Firefox 2.0.0.5 e i primi problemi di sicurezza

[magicpn]

Quote:

Originariamente inviato da blackshard

Innanzitutto la progettazione non si occupa dei bug, non so se hai mai progettato un software informatico, ma se l'hai fatto ti sarai certamente accorto che si parla di tutt'altro (funzionalità, apparenza, limiti hardware, ...) e lo si fa sia per dare una struttura al software, sia per renderlo facilmente aggiornabile e inoltre per renderlo modulare, per permettere a molti programmatori di lavorare su moduli separati e quindi in contemporanea. Il problema sicurezza viene dopo nella fase implementativa, e puoi prendere il programmatore più bravo che ci sia ma ci saranno sempre e poi sempre buchi e falle nella sicurezza. E' talmente chiaro e assodato nel mondo dell'informatica che, come già ha detto qualcuno, questo è un assioma.

NEIN! Qui invece non sono d'accordo...

E' la struttura che fa sicuro il software.. un programmatore può al massimo sbagliare ad allocare della memoria, ma sono errori banali... un programmatore non stabilisce le regole di sicurezza del software... Credi che sia lasciato nelle mani di un programmatore l'onere di decidere quale approccio programmativo usare?

Qui non si parla di allocazioni sbagliate ma di chiamate a funzioni sbagliate.... questa è progettazione e si riperquote direttamente sulla sicurezza. Il problema è che nel mondo di internet i browser sono costretti ad appoggiarsi su framework che aggiornandosi cambiano continuamente le proprie funzionalità non garantendo neanche la retrocompatibilità.... basti pensare a quella trashata del java framework.... la roba scritta per 1.4 non girava per 1.5... oppure roba per una versione restituisce risultati diversi con altre versioni..... daiiii.. che trash!

[Cimmo]

Quote:

Originariamente inviato da magicpn

NEIN! Qui invece non sono d'accordo...

E' la struttura che fa sicuro il software.. un programmatore può al massimo sbagliare ad allocare della memoria, ma sono errori banali... un programmatore non stabilisce le regole di sicurezza del software... Credi che sia lasciato nelle mani di un programmatore l'onere di decidere quale approccio programmativo usare?

Qui non si parla di allocazioni sbagliate ma di chiamate a funzioni sbagliate.... questa è progettazione e si riperquote direttamente sulla sicurezza. Il problema è che nel mondo di internet i browser sono costretti ad appoggiarsi su framework che aggiornandosi cambiano continuamente le proprie funzionalità non garantendo neanche la retrocompatibilità.... basti pensare a quella trashata del java framework.... la roba scritta per 1.4 non girava per 1.5... oppure roba per una versione restituisce risultati diversi con altre versioni..... daiiii.. che trash!

calma, te generalizzi un po' troppo.
Ci sono problemi legati alla progettazione ok, ma anche miliardi di modi che il programmatore puo' introdurre bug di sicurezza.

Basta una variabile incrementata dove non c'e' il controllo di fine incremento e gia' e' un bug di sicurezza.
Senza andare a scomodare allocazione della memoria o altre cose.

Altro esempio: basta non controllare gli input dell'utente che vanno a finire direttamente in una query sql e gia' hai la possibilita' di sql injections.

Mi sembra che qui molti parlano di sicurezza, ma ben pochi siano preparati a farlo.

[blackshard]

Quote:

Originariamente inviato da Cimmo

calma, te generalizzi un po' troppo.
Ci sono problemi legati alla progettazione ok, ma anche miliardi di modi che il programmatore puo' introdurre bug di sicurezza.

Basta una variabile incrementata dove non c'e' il controllo di fine incremento e gia' e' un bug di sicurezza.
Senza andare a scomodare allocazione della memoria o altre cose.

Altro esempio: basta non controllare gli input dell'utente che vanno a finire direttamente in una query sql e gia' hai la possibilita' di sql injections.

Mi sembra che qui molti parlano di sicurezza, ma ben pochi siano preparati a farlo.

Non posso che essere d'accordo, di nuovo. E dubito sempre che in fase di progettazione si possano risolvere i problemi di sicurezza introdotti nella fase implementativa. Al massimo durante la progettazione c'è una risoluzione di macro-problemi legati alla sicurezza, ma le falle del tipo di cui stiamo discutendo sono indubbiamente introdotte durante la programmazione.

[Micene.1]

con firefox 1.512 la pagina nn riesce a vedermi la pass...mi esce tua pass: tuo nick: ma senza il nick/pass...quindi è una falla solo di ff2?

[vampirodolce1]

Quote:

Originariamente inviato da Micene.1

con firefox 1.512 la pagina nn riesce a vedermi la pass...mi esce tua pass: tuo nick: ma senza il nick/pass...quindi è una falla solo di ff2?

Stessa cosa succede a me con FF 1.5.0.5.

[BevX]

Mi sembra che ad alcuni siano sfuggite un paio di righe proprio sulla pagina del proof of concept...

"There has been some discussion, if this really is a vulnerability in Firefox. Because if an attacker can place script code on a server, he has other means to steal passwords."

Traduco sommariamente per chi non sa l'inglese (spero nessuno su un sito di questo tipo)

"Si è discusso se questa è veramente una vulnerabilità di Firefox. Perchè se un malintenzionato può piazzare del codice di scripting su un server, ha degli altri modi per rubare password".

Da quel che ho capito io, per sfruttare questa falla, il codice javascript "maligno" deve provenire dallo stesso server(o dominio?) che ospita il sito fidato. Quindi per rubarmi ad esempio la password di paypal, dovrebbero piazzare il javascript nel dominio paypal. Voglio proprio vedere a quanti servirà sta cosa... mò cerco su secunia per vedere come valuta la vulnerabilità...

[paolo_paul]

Ciao,

quoto tutti quelli che dicono: "più un software è diffuso più le falle saltano fuori". Credo che sia una verità assoluta. Credo anche che sia un fatto positivo (non le falle :P).

[blackshard]

Quote:

Originariamente inviato da paolo_paul

Ciao,

quoto tutti quelli che dicono: "più un software è diffuso più le falle saltano fuori". Credo che sia una verità assoluta. Credo anche che sia un fatto positivo (non le falle :P).

Più che una verità assoluta (che suona sempre un po' come una forzatura, no?), possiamo dire che è un dato di fatto ben assodato. Chi sostiene l'opposto capisce zero di sicurezza informatica, e anche questo è ben assodato

[mad_hhatter]

Quote:

Originariamente inviato da BevX

Mi sembra che ad alcuni siano sfuggite un paio di righe proprio sulla pagina del proof of concept...

"There has been some discussion, if this really is a vulnerability in Firefox. Because if an attacker can place script code on a server, he has other means to steal passwords."

Traduco sommariamente per chi non sa l'inglese (spero nessuno su un sito di questo tipo)

"Si è discusso se questa è veramente una vulnerabilità di Firefox. Perchè se un malintenzionato può piazzare del codice di scripting su un server, ha degli altri modi per rubare password".

Da quel che ho capito io, per sfruttare questa falla, il codice javascript "maligno" deve provenire dallo stesso server(o dominio?) che ospita il sito fidato. Quindi per rubarmi ad esempio la password di paypal, dovrebbero piazzare il javascript nel dominio paypal. Voglio proprio vedere a quanti servirà sta cosa... mò cerco su secunia per vedere come valuta la vulnerabilità...

ma infatti pochi mesi fa si discuteva di una cosa pressoche' identica... ricordo di aver letto la discussione sul sito Mozilla... in pratica tutto nasce dal fatto che viene controllato solo il dominio della pagina richiedente la password, ma non si controlla dove viene spedita la pass stessa... era cosi'? se (sottolineo il se, perche' non ho approfondito la cosa) la vulnerabilita' attuale prevede che la pass venga prima inviata allo stesso dominio e poi reindirizzata allora in effetti non so quanto si possa parlare di vulnerabilita'... pero' aspetto che qualcuno chiarisca meglio i dettagli prima di avanzare ipotesi

[Zorky]

Ho fatto il test alla pagina indicata. Ho FF 2.0.0.5 e non riesce a rubarmi ne username, ne password.
Sarà forse perchè uso l'extension NoScript che viene aggiornata quasi ogni settimana. Mica come IE che resta buggato in eterno.

[Zorky]

Ho appena letto che con NoScript l'attacco non funziona, ma NoScript su Firefox lo hanno TUTTI e dico TUTTI.

[Lucas Malor]

Ma a dire il vero io NoScript non lo ho, la trovo un'estensione alquanto fastidiosa.... :P Non vorrei fare il bastian contrario, ma NoScript e' la tipica estensione che non ti fa visualizzare bene la pagina, e l'utonto medio o se la piglia con Firefox o con l'admin del sito. Invece l'utonto avanzato come me ogni volta deve settare il sito come attendibile... la cosa e' frustrante. Non si farebbe prima ad evitare siti di pornazzi? XD

Comunque sia, vorrei dire una cosa.... premetto col dire che uso Firefox, ho anche usato per un periodo Opera e ritengo Firefox il browser migliore in circolazione per sicurezza (e anche per il resto).

Detto questo, permettetemi di dire che questo bug e' alquanto grave. Inoltre, non vorrei dire una stupidaggine, Javascript attualmente non e' sviluppato dalla stessa Mozilla Foundation?

Personalmente ho sempre odiato Javascript, nonostante sia utilissimo per rimediare al problema della staticita' delle pagine operando a livello client. Il problema e' che la programmazione di siti web e' un casino. Se vuoi scrivere una pagina devi usare html. Se vuoi utilizzare uno stile personalizzabile in modo semplice devi usare CSS. Se vuoi renderla dinamica senza appesantire il server devi usare Javascript. Se vuoi cercare di non appesantire neanche il client devi utilizzare tecniche Ajax......

[mad_hhatter]

la molteplicità degli strumenti non è un male: ognuno deve poter scegliere le tecnologie più adatte al suo scopo / modo di operare / ecc...
il problema è un altro: troppo spesso chi produce pagine web è un programmatore improvvisato con pochissimo background tecnico (e magari qualche strumento di autocomposizione che fa più male che bene). Risulatato: pagine fatte malissimo, però vanno visualizzate a tutti i costi -> i browser diventano più tolleranti -> sempre più incompetenti pensano di potersi improvvisare web designer... ecc ecc

[Cimmo]

Quote:

Originariamente inviato da paolo_paul

Ciao,

quoto tutti quelli che dicono: "più un software è diffuso più le falle saltano fuori". Credo che sia una verità assoluta. Credo anche che sia un fatto positivo (non le falle :P).

addirittura una verita' assoluta... e pensare che le persone che sanno trovare le falle sono sempre pochissime e che su 1 miliardo di gente che puo' usare windows XP (anche molto di piu') che percentuale avremmo che sa trovare le falle? 0,01%?

La verita' assoluta non esiste, cosi' come state sparando semplicemente perche' le falle ora sono piu' pubblicizzate, ma c'erano anche prima per firefox e direte la stessa cosa quando linux sara' diffuso... ma sara' solo questione che prima nessuno ve le faceva vedere dopo si'...

[nick_flash]

Che sequela di scemenze.

Metà di voi scrive cose su FF senza avere la minima cognizione di come si scrivano 3 righe di codice di programmazione.

Tanto per fare un esempio parlate di "team di sviluppo" come se ci fosse una linea di produzione all'interno dell'azienda, in stile closed source... roba da matti.

Il software per sua natura è un software. Punto e basta. Ha dei problemi che vengono man mano risolti. Il resto sono discorsi da ragazzini fanatici.

FF è in assoluto il browser più sicuro, performante e personalizzabile presente sul pianeta. IE è stato perfino sconsigliato dai vari enti governativi americani, per l'utilizzo in ambito interno agli stessi enti.

