A Ovest Di Paperino

@Edward:

Si è tutto molto bello, ma visto che Snyder pensa tanto alla sicurezza, perchè non prende contatti ocn la MS e chiede come far girare FF in low integrity mode? Suppongo che sia possibile farlo per qualsiasi software.

@FDG: anche la prima beta di ff aveva il memory leak...

Quindi Snyder invita Microsoft e Apple a rilasciare i sorgenti dei propri browser affinche' il vaglio esterno permetta di elevare la loro sicurezza di base.

Non mi pare proprio, e se così fosse lo avrebbe detto chiaro e tondo.

Il discorso precedente è, visto che siamo opensource e volontari controllano continuamente il codice il nostro browser è considerato dagli esperti come il più sicuro.

L'affermazione è che sono i più sicuri, non che l'opensource è intrinsecamente più sicuro (e sappiamo già che l'ugualianza + volantari = + sicurezza non vale un fico secco), e la frase che ne segue si basa appunto sull'idea che FF è il più sicuro e che gli altri devono solo inseguire.

Le API per far girare un processo in low integrity sono pubbliche, quindi se vuole, Mozilla e qualunque altro software può implementare la modalità protetta. La stessa Microsoft, ai tempi della beta2 di Vista, aveva invitato gli sviluppatori di Firefox per suggerirgli di realizzare la modalità protetta, ma Mozilla ha rifiutato l'aiuto dicendo che non era nella loro roadmap

Squadriglie di fanboy all'opera oggi eh?

E diversi campioni nazionali di arrampicata sugli specchi!

@ Scrooge: ok, ma gli altri devono inseguire cosa? Firefox in se come browser o il modello di sviluppo/controllo adottato dagli sviluppatori (opensource)? Questa e' l'ambiguita' nell'interpretazione.

@ suc: puoi linkarmi la fonte? Sul sito di Mozilla c'e' scritto che l'implementazione della modalita' protetta presumibilmente avverra' con Firefox 4 [1].

@ EnricoG: se sembro un fanboy, mi scuso perche' non credo di esserlo. Il mio commento e' sull'interpretazione di "follow her lead", non sulla promozione di Firefox come browser di eccellenza o frasi simili: ha bug (per es., FF 3 Beta 3 aveva problemi di rendering con Flicker, risolti nelle beta successive), ha difetti e non condivido alcune scelte di Mozilla Corporation nello sviluppo del suo browser; la battuta finale sui browser per OSX e', appunto, una battuta: sono presenti parecchi browser che esistono su Windows (mancano IE e i derivati che usano il suo motore di rendering, forse anche alcuni a bassa diffusione che non conosco), la scelta finale dipende dalle proprie preferenze e dalle necessita'.

Uso XP, ho installato IE 6, Firefox 3 e Opera 9.5: IE mi serve solo per alcuni siti compatibili al 100% solo con IE (es. banca). Uso quotidianamente Firefox e Opera: del primo apprezzo le estensioni (in particolare NoScript: il blocco degli script in Opera non e' flessibile come NS), del secondo la leggerezza.

elf

[1] wiki.mozilla.org/.../Protected_mode

Mi preciso quando detto a proposito di IE8. L'occupazione normalmente è minore di quanto ho detto... ora paragonabile a quella di Firefox

Per il papero, visto che a lui queste cose piacciono tanto:

www.roccosicilia.it/.../blog

Argh!

Più sotto trovi un mio suggerimento su come risolvere temporaneamente il problema. Per comodità riscrivo qui:

Un modo per risolvere temporaneamente il problema è disabilitare la voce “Gestione Remota” dal pannello di controllo “Condivisione” e poi da shell eseguire il comando:

sudo chmod go-x /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent

Sulla questione dell'open source e della sicurezza abbiamo dibattuto a lungo. Io concordo sul fatto che open source non vuol dire necessariamente sicuro. Vuol dire semmai che le problematiche di sicurezza possono essere risolte con la collaborazione di altri. Se io ho i sorgenti del codice e me li tengo, nessuno, tranne me stesso, può guardare nel codice a caccia di errori. Questo vuol dire che gli altri si devono fidare del mio lavoro. A volte questo funziona. Altre volte no. Comunque, eventuali problemi problemi nel codice godono della copertura della segretezza dello stesso fino a quando qualcuno non riesce a scoprirne gli spiacevoli effetti negativi. D'altro canto, sei io decido di affidarmi a del codice open, ho la possibilità, se ne ho i mezzi, di valutare l'affidabilità del codice e indirettamente contribuire alla qualità dello stesso. Secondo me una più corretta interpretazione del concetto dei più occhi che guardano il codice è questa. Poi, c'è sempre la possibilità che nessuno guardi questo codice perché a nessuno interessa farlo o che chi lo guarda e fa la correzione è un incapace. Ma questo è un invariante del software. Mi pare però che ci siano maggiori possibilità di far scoppiare il caso quando altri possono vedere chi cavolo combina cosa.

