Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

[Articolo] Allarme rosso per Internet Explorer

Suggerimenti, commenti, segnalazione errori, critiche, lodi e quant'altro riguardi strettamente MegaLab.it e i suoi contenuti.

[Articolo] Allarme rosso per Internet Explorer

Messaggioda Pacopas » lun nov 28, 2005 12:39 am

Apparte che sono appena le 00.38 ed il mio lunedì è iniziato con un sorriso [:-D]

comunque non ho postato per questo.
io uso FireFox 1.07 con le seguenti estenzioni
about:notblank 0.1
compact menu 1.7.2
print prewiev 0.4
undoclosetab 20041125.5
minimize to tray 0.0.1
duplicate tab 0.6.2
cutemenu 0.4
pdf download 0.5
quicknote 0.6
tabbroser preferences 1.2.8
mouse gestures 1.0
simple options button 1.0
foxitunes 1.1.1
scrapbook 0.18.1

sono andato nella pagina del test likata nell'articolo
ha rilasciato a questa pagina
e ho cliccato su (sia tasto sx che centrale quindi caricamento stessa pagina e in nuova tab)

Microsoft Windows XP (All Service Packs)

e il mio FF non crasha si limita a aprirmi una finestrella in alto a sinistra ma sicuramente non mi lancia la calcolatrice di win. (come mai?)
probabilmente una di queste estenzioni ha lo stesso effetto di no script ma non credo.

come ho gia detto in altri post io non uso antivirus e firewall aspetto altre testimonianze o chiarimenti.
buon lunedi a tutti

[:-D]
alla fine... ogni uomo considera i limiti della propria visione personale come i limiti del mondo...
Avatar utente
Pacopas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6708
Iscritto il: mer ott 05, 2005 12:44 am

Messaggioda Pacopas » lun nov 28, 2005 2:56 am

Sono sempre io
essendo molto curioso (e fidandomi cecamente di zane che riscontra il problema) ho fatto un po di prove su questo crash di FireFox

1a prova
Ho avviato FireFox con un altro profilo quindi cio significa senza estenzioni di sorta.
visito il famigerato link e niente nessun crash, allora riprovo e questa volta... crash. come la mettiamo mi sono detto?
a rigor di logica penso ci deve essere qualche cosa che impedisce allo script di agire ma che faccio con una tale abitudine da non accorgermene.
ed infatti è così.
mi spiego.
aprendo il link con il tasto centrale del mouse quindi forzando l'apertura in un altro tab. lo script non agisce. infatti viene intercettato e bloccato (errore.gif)
probabilmente (ma non ne sono certo) è perché il comando javascript (come si puo vedere dalla sorgente della pagina) è richiamato da questo tag html
Codice: Seleziona tutto
href="#" onclick="javascript:runpoc(4)"
ed evidentemente onclick si intende onleftclick e non oncentralclick
ora però nasce un dubbio perché come avevo scritto nel precedente post
Pacopas ha scritto:e ho cliccato su (sia tasto sx che centrale quindi caricamento stessa pagina e in nuova tab)

il mio profilo è immune anche al click con il tasto sx?
sempre a rigor di logica deve essere una estenzione.
infatti è "tabbroser preferences 1.2.8" che nelle sue opzioni ti permette di settare come vuoi aprire i tipi di popup javascript.

conclusioni
FireFox è immune allo script se la pagina si forza in una nuova tab
quindi o si apre con il tasto centrale del mouse oppure si installa "tabbroser preferences" e si setta in questo modo (tabbros.gif)
apri in schede i seguenti tipi di popup javascript = nessuno (ho notato che va bene anche "non ridimensionati" al posto di nessuno ma gia che ci siamo tantovale...
questa soluzione è meno drastica di quella proposta nell'articolo poichè ti permette di vedere gli altri javascript rispetto all'installazione della estenzione "noscrip" che comunque a mio avviso sarebbe un surplus inquanto si ottiene lo stesso risultato andando in
menu>strumenti>opzioni>proprieta web
e togliendo la spunta a "abilita javascript"

2aProva
la seconda prova l'ho fatta su una distro live di linux
(non so quanto sia attendibile)
stesse osservazioni e risultati della prima.

Ps
domani scarico opera sono curioso di capire perché non ne risente
scusate se me la canto e me la suono da solo ma spero serva a qualcuno per risolvere o attenuare il problema

la mia domanda in fine è
se il javascript è settato diversamente (io non conosco bene il javascript quindi non so se sia possibile) come si fa apparte disabilitare tutto dalle opzioni proprietà web?
staremo a vedere. certo che ormai non bisogna fidarsi più di nulla. tra un poco si tornerà alle pagine puro HTML nè dinamic ne altre diavolerie e che cacchio però... [sedia]
alla fine... ogni uomo considera i limiti della propria visione personale come i limiti del mondo...
Avatar utente
Pacopas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6708
Iscritto il: mer ott 05, 2005 12:44 am

Messaggioda Pacopas » lun nov 28, 2005 3:47 am

ho appena scaricato opera
(domani era troppo lontano) [:-D]
per chi usa opera è evidente il motivo del perché non crascha, apre di default il link direttamente in un nuovo tab.

per gli utenti di opera ma è sempre stato così simile a Firefox? [devil]
scherzo...devo dire che sono rimasto piacevolmente soddisfatto è un ottimo prodotto preconfezionato.
ha due svantaggi evidenti il primo anche avendo buone opzioni di base si ferma li, FF mediante le estenzioni lo pareggia e lo surclassa e poi e meno configurabile almeno ad una prima occhiata. il secondo non è un software libero e da un po di tempo lo noto particolarmente, neanche FF direte voi, si ma aleno è open-source [bleh] .
apparte gli scherzi visto opera ie è statisticamente il più usato solo per la pigrizia degli utenti nel cercare alternative.

ora signori dopo essermi risposto per almeno tre ore da solo (non so se ridere o piangere per questa affermazione) vado a letto fortuna che domani non ho corsi (è colpa di zane comunque per la nottata in bianco [:-D] fa articoli troppo interessanti)
[fischio] [fischio] [fischio] [fischio] [fischio] [fischio]
notte
[|)] [|)] [|)] [|)]
alla fine... ogni uomo considera i limiti della propria visione personale come i limiti del mondo...
Avatar utente
Pacopas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6708
Iscritto il: mer ott 05, 2005 12:44 am


Messaggioda ssjx » lun nov 28, 2005 11:25 am

tu mi provochi così .................. OK eccoti servito [devil]

Pacopas ha scritto:per chi usa opera è evidente il motivo del perché non crascha, apre di default il link direttamente in un nuovo tab.


Bhè quando un browser è er mejo è er mejo e basta [:-D]


Pacopas ha scritto:per gli utenti di opera ma è sempre stato così simile a Firefox? [devil]
scherzo...devo dire che sono rimasto piacevolmente soddisfatto è un ottimo prodotto preconfezionato.
ha due svantaggi evidenti il primo anche avendo buone opzioni di base si ferma li, FF mediante le estenzioni lo pareggia e lo surclassa e poi e meno configurabile almeno ad una prima occhiata. il secondo non è un software libero e da un po di tempo lo noto particolarmente, neanche FF direte voi, si ma aleno è open-source [bleh] .



e qui ci sarebbe molto da dire ..................... innanzitutto (ovvio che scherzavi ma ci tengo a precisarlo per eventuali lettori) è FF ad aver copiato piano piano le varie caratteristiche rivoluzionarie che un tempo SOLO Opera aveva (a partire dal semplice tabbrowsing)

Passando al primo svantaggio poi ti dico fin da subito che sei molto lontano dalla verità ...................... Opera intanto è bene sottolineare che in meno di 4MB ti da MOLTO di più (per dire le cose terra terra basta già dire browser, client email, client chat IRC, Blocco note) di quanto faccia FF in 5MB che invece di base è solo un browser con un ottimo motore di rendering, ma dalle funzionalità ESTREMAMENTE limitate (cavolo anche per far funzionare decentemente il tabbrowsing bisogna far ricorso ad estensioni [:p] ) e senza nessunissima aggiunta
E' vero invece che FF può superare Opera in funzionalità grazie alle estensioni, ma il prezzo da pagare è intanto andare a cercare tutte quelle che ti servono, configurarle a dovere, tenerle aggiornate, e spesso ti ritrovi con molte incompatibilità, errori inspiegabili e un programma instabile ........................ dal canto suo Opera invece a differenza di quel che pensi è ampiamente configurabile, solo che la strada per farlo non è semplice come l'installazione di una estensione, ma devi andare a modificare manualmente i vari file .ini o agire tramite file CSS o comandi javascript (basta pensare all'userjs che promette davvero molto bene) .............. se vuoi farti un'idea di cosa sto dicendo basta andare su NonTroppo e ti ritroverai nel paradiso degli utenti Opera [8D]

Per l'ultimo problema .............. bhè sinceramente non ci tengo a veder diventare Opera un Open Source, meglio che a metterci le mani sopra sia una società che deve trarre un profitto e quindi deve migliorare costantemente e celermente il proprio software
Usavo IE e mi lamentavo... usavo Mozilla e mi lamentavo, decisamente meno ma mi lamentavo, ... poi ho trovato Opera e fu amore a prima vista
Avatar utente
ssjx
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5756
Iscritto il: ven nov 26, 2004 3:37 pm
Località: Barcellona

