bug e falle di sicurezza segnalate è superiore a quelle di tutti gli altri browser conosciuti.

[mad_hhatter]

Quote:

Originariamente inviato da magicpn

....inizia a sembrarmi una chat

Certo che le falle gravi vengono scoperte di volta in volta tant'è che da windows a unix a solaris a macintosh correggono di volta in volta le falle...

La mia osservaziun è semplicemente questa... Ma se esistono i test, la progettazione, i codificatori bravi e una comunità di gente che tutto il dì si mette a provare i bug è possibile che ne esistano ancora?

La mia speranza è sempre quella di vedere un dì un software che dopo un anno è a posto. In un anno un team che si occupa solo di quello dovrebbe farcela no?? Almeno con le falle gravi!

no, mi spiace disilluderti, ma non accadrà mai (beh, ok, non posso dimostrarlo ) semplicemente un software è qualcosa che evlolve per sua natura... e l'evoluzione porta con se inevitabilmente il rischio di falle. non ci si può far niente...

i test testano solo quello che tu gli hai detto di testare, non sono strumenti magici che ti dicono "hei occhio secondo me qua c'è un bug che tu non hai mai considerato"... ci sono test che controllano il codice, ma sono sempre programmi e includono soltanto la conoscenza di chi li ha scritti, non di più. un coder per quanto bravo non può tener d'occhio tutte le implicazioni di ogni singola modifica, soprattutto per quanto riguarda i pezzi scritti da altri. la community fa appunto questo, testa e cerca i bug... ma se quando li trova viene fuori un casino perchè li ha trovati beh allora non so che dire

[Mister24]

Quote:

Originariamente inviato da wollybully

che abbia falla e bug è legittimo per un software.
La cosa che da veramente fastidio è che venga pubblicizzato come il browser "sicuro", quando non è così. Il numero di bug e falle di sicurezza segnalate è superiore a quelle di tutti gli altri browser conosciuti.

Solo perché quelle degli altri browser non vengono segnalate, se vai su Secunia scoprirai che anche Opera è pieno di falle (anche critiche) certo è che sono tutte state corrette, ma qui su HWU non sono state mai segnalate. Oppure anche konqueror ha due falle aperte di cui una da febbraio e una da giugno.
Comunque imho la caratteristica migliore di firefox è la possibilità di personalizzarlo come si vuole.

[dr-omega]

Quote:

Originariamente inviato da goldorak

Duro colpo a chi ?
Io uso Opera (dopo avere provato per anni Firefox, e IE fino alla release 7) e l'aggiorno quando necessario.
Dico solo che molte persone qui hanno decantato le lodi di Firefox da tanti anni battendo sul tasto della sicurezza, etc... e adesso incominciano a venire i nodi al pettine.
Io, tu e qualcun'altro sapiamo benissimo che non esiste il software perfetto, ma a sentire la maggiornanza dei fanboy Firefoxiani non e' cosi'.
IE e' la merda, Opera e' insignificante (e qui non hanno torto ), Firefox e' perfetto.
Capisci che alla lunga sentire 'sto discorso mi rompe parecchio.

Aspetta, non credo che un utente un po' smaliziato (o comunque intelligente) ti abbia mai detto che FF è perfetto, perchè nessun software è perfetto.
Se è successo lo deve avere detto un utonto o magari un troll o un fanboy (spesso le tre cose coesistono), quindi se tu non sei un appartenente alla setta (e non mi sembra), non puoi adesso metterti sul loro stesso piano.

La persona intelligente sa che ogni browser ha i suoi pregi e difetti e che quello che va bene a lui non è detto che vada bene agli altri.

[Master_T]

Il software bug-free non esiste, è un assioma dell'informatica....

Quote:

Io uso Opera (dopo avere provato per anni Firefox, e IE fino alla release 7) e l'aggiorno quando necessario.
Dico solo che molte persone qui hanno decantato le lodi di Firefox da tanti anni battendo sul tasto della sicurezza, etc... e adesso incominciano a venire i nodi al pettine.

Sarei passato anchio a opera da tanto tempo.... non fosse che gli addons di firefox sono TROPPO utili.... io non riesco a fare a meno di FlashGot, Linkfication, Imageshack uploader, fasterfox, IEtab, Bugmenot, BBcodeXtra, ecc....

Sennò userei opera già da un bel po'.

[mad_hhatter]

Quote:

Originariamente inviato da wollybully

che abbia falla e bug è legittimo per un software.
La cosa che da veramente fastidio è che venga pubblicizzato come il browser "sicuro", quando non è così. Il numero di bug e falle di sicurezza segnalate è superiore a quelle di tutti gli altri browser conosciuti.

sicuro non significa perfetto. la sicurezza è un processo non un prodotto. punto. sul numero di falle bisogna poi vedere la criticità e i tempi di soluzione... certo, FF non è perfetto e ha i suoi problemi, ma c'è bisogno di dirlo?

[Cimmo]

Quote:

Originariamente inviato da wollybully

che abbia falla e bug è legittimo per un software.
La cosa che da veramente fastidio è che venga pubblicizzato come il browser "sicuro", quando non è così. Il numero di bug e falle di sicurezza segnalate è superiore a quelle di tutti gli altri browser conosciuti.

il problema e' che finche' misuri un software per il num di bug di sicurezza avrai sempre delusioni, quando ti sveglierai e lo misurerai anche per la velocita' di fix allora forse capirai piu' cose.

Purtroppo qui lo dici, ma nessuno lo comprende...