I buchi di FireFox (FireFox iFrame Bug)

5 June, 2007 | da gioxx |

ATTENZIONE: Questo post e' stato scritto piu' di 3 mesi fa. Potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a scrivere un commento per chiedere delucidazioni! :)

Leggendo svariati feed ho notato una certa preoccupazione da parte degli utenti nei confronti dei nuovi bachi scoperti in FireFox ed Internet Explorer. Se del secondo citato “non me ne può fregar di meno“, del primo mi interesso in modo particolare e ci tengo che sia sempre perfetto e protetto :)
DownloadBlog (da me sempre molto apprezzato) ed in particolare “Leo23” cita:

Con questo codice si potrebbe monitorare tranquillamente le azioni dell’utente, intercettando quello che viene digitato sulla tastiera. Provando in prima persona la demo del bug, vi posso assicurare che c’è da aver paura.

La cosa che non riesco a farmi andare giù è sempre la stessa. Sfruttare strumenti parecchio visibili e visitati per diffondere panico tra l’utenza meno esperta che prende come guru informatici gli autori delle notizie che pubblicano le proprie impressioni su fonti autorevoli. Ho detto “impressioni” volutamente. Il perché è facilmente intuibile.

La stessa cosa (in forma più grave) era accaduta qualche tempo fa anche con SwZ (SoftwareZone, che non linko in quanto molto “non standard compliant”) a causa del saggio improvvisato (vedi: ignorante) di turno.

FireFox è nato per essere blindato e notevolmente più protettivo di Internet Explorer. Esistono una miriade di estensioni che attendono solo di essere installate. L’exploit tanto decantato riesce a creare danni partendo da siti poco sicuri e poco conosciuti sfruttando un iFrame e Javascript. In ogni caso le ipotesi di attacco sono “smontabili“.

Sicurezza siti web (phishing):

Ne cito giusto qualcuna tra quelle più conosciute…

senza considerare che FireFox, a partire dalla versione 2.0, integra già un motore anti-pishing che può basarsi su una propria blacklist e comportamenti genericamente utilizzati dai siti contraffatti o appoggiarsi al ben più sicuro Google per bloccare eventuali siti web “maligni“.

Sicurezza durante la navigazione:

Cito una sola estensione che vale tutte le altre messe insieme: NoScript di Giorgio Maone, con il quale ho collaborato per un breve periodo su/per eXtenZilla.org. Questa riesce a bloccare tutti gli script nocivi per una maggiore sicurezza del browser e del sistema. Sarete poi voi a decidere quali eseguire o meno attraverso una elegante e pratica gestione di whitelist (spulciate il sito ufficiale per saperne di più).

Checché se ne dica sui “work around” e delle funzioni non incluse già di default, FireFox è fatto per essere personalizzato attraverso l’installazione e l’utilizzo delle sue estensioni. Potete decidere se avere un FireFox anonimo privo di qualsivoglia addon o stare dalla parte di quelli che ci tengono alla propria protezione infischiandosene (stando comunque attenti quanto basta) degli exploit che vengono sfornati quotidianamente sul web :) Così facendo, state sicuri che NON c’è da aver paura.

Cheers.

5 Responses to “I buchi di FireFox (FireFox iFrame Bug)”

  1. 1
    TambuNo Gravatar Says:
    June 6th, 2007 at 9:15 am

    forse ho capito male, ma mi sembra che tu dica “non c’è da aver paura perché mettendo questo e quello siete protetti”, mentre l’articolo parla di firefox così come viene.

    Il che mi pare francamente poco sensato, perché sennò quando si consiglia firefox si dovrebbe anche consigliare *contestualmente* questo e quello.

    Reply | Quote
  2. 2
    gioxxNo Gravatar Says:
    June 6th, 2007 at 10:52 am

    Hai ragione e hai capito benissimo Tambu. FireFox è già dalla nascita uno strumento più blindato rispetto a Windows Internet Explorer (lo sai bene anche te tanto quanto un utilizzatore) o modifiche come Maxthon e affini.

    Resta il fatto che curare il browser installando delle estensioni che possono proteggere l’utente finale ed il suo sistema è cosa fondamentale a prescindere.

    Nell’articolo citato è stata spudoratamente utilizzata una descrizione del problema secondo la quale su qualsiasi FireFox, a causa del bug, c’è da avere paura. Un utente al quale è stato installato con le estensioni “protettive” e che sa utilizzarlo poco o non è esperto di questo argomento si mette seriamente paura e corre sul forum di MozillaItalia ad accusarci di scarso rendimento e sicurezza del browser, una cosa odiosa, te lo posso assicurare.

    Cya!

    Reply | Quote
  3. 3
    Andrea OpletalNo Gravatar Says:
    June 6th, 2007 at 11:04 am

    sei stato molto chiaro e di grande aiuto … ora mi installo NoScript!!!

    grazie!

    ciao

    Reply | Quote
  4. 4
    TambuNo Gravatar Says:
    June 6th, 2007 at 12:08 pm

    parli a me e alla minoranza illuminata che sa cosa fare o alla massa che Firefox vorrebbe sedurre ma è completamente a digiuno di qualsiasi cosa non sia installa-e-usa? :)

    Reply | Quote
  5. 5
    gioxxNo Gravatar Says:
    June 6th, 2007 at 1:43 pm

    Ipoteticamente dovrei parlare alla folla che vuole il programma installa ed usa ma sistematicamente mi ritrovo a parlare con i soliti addetti ai lavori ;)
    Per la popolazione affamata di sapere e ancora parecchio ignorante (nel senso dell’ignorare / non conoscere) sugli argomenti sopra descritti c’è sempre il forum di MozillaItalia, dove litigare con qualcuno o farsi scappare qualche risata per l’innocenza delle discussioni aperte / resuscitate.

    @Andrea: di nulla.

    Reply | Quote

Leave a Reply