Messaggioda Pacopas » lun nov 28, 2005 3:13 pm

aspettavo la risposta proprio da te. [:-D]
ovviamente ed è chiaro che il tono della discussione è scherzoso.
quindi grazie per la replica su cui avrei alcune cose da controbattere ma non è il topic giusto.

comunque l'importante che sei daccordo su questo.

internet explorer [:p]

ciao ssjx. alla prossima [:-D] [:-D]
alla fine... ogni uomo considera i limiti della propria visione personale come i limiti del mondo...
Avatar utente
Pacopas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6708
Iscritto il: mer ott 05, 2005 12:44 am

Messaggioda ssjx » lun nov 28, 2005 3:46 pm

Pacopas ha scritto:aspettavo la risposta proprio da te. [:-D]


Fatemi tutto ma non toccatemi Opera [:-D]

Pacopas ha scritto:ovviamente ed è chiaro che il tono della discussione è scherzoso


Ovvio che si [:-D]

Pacopas ha scritto:comunque l'importante che sei daccordo su questo.

internet explorer [:p]


Straquoto [8D]
Usavo IE e mi lamentavo... usavo Mozilla e mi lamentavo, decisamente meno ma mi lamentavo, ... poi ho trovato Opera e fu amore a prima vista
Avatar utente
ssjx
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5756
Iscritto il: ven nov 26, 2004 3:37 pm
Località: Barcellona

Messaggioda Zane » lun nov 28, 2005 10:35 pm

Pacopas ha scritto:il mio FF non crasha si limita a aprirmi una finestrella in alto a sinistra ma sicuramente non mi lancia la calcolatrice di win. (come mai?)

Questo è normale: infattti questa vulnerabilità è sfruttabile per eseguire remote code executin solo in Internet Explorer: Firefox si limita a crashare.

Se devo dirla tutta però non mi sento di escludere che il test preparato da Computer Terrorism possa essere adattato anche per Firefox. Se il browser crasha infatti significa che c'è un accesso invalido alla memoria: e quindi la possibilità di causare un buffer overflow anche in Firefox non è da escludere del tutto, a mio avviso...

Pacopas ha scritto:(e fidandomi cecamente di zane che riscontra il problema)

e questa è sempre cosa buona e giusta, poichè egli tutto sa [:-D]

Pacopas ha scritto:probabilmente (ma non ne sono certo) è perché il comando javascript (come si puo vedere dalla sorgente della pagina) è richiamato da questo tag html

Si, ti confermo che è proprio così: ad aprire la nuova pagina ci pensa appunto il javascript, ma se clicchi con il destro non viene invocato, e quindi non succede niente.

Per amore di chiarezza è bene precisare che la stessa cosa avviene anche in Internet Explorer.

Pacopas ha scritto:oppure si installa "tabbroser preferences" e si setta in questo modo

ah, questo non lo sapevo! hai notato qualche effetto collaterale? il menu di navigazione di MegaLab.it rimane funzionante anche così?

Pacopas ha scritto:che comunque a mio avviso sarebbe un surplus

Hai perfettamente ragione! NoScript in effetti non è indispensabile...

Pacopas ha scritto:se il javascript è settato diversamente (io non conosco bene il javascript quindi non so se sia possibile) come si fa apparte disabilitare tutto dalle opzioni proprietà web?

Non sono sicuro di aver capito: se mi stai chiedendo se sia possibile modificare il test per funzionare anche una volta aperto il link "con il pulsante centrale" (o comunque in una nuova tab/finestra), la risposta è NO, non è possibile.

Pacopas ha scritto:apparte gli scherzi visto opera ie è statisticamente il più usato solo per la pigrizia degli utenti nel cercare alternative.

Questo è indubbio: sto valutando di scrivere un articolo proprio al tal riguardo: per farla breve, il vantaggio di essere preinstallato farà si, secondo le mie valutazioni, che Internet Explorer non possa scendere a meno del 60% di share, forse 55% con un miracolo divino, ma comunque non al di sotto di queste cifre...

