Ciao Giacomo, Giacomo Tesio <giacomo@tesio.it> writes:
On 08/06/2020, Giovanni Biscuolo <giovanni@biscuolo.net> wrote:
Mi rimane il mio dubbio terrificante:
Siamo sicuri che una tecnica analoga non possa essere usata anche per **esporre** un'intera rete locale attraverso un reverse tunnell "in browser" sfruttando questa tecnica: https://github.com/MDSLab/wstun?!?
Risponderti è più complesso di quanto non sembri.
I WebSocket non sono semplici socket TCP/UDP: anche dopo l'handshake con il servizio la comunicazione avviene attraverso uno scambio di messaggi composti da uno o più frame dal formato prestabilito https://tools.ietf.org/html/rfc6455#section-5
Dunque IN TEORIA non puoi usare un WebSocket per accedere ad un comune servizio telnet, primo perché non risponderebbe all'handshake, poi perché non rispetterebbe il protocollo.
OK grazie mille di aver parzialmente colmato questa mia ignoranza (parzialmente perché non ho ancora stidiato websocket): non hai idea di quanto mi faccia stare tranquillo questa cosa :-) [...]
Dunque IN TEORIA, se usano WebSocket per accedere a servizi non WebSocket, i membri del WHATWG possono dire che la responsabilità è tua che non hai impedito a tuo figlio di installare il videogioco infetto dal malware.
E hanno ragione, è per questo che io - SCIENTIFICAMENTE - do per scontato che qualsiasi macchina che non adotta software libero **full stack** (possibilmente dal bootloader in su) è potenzialmente infetta e va trattata di conseguanza; diciamo che fino ad oggi me la sono cavata adottando sistemi operativi liberi (purtroppo non basta, ma è quello che posso fare oggi) *e* CONFINANDO ogni altra schifezza in una rete ALTAMENTE militarizzata. :-D
Ed IN TEORIA, la pratica corrisponde alla teoria. Ma in pratica non è così.
La realtà è questa (prendo solo i primi link che ho sottomano):
https://www.zdnet.com/article/google-reveals-chrome-zero-day-under-active-at...
https://www.cisecurity.org/advisory/critical-patches-issued-for-microsoft-pr...
https://www.theregister.com/2020/06/04/firefox_77_security_fixes/
Mamma mia, ogni volta che ricevo nella mia inbox la notifica di aggiornamenti di sicurezza dei broswer mi rovinano la giornata :-S
Qui si enunciano convenientemente i gloriosi fix... ma fino al fix?
... Fox?!?
Esatto, per parafrasare le tue parole: per tenere al sicuro la tua rete locale dal tuo browser DEVI usare una macchina dedicata con tanto di rete dedicata...
Grazie per gli ulteriori puntatori, li conserverò per le lunghe sere invernali quando racconterò ai miei nipoti quanto era triste il mondo in cui vivevamo, nel quale per consultare pagine web senza rischiare di essere oggetto di attacchi informatici era necessario indossare un analogo virtuale delle tute contro il rischio biochimico.
... o disabilitare JavaScript. ;-)
Mi piacerebbe ma ci sono un sacco di servizi a me indispensabili a cui posso accedere solo se JS è abilitato: vorrei contattare a uno a uno ogni songolo sviluppatore di quei servizi per *intimarli* a smetterla di usare JS mettendo a rischio la mia sicurezza, ma faccio prima a mettere in pista un sistema per "confinare" tutti i miei browser in un container innoquo :-) [1] Ciao, Giovanni [1] https://guix.gnu.org/manual/en/html_node/Invoking-guix-environment.html («Another typical use case for containers is to run security-sensitive applications such as a web browser.») -- Giovanni Biscuolo