Ciao Giacomo, so di sfondare un portone aperto con te, quindi quello che ci diciamo tra noi praticamente vale come uno sfogo tra due brontoloni di mezza età considerati competenti ma un po' troppo paranoici da molti, persino da coloro cui vogliamo bene :-O Giacomo Tesio <giacomo@tesio.it> writes:
Lo fa anche il governo Russo. E sì permette anche di mappare una rete interna.
Oh certo, lo davo per scontato. Rimane il mio terrificante dubbio: è possibile usare il browser _anche_ per attivare un reverse tunnell via websocket via Javascript per farci passare traffico TCP (o UDP) arbitrario?!? Di solito do per scontato che tutte le macchine sulla mia rete locale (le appliances "smart" sono _disconnesse_ dalla rete qui) siano fidate e per questo alcuni servizi interni sono meno blindati del solito: non vorrei essere costretto a considerare **ostile** la mia rete locale per il solo fatto che c'è una macchina con un browser :-O
Si tratta di un attacco che ho ideato 2 anni fa, come esempio di una vasta classe di attacchi possibili su un browser, visto che mi si chiedeva un Proof-of-concept. O meglio, qui si fanno le cose complicate: basta cercare di caricare una GIF e misurare il tempo in cui ricevi l'errore.
La segnalazione a Mozilla (e successivamente a Chrome) è qui:
Aggià, quando ho scritto il messaggio dimenticavo di "riaprire una vecchia ferita": confesso di non aver letto tutto tutto dei vari thread annessi e connessi, ma ho letto molto :-) Per dirtela tutta l'ultimo dei miei problemi è che in qualche modo un "sito esterno" riesca a *infiltrare* contenuti illegali o meno nella cache del mio browser: so come difendermi da questa specie di attacchi puerili (e aiutare chi ha la sfortuna di conoscermi personalmente a difendersi, se lo capisce). Quando navigo "il web" e più del 60% (a spanne) di quello che visito non funziona senza Javascript dico la verità: mi arrendo e lo abilito, affidandomi a qualche buona pratica e a uBlockOrigin (e qualche volta LibreJS)... provo di tanto in tanto a usare NoScript ma l'esperienza di navigazione è terribile. E in questa casa non sono l'unico a usare il browser; neanche in ufficio :-S ...però, però, però più passa il tempo più mi rendo conto di quanto sia disperata la situazione della sicurezza del **mio** browser, anche se il **mio** browser di default è ungoogled-chromium installato via Guix (in poche parole un binario ultra affidabile) La morale della favola è che per tenere al sicuro la mia rete locale dal mio browser dovrei usare una virtual machine (o un container) con tanto di rete dedicata... che menata! [...]
Successivamente, uno dei miei tanti detrattori inziali si accorse che ci si poteva appunto mappare l'intera rete
Me lo ero perso: interessante
Ma in realtà, in un mondo di IoT con telecamere accessibili via HTTP, ci si può fare molto di più! ;-)
Tipo "Lasciate ogni speranza oh voi ch'entrate" (...o uscite?!?) [...]
DUE anni dopo questi attacchi sono ancora possibili. D'altronde, come mi risposero da Mozilla nella issue,
"this is the Web functioning as designed"
E purtroppo hanno anche la faccia tosta di avere ragione: grazie a Javascript il web oggi è progettato da far schifo, e con Webassembly le cose peggioreranno a livelli tali che - almeno mi auguro - crollerà tutto. La cosa è talmente drammatica che per chi distribuisce browser (il cui sviluppo è finanziato da chi? in che modo?) significherebbe buttare nel cestino gli ultimi 10 anni di penosi sviluppi e tornare a XHTML e un ecosistema di **trasmissione ipertesto** sano. Chi ha pensato di **abusare** del browser per trasformare il web in un sistema computazionale distribuito ha fatto proprio una boiata intergalattica. Punto. Chiudo con le parole di "spycrowsotf" nel thread Lobste.rs che hai salvato: http://www.tesio.it/documents/Mozilla-Bug1487081-Attachments/Undetectable_Re... --8<---------------cut here---------------start------------->8--- [...] If you want to run something, run it on your servers and get off my laptop, phone, tv or even production-machines. Those are mine and if your website can’t handle it, then your website is simply terrible from a user experience viewpoint, dreadfully inefficient and doomed to come back hunting you when you are already in a bind because of an entirely different customer or issue. As a consequence of this way of thinking, a few web-driven systems I wrote more than a decade ago, are still live and going strong without a single security incident and without any performance issues while at the same time reaping the benefits of the better hardware they’ve been migrated to over the years. Therefore it is still my firm belief that a browser is primarily a tool to display content from random URLs I throw at it and not an application platform which executes code from the URLs thrown at it. --8<---------------cut here---------------end--------------->8--- [...] La cosa che mi rattrista molto è che ormai da più di 10 anni molte persone molto in gamba hanno capito perfettamente come (ri)costruire un ecosistema di comunicazione sano ma sono costretti a farlo coi fichi secchi perché le risorse sono interamente risucchiate da chi ci sguazza alla grande in questa tristissima situazione. Saluti. Giovanni. -- Giovanni Biscuolo