Pacopas ha scritto:ora signori dopo essermi risposto per almeno tre ore da solo (non so se ridere o piangere per questa affermazione)

Eheh, sai com'è, non c'è molta gente sul forum verso le 3.00 ;-)

Pacopas ha scritto:è colpa di zane comunque per la nottata in bianco [:-D] fa articoli troppo interessanti)

Ti ringrazio, mi fanno sempre molto piacere queste osservazioni!

ssjx ha scritto:è FF ad aver copiato piano piano le varie caratteristiche rivoluzionarie che un tempo SOLO Opera aveva (a partire dal semplice tabbrowsing)

Sono assolutamente d'accordo!

ssjx ha scritto:per dire le cose terra terra basta già dire browser, client email, client chat IRC, Blocco note

Beh, capisci che c'è molta gente che (come il sottoscritto) questa roba non la vuole! se voglio un browser mi scarico un navigatore, se voglio un mailer mi scarico un programma di posta, non un browser, non sei d'accordo?

Ciao ad entrambi, e grazie 10.000 per la partecipazione e Paco per le prove! yyy
Avatar utente
Zane
MLI Hero
MLI Hero
 
Messaggi: 7935
Iscritto il: lun ago 05, 2002 9:36 am
Località: Ferrara

Messaggioda Pacopas » lun nov 28, 2005 11:50 pm

Zane ha scritto:ah, questo non lo sapevo! hai notato qualche effetto collaterale? il menu di navigazione di MegaLab.it rimane funzionante anche così?

non varia in alcun modo almeno io non ho riscontrato variazioni. dovrei navigare un po' con FF o altri browser per vedere se ci sono differenze.
Ti farò sapere. oppure puoi indicarmi qualche link del sito e io ti dico se si comporta come dovrebbe.

in linea teorica non dovrebbe cambiar nulla perché quella opzione così settata costringe solamente i popup richiamati in javascript ad aprirsi in un modo prestabilito (come fa opera per intenderci) ecco perché così sono entrambi "immuni". (almeno credo)

a questo punto mi chiedo se ci fosse il modo di invertire il settaggio in opera subirebbe anche lui un crash? (non conosco abbastanza opera quindi chiedo a voi)

Zane ha scritto:Non sono sicuro di aver capito: se mi stai chiedendo se sia possibile modificare il test per funzionare anche una volta aperto il link "con il pulsante centrale" (o comunque in una nuova tab/finestra), la risposta è NO, non è possibile.

chiedevo proprio questo

Zane ha scritto:Beh, capisci che c'è molta gente che (come il sottoscritto) questa roba non la vuole! se voglio un browser mi scarico un navigatore, se voglio un mailer mi scarico un programma di posta, non un browser, non sei d'accordo?

[8D]
e poi aggiungerei (ma è una mia filosofia personale)
che se una cosa funziona io voglio sapere il perché, se una cosa non funziona io voglio sapere il perché.
se avessi usato opera che mi impone delle scelte di default (se cosi si puo dire) non avrei mai capito in cosa consisteva il problema è come potevo risolverlo/attenuarlo.
ho lasciato ie per questo non sapevo quasi mai perché si bloccava ora lo so leggete la mia firma [:-D]

Zane ha scritto:Ciao ad entrambi, e grazie 10.000 per la partecipazione e Paco per le prove! yyy


grazie a voi di MegaLab [applauso]
alla fine... ogni uomo considera i limiti della propria visione personale come i limiti del mondo...
Avatar utente
Pacopas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6708
Iscritto il: mer ott 05, 2005 12:44 am

Messaggioda ssjx » mar nov 29, 2005 11:14 am

Zane ha scritto:Questo è indubbio: sto valutando di scrivere un articolo proprio al tal riguardo: per farla breve, il vantaggio di essere preinstallato farà si, secondo le mie valutazioni, che Internet Explorer non possa scendere a meno del 60% di share, forse 55% con un miracolo divino, ma comunque non al di sotto di queste cifre...


Io farei al massimo il 65% .................. ricorda che la maggior parte degli utenti non solo è pigra, ma nemmeno è documentata sull'argomento e nemmeno conosce prodotti come FF e Opera (guarda giusto per farti capire non solo nella mia famiglia (e magari lo potrei capire visto che nessuno si interessa di informatica) IE non si tocca, ma anche parlando con svariati "informatici" nessuno usa prodotti diversi da IE)

Zane ha scritto:
ssjx ha scritto:per dire le cose terra terra basta già dire browser, client email, client chat IRC, Blocco note

Beh, capisci che c'è molta gente che (come il sottoscritto) questa roba non la vuole! se voglio un browser mi scarico un navigatore, se voglio un mailer mi scarico un programma di posta, non un browser, non sei d'accordo?


In linea generale potrei anche essere daccordo, ma non nel caso specifico ..................... il motivo è che a differenza di qualsiasi altro programma Opera ha una gran bella particolarità: se a te serve solo il browser puoi usare solo quello ed M2 (il client di posta, IRC e chat) non viene assolutamente caricato in memoria ed in pratica è come se non ci fosse a meno che non sia tu ad attivarlo ................ però pensi "si ma alla fin fine è sempre lì installato ed ocupa spazio (neanche 1MB) su disco" .......... perfetto vai nella cartella di installazione di Opera ed elimina la DLL di M2 e avrai risolto anche questo problema senza nessunissima controindicazione, e semplicemente perché M2 non è altro che 1 sola dll niente fiile sparsi in giro per il sistema o voci di registro ecc .............. insomma + semplice di così si muore
Quindi scusa Boss ma questa è una motivazione davvero poco valida in questo caso [fischio]


Poi aggiungo che io sono invece non proprio per le suite integrate ma quasi .................. ovvero Mozilla Suite effettivamente era piuttosto scomodo da maneggiare e con FF e TB hanno fatto un ottimo lavoro (anche se li ritengo, specie FF, ancora molto immaturi), ma a mio avviso avrebbero dovuto inserire la possibilità che i 2 software si vedessero ed interagissero se l'utente lo voleva (ad es usando FF si dovrebbe avere la possibilità di essere notificati di nuova posta senza lanciare TB e lasciarlo in esecuzione pappandosi risorse preziose), mentre ora come ora i 2 mondi non si parlano .................. se integreranno un giorno questa feature credo che guadagnerebbero molti punti
Usavo IE e mi lamentavo... usavo Mozilla e mi lamentavo, decisamente meno ma mi lamentavo, ... poi ho trovato Opera e fu amore a prima vista
Avatar utente
ssjx
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5756
Iscritto il: ven nov 26, 2004 3:37 pm
Località: Barcellona

Messaggioda ba_61 » mar nov 29, 2005 7:35 pm

Pacopas ha scritto:non varia in alcun modo almeno io non ho riscontrato variazioni.
Premetto che tutta la Vs. discussione per me è arabo.

A me succede che cliccando sul link dell'articolo in questione (computerterrorism e All service...), IE si chiude lasciando il messaggio di errore: <L'applicazione...verrà chiusa...la memoria non poteva essere read>.

Dopo di che devo riaprire, nel mio caso, Google (non cade la connessione, sparisce la pagina).

[nota] Indicazione utile o meno, ripeto che l'aramaico lo capisco meglio [sbigot]
Avatar utente
ba_61
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6290
Iscritto il: lun gen 10, 2005 11:36 pm

Messaggioda Pacopas » mar nov 29, 2005 8:16 pm

la discussione verteva più che altro sulla non vulnerabilità o meno degli altri browser. comunque

ba_61 so che tu applichi svariate modifiche a windows mica gli hai cancellato la calcolatrice?

perché il link incriminato doveva dimostrare che ie permette di eseguire codice da remoto e come esempio lanciava la calcolatrice
alla fine... ogni uomo considera i limiti della propria visione personale come i limiti del mondo...
Avatar utente
Pacopas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6708
Iscritto il: mer ott 05, 2005 12:44 am

Messaggioda ba_61 » mar nov 29, 2005 9:03 pm

ba_61 so che tu applichi svariate modifiche a windows mica gli hai cancellato la calcolatrice?
No, è praticamente fresco di formattazione e mi sono dimenticato di dire [:I] , appunto, che sparisce la pagine e rimane sul desktop la calcolatrice che chiudo; poi riapro cliccando sull'icona di explorer.

[nota] Problemi postumi a questo, non ne ho notati (niente rallentamenti nella navigazione o quant'altro).
Avatar utente
ba_61
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6290
Iscritto il: lun gen 10, 2005 11:36 pm

Messaggioda Pacopas » mar nov 29, 2005 9:54 pm

quello che il test vuole dimostrare è proprio che si può eseguire codice da remoto.
il che vuol dire che se settato adeguatamente si puo agire in modi malevoli sul tuo pc mediante explorer. la calcolatrice è un esempio che computerterrorism lascia per dimostrare la validità di quel che dice. non ci sono altre controindicazioni come rallentamenti o cose del genere perché è solo un test.
Come dire: vedete che si può fare?

il problema che se fosse stato un virus ad essere lanciato avrebbe potuto far danni. IE è vulnerabile.

adesso hai una dimostrazione, se sono riuscito a spiegarmi bene, della non sicurezza del browser che usi. come dico nella firma IE, essendo programmato con i piedi, è esplorato da internet.
alla fine... ogni uomo considera i limiti della propria visione personale come i limiti del mondo...
Avatar utente
Pacopas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6708
Iscritto il: mer ott 05, 2005 12:44 am


Torna a Benvenuto in MegaLab.it

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising