A pochi giorni dal rilascio di Firefox 2.0.0.5 vengono segnalati nuovi problemi di sicurezza
di Vincenzo Ciaglia pubblicata il 25 Luglio 2007, alle 08:39 nel canale Programmi
Torna l'e-bike Engwe più venduta: P275 SE con sconto folle di 600 euro, più secondo sconto
_160.jpg)
Netflix vuole realizzare i film d'animazione con l'IA generativa? Un annuncio di lavoro sembra confermarlo
Bitwarden cancella "Always free" dal sito: cosa sta succedendo al password manager open source?
JBL presenta le nuove cuffie JBL Live e i nuovi altoparlanti portatili e PartyBox
Volkswagen ID. Polo GTI: debutta la prima GTI elettrica da 226 CV, 0-100 in 6,8 secondi
Leapmotor è pronta a lanciare un secondo marchio di gamma medio alta
Honda lavora a un cambio virtuale per le moto elettriche, con tanto di vibrazioni 'da cambiata'
70mai A410 a 90,99€: la dashcam doppia a 2.5K con GPS che registra anche quando l'auto è parcheggiata
Garmin Instinct 3 Tactical in promo a 384,49€: lo smartwatch rugged con GPS in versione 50mm, senza rivali nel prezzo
ASUS ROG Edition 20: i primi moduli DDR5 a marchio ROG arrivano in kit da 48 GB con profili XMP ed EXPO
Polio, HPV e malaria: Anthropic e Gates Foundation vogliono distribuire l'IA dove non arriva
Stellantis sceglie la via di Wuhan: Peugeot e Jeep elettriche "Made in China" per l’export globale
ASUS ROG Crosshair 2006: tutto quello che devi sapere sulla motherboard che celebra i 20 anni della linea ROG
SpaceX ha intenzione di costruire più siti di lancio per il razzo spaziale Starship, negli USA e all'estero
Insta360 GO 3S Pack Retrò: l'azione incontra lo stile delle macchine a pellicola
Insta360 cerca di innovare il concetto classico di action cam con GO 3S Pack Retrò, un'edizione speciale che punta sull'estetica delle macchine a pellicola degli...
Recensione TCL NXTPAPER 70 Pro: lo smartphone dal display opaco per il benessere visivo
TCL NXTPAPER 70 Pro è stato ufficializzato in occasione del MWC 2026 e porta la tecnologia di visualizzazione NXTPAPER 4.0 a un nuovo livello di efficienza grazie...
Forza Horizon 6 Recensione: si vola in Giappone!
Forza Horizon 6 arriva con la nuova ambientazione in Giappone, il paese più desiderato dalla community fin dal debutto della serie nel 2012. Playground Games ha...
Da oggi mirrorless full-frame Canon EOS R6 V e RF 20-50mm F4 L IS USM PZ, il meglio per i video a mano libera
Disponibili da oggi sia una nuova mirrorless full-frame, Canon EOS R6 V, sia l'obiettivo RF 20-50mm F4 L IS USM PZ, il primo RF full-frame serie L con power zoom...
Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia
MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...
HONOR CHOICE AI Note, il registratore IA che si ricarica dallo smartphone
Un dispositivo ultrasottile che registra, trascrive e genera report con l'intelligenza artificiale, con 600 minuti al mese di trascrizione gratuita e la comodità...
Tesla Model 3 dopo 5 anni di utilizzo e 158.000km
Dopo 5 anni trascorsi a guidare una Tesla Model 3 AWD Long Range, per una percorrenza di 158.000km, è il tempo di trarre qualche bilancio. Dal costo d'acquisto a...
Ecovacs Deebot X12 OmniCyclone: lava grazie a FocusJet
Il nuovo Deebot X12 OmniCyclone abbina un sistema di raccolta dello sporco senza sacchetto, un rullo di lavaggio esteso e la tecnologia FocusJet per intervenire...
Membro della European Hardware Association
Forza Horizon 6 Recensione: si vola in Giappone!
HONOR CHOICE AI Note, il registratore IA che si ricarica dallo smartphone
Insta360 GO 3S Pack Retrò: l'azione incontra lo stile delle macchine a pellicola
99 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoE' la struttura che fa sicuro il software.. un programmatore può al massimo sbagliare ad allocare della memoria, ma sono errori banali... un programmatore non stabilisce le regole di sicurezza del software... Credi che sia lasciato nelle mani di un programmatore l'onere di decidere quale approccio programmativo usare?
Qui non si parla di allocazioni sbagliate ma di chiamate a funzioni sbagliate.... questa è progettazione e si riperquote direttamente sulla sicurezza. Il problema è che nel mondo di internet i browser sono costretti ad appoggiarsi su framework che aggiornandosi cambiano continuamente le proprie funzionalità non garantendo neanche la retrocompatibilità.... basti pensare a quella trashata del java framework.... la roba scritta per 1.4 non girava per 1.5... oppure roba per una versione restituisce risultati diversi con altre versioni..... daiiii.. che trash!
calma, te generalizzi un po' troppo.
Ci sono problemi legati alla progettazione ok, ma anche miliardi di modi che il programmatore puo' introdurre bug di sicurezza.
Basta una variabile incrementata dove non c'e' il controllo di fine incremento e gia' e' un bug di sicurezza.
Senza andare a scomodare allocazione della memoria o altre cose.
Altro esempio: basta non controllare gli input dell'utente che vanno a finire direttamente in una query sql e gia' hai la possibilita' di sql injections.
Mi sembra che qui molti parlano di sicurezza, ma ben pochi siano preparati a farlo.
Ci sono problemi legati alla progettazione ok, ma anche miliardi di modi che il programmatore puo' introdurre bug di sicurezza.
Basta una variabile incrementata dove non c'e' il controllo di fine incremento e gia' e' un bug di sicurezza.
Senza andare a scomodare allocazione della memoria o altre cose.
Altro esempio: basta non controllare gli input dell'utente che vanno a finire direttamente in una query sql e gia' hai la possibilita' di sql injections.
Mi sembra che qui molti parlano di sicurezza, ma ben pochi siano preparati a farlo.
Non posso che essere d'accordo, di nuovo. E dubito sempre che in fase di progettazione si possano risolvere i problemi di sicurezza introdotti nella fase implementativa. Al massimo durante la progettazione c'è una risoluzione di macro-problemi legati alla sicurezza, ma le falle del tipo di cui stiamo discutendo sono indubbiamente introdotte durante la programmazione.
"There has been some discussion, if this really is a vulnerability in Firefox. Because if an attacker can place script code on a server, he has other means to steal passwords."
Traduco sommariamente per chi non sa l'inglese (spero nessuno su un sito di questo tipo)
"Si è discusso se questa è veramente una vulnerabilità di Firefox. Perchè se un malintenzionato può piazzare del codice di scripting su un server, ha degli altri modi per rubare password".
Da quel che ho capito io, per sfruttare questa falla, il codice javascript "maligno" deve provenire dallo stesso server(o dominio?) che ospita il sito fidato. Quindi per rubarmi ad esempio la password di paypal, dovrebbero piazzare il javascript nel dominio paypal. Voglio proprio vedere a quanti servirà sta cosa... mò cerco su secunia per vedere come valuta la vulnerabilità...
quoto tutti quelli che dicono: "più un software è diffuso più le falle saltano fuori". Credo che sia una verità assoluta. Credo anche che sia un fatto positivo (non le falle :P).
quoto tutti quelli che dicono: "più un software è diffuso più le falle saltano fuori". Credo che sia una verità assoluta. Credo anche che sia un fatto positivo (non le falle :P).
Più che una verità assoluta (che suona sempre un po' come una forzatura, no?), possiamo dire che è un dato di fatto ben assodato. Chi sostiene l'opposto capisce zero di sicurezza informatica, e anche questo è ben assodato
"There has been some discussion, if this really is a vulnerability in Firefox. Because if an attacker can place script code on a server, he has other means to steal passwords."
Traduco sommariamente per chi non sa l'inglese (spero nessuno su un sito di questo tipo)
"Si è discusso se questa è veramente una vulnerabilità di Firefox. Perchè se un malintenzionato può piazzare del codice di scripting su un server, ha degli altri modi per rubare password".
Da quel che ho capito io, per sfruttare questa falla, il codice javascript "maligno" deve provenire dallo stesso server(o dominio?) che ospita il sito fidato. Quindi per rubarmi ad esempio la password di paypal, dovrebbero piazzare il javascript nel dominio paypal. Voglio proprio vedere a quanti servirà sta cosa... mò cerco su secunia per vedere come valuta la vulnerabilità...
ma infatti pochi mesi fa si discuteva di una cosa pressoche' identica... ricordo di aver letto la discussione sul sito Mozilla... in pratica tutto nasce dal fatto che viene controllato solo il dominio della pagina richiedente la password, ma non si controlla dove viene spedita la pass stessa... era cosi'? se (sottolineo il se, perche' non ho approfondito la cosa) la vulnerabilita' attuale prevede che la pass venga prima inviata allo stesso dominio e poi reindirizzata allora in effetti non so quanto si possa parlare di vulnerabilita'... pero' aspetto che qualcuno chiarisca meglio i dettagli prima di avanzare ipotesi
Sarà forse perchè uso l'extension NoScript che viene aggiornata quasi ogni settimana. Mica come IE che resta buggato in eterno.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".