Il fatto che arrivino i bug e che prontamenti vengano corretti a mio avviso è sinonimo di serietà. Quando in IE c'è un Bug ci vogliono anche ANNI perchè venga corretto. QUINDI: smettiamola di dire cialtronate se non si sa di cosa state parlando. ok

[mad_hhatter]

ragazzi smorziamo un pochino i toni, dai... il thread inizia a scaldarsi e non è il caso, giusto?

[Asterion]

Quote:

Originariamente inviato da Lucas Malor

Invece l'utonto avanzato come me ogni volta deve settare il sito come attendibile... la cosa e' frustrante. Non si farebbe prima ad evitare siti di pornazzi? XD

[Fyber]

Scusate ..ma senza far tutto sto' casino.. basta che non memorizzate le password in Firefox ed usate il cervello per ricordarvele..e sarete sempre al sicuro sotto questo profilo in qualsiasi caso..

io le User e Passw non le faccio mai memorizzare a nessun Browser quando mi chiede se voglio salvarle per un accesso piu' veloce la prossima volta..

dai su .. che ci vuole ad ovviare a sta' stupidata??

[Tecnopixel]

A leggere i i vostri commenti mi si è ingrippato il cervello!

Analisi Logica: Principio - qualsiasi software o meglio linee di codice che si produce, essendo creata da un essere umano non potrà mai essere perfetta. Gli standard di qualità in questo settore arrivano al max al 90% circa, questo per un semplice fattore strutturale che non sto qui a spiegarvi (avete presente il sesso degli angeli, stessa cosa). Ergo tutto il software sarà e avrà sempre qualche vulnerabilità + o - grave. Ma il problema non è questo. Basta sapere che nessuno è perfetto.

Cè tra di voi chi esulta xchè si sente al sicuro usando Opera, chi invece vuole mandare a casa persone che secondo lui sono incapaci e via di questo passo...

Io personalmente uso Firefox dagli esordi con molti plugin tra cui l'indispensabile IE View - IEtab, e tanti altri. Sinceramente sono abbastanza soddisfatto a parte questo bug che ritengo molto pericoloso per chi è abituato a salvare le proprie password,
ma dovendo applicare il principio di salvare il salvabile io scelto Firefox
rispetto agli altri pur valdi broswer. Il resto sono solo quisquilie...

[Lucas Malor]

Quote:

Originariamente inviato da mad_hhatter

troppo spesso chi produce pagine web è un programmatore improvvisato con pochissimo background tecnico (e magari qualche strumento di autocomposizione che fa più male che bene). Risulatato: pagine fatte malissimo, però vanno visualizzate a tutti i costi -> i browser diventano più tolleranti -> sempre più incompetenti pensano di potersi improvvisare web designer... ecc ecc

Questo e' indubbiamente vero, pero' il mio discorso era un altro. HTML era nato come linguaggio per creare pagine statiche per il web. Una pagina HTML statica alla fine non e' molto diversa da un file .doc o comunque da un file in formato testo.
Ovviamente questa cosa non era proponibile a lungo andare, e Netscape ha introdotto Javascript, utilissimo per rendere dinamiche le pagine senza frustrare il server e per aprire i virus sui nostri pc.... :P
Ma anche il concetto stesso di pagina statica era diventato assurdo, ogni volta bisognava riscrivere lo stesso stile per ogni dannatissimo elemento, ed e' stato introdotto il CSS, che, permettetemi il paragone ardito, e' una specie di HTML++, un HTML orientato alle classi.... :PPPPPP

Alla fin fine sono tutte pezze. E' HTML stesso che non va. Bisognerebbe coraggiosamente prendere atto della cosa e riscrivere daccapo un linguaggio per pagine web che si adatti alle esigenze attuali. Non e' piu' possibile vedere siti che ancora applicano tag come il FONT. E non e' neanche proponibile che per fare una tabella in CSS mi ci debba industriare per ore. Ci vorrebbe un linguaggio che sia una somma di XML, XHTML, CSS e Javascript.