@FDG

la tua disquisizione e' molto discutibile, la ricerca dei bachi avviene in diversi modi, uno ad esempio e' quello del testing di tipo black-boxing nel quale il tester non guarda i dettagli implementativi, anche perche' spesso sono del tutto trascurabili e non apportano alcuna informazione utile per decidere che tipo di test vada effettuato.

Quello che conta per garantire la qualita' del software e' in primis un preciso e rigoroso "processo" di code review e testing e nel mondo open chiaramente abbiamo avuto esempi di come questo non avvenga sempre ma sia laciato un po' al caso.

@EnricoG

Quei metodi non dicono nulla della licenza del software. Io infatti non dico che si applicano ad un caso si e all'altro no. Dico solo che col codice disponibile se non mi fido di chi mi da il software posso affidarmi alle mie risorse. La differenza tra l'uno e l'altro caso è l'apertura del processo di verifica, che in un caso è trasparente, nell'altro no. E questa è una cosa su cui mi pare difficilmente si possa obiettare.

IO a questo punto ho pochi dubbi.

Quando nel 1997 Gates aiutò Jobs a rientrare in Apple ed investi 150 milioni di dollari (all epoca L intera APple valeva 12 dollari) dando poi

Internet explorer , Java, Office e l abaradan................

Ha anche poi donato il team (una parte del team) per creare Safari??

per me il caso è chiuso

gran parte di APple è di proprietà Microsoft senza potere di firma.

come si spiegherebbe altrimenti

supporto per live mesh

silverlight

bootcamp

Office

Exchange su Ifogne (da pazzi)

mancata risposta al Adv. espolovo di APple

Ci sono troppe cose che non mi quadrano

e dulcis in fundo

anche se qualcuno dice che Microsoft ha venduto le azioni APple io vi dico che setacciando il web peggio di un spieder di google non sono riuscito a trovare uno stralcio di prove reali che concretamente confermano nero su bianco che Microsoft avrebbe venduto queste azioni.

Aggiungo

Microsoft compra e non vende.

@Paperino

Non c'è niente di casuale

Io volevo proprio sottolineare questo

Penso che le EoP locali siano peccati veniali quando sono molto complesse da realizzare: ma in questo caso di peccato mortale si tratta

Si, setuid + do shell nel dizionario AppleScript dell'applicazione, sono una vera e propria strunz...

Attento, ora anche tu sei a rischio... o hai venduto il Mac?

IE su OSX è stato interrotto quando in Apple hanno assunto una buona parte del team IE4Mac per creare Safari

Aah... ecco da dove vengono tutti i problemi! Anche Vasna Wilson ha lavorato a lungo con voi, giusto?

Comunque, scherzi a parte, perché non riportare IE su OS X?

@ Paperino: contare le vulnerabilita' e le patch rilasciate serve solo a riconoscere la velocita' nel correggere le falle, nulla di piu'. E, in questo caso, il campione e' Opera [1], mentre sia Firefox [2] che IE [3] hanno piu' bug in sospeso.

Il parametro ideale sarebbe contare il numero di pc compromessi a causa del baco X presente nel programma Y (e, quindi, riconoscere anche la gravita' del bug e la possibilita' di / abilita' nel sfruttarlo), ma non e' facile e talvolta nemmeno possibile rintracciare con esattezza la causa ne' stimare il numero di pc coinvolti: ergo la domanda resta aperta.

La risposta di Schroeptfer e' tecnicamente ineccepibile (il PM non protegge da tutte le vulnerabilita' e, se non e' possibile evitare un bug curando la programmazione, patcharlo e' la soluzione immediatamente migliore) ma mi lascia deluso: il PM e' meglio di niente e la risposta non spiega perche' non sia stato possibile implementarlo (scelta tecnica o politica?). L'unica supposizione con un motivo tecnico e' la roadmap di Grand Paradiso: la roadmap del marzo 2005 [4], quando Vista non era ancora definitivo e si parlava di Longhorn, prevedeva lo sviluppo di FF3 per il 2006 e l'uscita nell'autunno di quell'anno; nell'aprile 2006 e' stata cambiata per riflettere i rallentamenti nello sviluppo e il lancio ufficiale e' stato posticipato alla primavera 2007 [5] salvo cambiare ancora a novembre 2007 e rimandare FF3 al novembre 2007 [6]. La prima alpha e' stata effettivamente rilasciata nel dicembre 2006 [7], due mesi dopo il lancio ufficiale di Vista Enterprise (per le versioni consumer si dovette attendere gennaio 2007), ed e' possibile che le scelte architetturali fossero gia' state decise e confermate.

Edward

[1] secunia.com/.../10615

[2] secunia.com/.../12434 : riporto le vulnerabilita' della 2.0.0.* perche' la 3.0 e' appena stata presentata.

[3] secunia.com/.../12366

[4] wiki.mozilla.org/.../index.php

[5] wiki.mozilla.org/.../index.php

[6] wiki.mozilla.org/.../index.php

[7] archive.mozilla.org/.../alpha1

@ Paperino: condordo con te benche' non l'abbia scrito esplicitamente (fra le righe si: curare la progettazione per evitare i bug e' meglio di patcharli). La risposta e' deludente proprio perche' non spiega la mancata adozione del Protect Mode: sarebbe bastato un "Il PM ha fatto la comparsa con la beta 1 di Vista quando era troppo tardi per includerne il supporto in Gran Paradiso."

Nota: la roadmap e' stata cambiata a novembre 2006, non 2007.

Edward

ok ok lo so che non c'entra ma devo dirlo:

FIREFOX 3 è meravigliosooo! E' almeno 2 generazioni avanti a IE7...poi se abbia delle falle di sicurezza sinceramente me ne infischio (anche perchè, come anche MS, sono abbastanza solerti a patcharle)

@ Paperino: il giorno successivo Mike Beltzner ha risposto a Sam Ramji per accettare l'invito [1]. Forse Sam puo' dire qualcosa di piu' dei comunicati stampa, es. elencare le modifiche attuate per rendere Firefox maggiormente compatibile con Vista e, forse, motivare il mancato supporto al PM.

Edward

[1] news.zdnet.com/.../2100-9588-61094

@ kersal: ti ha morso una tarantola? Dovresti calmarti un po'

Edward

@FDG

avere decine di milioni di righe di sorgente di un OS ti da qualche sicurezza in piu'?

Se la tua voleva essere una battuta ti e' riuscita molto bene, se eri serio... beh ti manca un po' il contatto con la realta'

L'esempio piu' evidente e' stato il famoso baco di Debian sull'SSL.

Come dici sempre tu sulle falle di Vista:

"On the other hand, since this exploit seems to require physical access to the machine to be rooted, you might have some other security concerns to deal with at that point, like keeping the intruder from raiding your fridge on his way out. "

cioè accesso fisico richiesto.

Non che io tifi per Mac, però bisogna dire le cose come stanno.

E soprattutto in un post sulle vulnerabilità di Firefox, mettere un link ad una vulnerabilità di Macosx mi sembra un tantino da "furbetto", tipo Vespa che chiama a Porta a Porta tutti gli esperti di terrorismo e poi chiama la giornalista palestinese di La7 come se lei fosse una terrorista, in quanto palestinese. (e non voglio spostare il discorso sulla politica, ti giuro era il primo esempio che mi veniva in mente...veramente)

OT: per il portatile niente da fare, ti ringrazio ma ho trovato un'offerta allettantissima, speriamo solo non sia una fregatura!

@Jack,

non serve affatto accesso fisico, e' una local privilege escalation, basta includerla in un software apparentemente innocuo e il gioco e' fatto.

Dimmi un buon motivo per farlo

Non per Apple, ma per Microsoft. Legare IE solo a Windows? Quindi Windows è la piattaforma. Ma quando si parla di web il browser è la piattaforma. Quindi, avere un browser che può essere portato ovunque è come avere un sistema che può essere adattato a diversi hardware.

Apple non è un partner con cui convenga avere molto a che fare. Lo switch a X86 tenuto nascosto così a lungo ha sorpreso persino quelli di MacOffice

Però Office Mac continua ad essere sviluppato.

@EnricoG

Mah, quello che ti ho detto è chiaro. Se non l'hai capito rileggilo. Poi, se vorrai entrare nel merito, non disdegnerò la discussione. Ma figurarsi se lo farai.

@Jack

Basta anche un accesso ssh.

Comunque, basta modificare i permessi d'esecuzione come ho suggerito.

Hanno aggiornato Safari per Windows. La 3.1.2 chiede conferma dei download.

support.apple.com/.../HT2092

Ok, qualcuno mi fa notare che con i download incontrollati si può usare un altro software per fare danni. Aggiungo un controllo per controllare i download e poi qualcun altro mi fa notare che c'è un altro modo per ottenere lo stesso risultato. Quindi la mia patch è sbagliata? Forse incompleta, ma bisognerebbe mettere nella giusta sequenza temporale gli eventi per potersi permettere di dire qualcosa.

Il posto originale è interessante. A proposito di "ecosistemi" e di come gli attacchi si stiano spostando sulla combinazione di strumenti diversi e degli effetti del loro comportamento, mi chiedo perché Apple non ha rilasciato la stessa patch su OS X sostenendo che nel loro sistema questo non è un problema. Magari è una considerazione fondata (penso al meccanismo delle quarantene). Oppure, paranoicamente, non c'è la comunque la certezza di aver previsto tutto.

p.s.: comunque, nel post non si capisce se il problema negli altri modi per usare FF per l'attacco c'entri ancora Safari o no.

Paperino... con tutto il rispetto: citare qui una vulnerabilità di Firefox 3 mi fa venire in menti il famoso detto "il bue che da del cornuto all'asino". :inn:

L'impegno :rolleyes: che Microsoft ha dedicato al proprio browser negli ultimi anni è sotto l'occhio di tutti.

Certo, IE7 su Vista è stato un bel passo avanti ma, come dimostrano i recenti annunci, la strada del IETeam è ancora lunga.

@RNiK:

Scusami un attimo, se gli utenti non aggiornano il software, la colpa è di MS? Se tu balordo non aggiorni IE alla versione 7 e ti tieni la 6, mi pare che la cosa non dipenda da me che lo distribuisco. Sbaglio?