Ricordi bene, qualche tempo fa, ragionando sul sistema di permessi del mio sistema operativo distribuito, mi ero posto la questione della responsabilità legale in una situazione come questa: http://server-nexa.polito.it/pipermail/nexa/2018-January/012883.html

Come puoi immaginare, un sistema operativo progettato per tener conto di questi problemi ha molto più margine di manovra di un browser progettato per navigare ipertesti (perché non bisogna dimenticare che HTTP e HTML questo sono!).

Lo scenario è facilmente realizzabile: diversi DDoS avvenuti negli anni e più recentemente siti che sfruttano le risorse del browser per il mining di bitcoin, illegale in Cina, sono alcuni esempi.

Come spiegavo a Dan, comunque, solo l'attacco che mette contenuti illeciti/diffamatori nella cache del browser può essere fatto senza l'uso di JavaScript ma lascerebbe altre tracce e/o potrebbe essere notato.

E questo comunque indica solamente che ci sono altre vulnerabilità nei browser, non che JavaScript sia sicuro.

Moltri altri attacchi sono invece fattibili solo con JavaScript.

Un tempo, l'uso di JavaScript era opzionale e tutti gli sviluppatori (me compreso) testavano i siti web anche con JavaScript abilitato.

Ora disabilitare JavaScript è fuori dalla portata della maggioranza delle persone: in Firefox, ad esempio, non c'è nemmeno una UI dedicata, bisogna editare la configurazione del browser in about:config.

Potremmo chiamarla "Insecurity through obscurity!". Ed è inquietante che Firefox sia universalmente considerato un browser attento alla sicurezza degli utenti!

Giacomo

Il giorno 27 agosto 2018 17:09, Enrico Nardelli <nardelli@mat.uniroma2.it> ha scritto:

Molto interessante, Giacomo, la tua analisi tecnica di questo tipo di attacchi.

Al di là della loro fattibilità e del fatto che siano possibili anche senza JavaScript, mi pare però che la tua questione di fondo sia la seguente:

SCENARIO: il browser di un utente esegue codice che commette azioni illegali e che è stato scritto da un autore che non risponde alla legislazione italiana+europea.

QUESTIONE: di chi è la responsabilità se il codice non lascia tracce sul dispositivo dell'utente che permettono di connettere le azioni illegali all'autore?

Se ricoro bene ne avevi già parlato un po' di tempo fa qui in lista ma non mi pare fosse stata fornita da chi è esperto in tematiche giuridiche una risposta esauriente (nel caso mi scuso in anticipo).

Mi sbaglio?

Ciao, Enrico

PS
Ritengo che, qualora lo SCENARIO sia effettivamente realizzabile e la risposta alla QUESTIONE sia <<l'utente>>, il tema della #deviceneutrality di Quinta diventa (se non lo fosse già di per sé) ancora più importante.

Il 27/08/2018 16:19, Giacomo Tesio ha scritto:
Ciao, vi propongo questo interessantissimo scambio con uno sviluppatore di Mozilla (Firefox) sugli attacchi JavaScript descritti in precedenza.

https://wandering.shop/@callahad/100612466895332298

https://pleroma.soykaf.com/notice/15408888

(scusate devo usare due URL perché mastodon e pleroma non sono molto bravi a rappresentare scambi complessi...)

Particolarmente interessante questo passaggio:

What you're seeing as a vulnerability, we see as an inextricable consequence of the Web working as intended and as designed.

Notate: non si tratta di una singola vulnerabilità, ma una intera classe di attacchi (arbitrary code executions, per essere precisi), il cui limite è letteralmente la fantasia dell'attaccante... e per Mozilla è tutto ok.

Nemmeno il rischio che la possibilità di tali attacchi (che non lasciano tracce sul pc della vittima) possa essere usata da criminali per negare di aver violato la legge nascondendo le prove nella cache del browser, sembra interressare.

Personalmente, sono stupefatto.

Giacomo

Il giorno 2 agosto 2018 01:24, Giacomo Tesio <giacomo@tesio.it> ha scritto:

Salve, vi propongo questa breve analisi storico politica di due gravi vulnerabilità tecniche "nascoste in piena vista" nel Web 2.0.

https://medium.com/@giacomo_59737/the-web-is-still-a-darpa-weapon-31e3c3b032b8

La più interessante permette a chiunque controlli una CDN (ad esempio Google CDN o Amazon CloudFront) e sia in grado di profilare gli utenti con adeguata precisione, di introdurre surrettiziamente materiale illegale sul PC (nella cache del browser, per la precisione) di persone specifiche o piccoli gruppi, senza lasciare tracce e senza destare sospetti nel resto della popolazione.

L'attacco in realtà è piuttosto semplice ed è disponibile anche a governi e persino piccole aziende purché dispongano di informazioni sufficienti per identificare gli obbiettivi durante la loro visita al sito. Una CDN, tuttavia, ha la possibilità di far veicolare l'attacco a siti di terzi (di cui le vittime si fidano), ha una maggiore probabilità di passare inosservata ed è semplicemente meno sospetta, garantendosi una perfetta "plausible deniability".

Il trucco è semplicemente modificare uno dei javascript inviati al browser delle vittime (senza modificarne la dimensione, cosa piuttosto semplice vista la presenza di header di copyright etc nei JS minimizzati dei framework maggiormente utilizzati) servendoli con header HTTP Expire e Cache control appropriati. Tale JS scarica il contenuto illegale solo nella cache (ad esempio attraverso una immagine trasparente molto piccola aggiunta dallo script stesso al DOM), poi rimuove le tracce e riscarica se stesso dalla CDN nella versione pulita, sovrascrivendo il file in cache.

Una analisi forense del disco del pc troverebbe facilmente il contenuto illegale nella cache dell'utente (immaginiamo un documento rubato.. o peggio), ma nessuna traccia dell'attacco, attribuendo il documento alla vittima ignara.

In realtà l'attacco non è descritto in questo dettaglio nell'articolo perché è piuttosto ovvio, ma credo possa essere di maggiore interesse qui per comprendere la portata politica del problema.

L'altra vulnerabilità è piuttosto di natura geopolitica, ma credo sia ben nota in questa mailing list.

Spero possa essere una lettura interessante e vi prego di segnalarmi eventuali approfondimenti ed errori tecnici, storici (molti degli eventi citati sono avvenuti prima che io nascessi) o grammaticali... :-)

A presto!

Giacomo
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- EN

=====================================================================
Prof. Enrico Nardelli
Dipartimento di Matematica - Universita' di Roma "Tor Vergata"
Via della Ricerca Scientifica snc - 00133 Roma
tel: +39 06 7259.4204    fax: +39 06 7259.4699
mobile: +39 335 590.2331     e-mail: nardelli@mat.uniroma2.it
home page: http://www.mat.uniroma2.it/~nardelli
blog: http://www.ilfattoquotidiano.it/blog/enardelli/
      http://link-and-think.blogspot.it/
=====================================================================
-- 
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa