Il giorno 13 settembre 2018 17:12, Alberto Cammozzo <ac+nexa@zeromx.net> ha scritto:
Osservazione a margine: la lista Nexa sta diventando sempre più tecnica!
Io direi piuttosto che questa lista crea un dialogo costruttivo fra persone con competenze tecniche diverse: diritto, informatica, economia, sociologia... Da dialoghi come questi, secondo me, dovrebbero emergere le sintesi Politiche anche in Parlamento. L'idea della Politica come professione, come competenza a se stante, secondo me è profondamente contraria ai valori democratici espressi dalla Costituzione della Repubblica Italiana agli articoli 1, 56, 58 e 67. Altrimenti, con un paio di concorsi pubblici potremmo risparmiarci campagne elettorali ed elezioni!
Nel merito:
On 13/09/2018 10:56, Stefano Quintarelli wrote:
cosa dovrebbe consentire javascript ? Sorprende (o meglio, ahimè, non sorprende più, fa solo rabbia) che si commettano sempre gli stessi errori: gli script nei file microsoft word, nei PDF, perfino Postscript nelle stampanti: <https://www.securityweek.com/printer-vulnerabilities-expose-organizations-at...>.
Hai ragione, non impariamo mai. Per questo secondo me dobbiamo partire dalle elementari. Per creare una generazione di hacker capaci di non ripetere (e di difendersi/difenderci da) i nostri errori.
Javascript nei browser non dovrebbe poter mandare richieste HTTP con contenuto arbitrario a destinazioni arbitrarie. Punto. Ci libereremmo di un bel po' di botnet.
Se può aggiungere HTML al DOM della pagina, può far partire richieste HTTP.
Se però, come richiede molto ragionevolmente Giacomo, dovessimo espressamente autorizzare gli script che usano "liberamente" la rete, rischieremmo lo stesso effetto dei privacy cookies: dovresti farlo così spesso che alla fine autorizzeremmo senza guardare, aprendo la strada a attacchi più gravi di script che accedono a telecamera, microfono, dati, ecc...
Per la verità la mia proposta è un po' più articolata, ma non propone una tale precisione nei permessi. Poter semplicemente abilitare JS per sito web (e dunque averlo disabilitato di default) ridurrebbe del 95% l'ammontare di JavaScript in transito sul web. La stragrande maggioranza delle pagine web che usa JS non ne ha veramente bisogno.
Oppure cambia l'architettura: il browser costruisce una macchina virtuale per ogni pagina e parla con un indirizzo alla volta, o al limite solo con quelli autorizzati in un campo dell'header HTTP ad hoc, o con quelli indicati da un meccanismo analogo a SPF per la mail.
Preferirei avere il controllo su cosa eseguire sui miei device. In generale.
Ma se mi chiedi di scommettere, direi che la soluzione proposta sarà un sistema centralizzato di certificazione e firma degli script, stile app. Così "per la tua sicurezza" ti verrà chiesto di autorizzare solo gli script "non certificati sicuri" (come avviene per i certificati SSL) che non vengono da uno dei soliti repository. Sempre perché si commettono sempre gli stessi errori.
Beh.. ma ci sarà qualcuno al mondo capace di dire "No" a questa gente!
Potresti anche inconsapevolmente contribuire a un repository "distribuito" di materiale che qualcun'altro non vuole tenere in casa: <https://github.com/seantmalone/HiveMind>
Quinto attacco che mi è venuto in mente. :-)
Oppure un dispettoso potrebbe lasciarti del materiale di cui faresti fatica a giustificare il possesso in caso di sequestro.
Primo attacco che mi è venuto in mente. Il secondo è stato: metto materiale illegale (lista dei pagamenti del pizzo, pedopornografia, progetti rubati alla concorrenza) nella cache del browser, così se mi sequestrano il PC, la sola esistenza di questi attacchi mi fornisce una giustificazione plausibile.
e se uno non vuole consentirlo ? su firefox basta usare plugin come noscript e/o umatrix tra l'altro consiglio di farlo a tutti e collegarsi poi ad una pagina di youtube (ad esempio)
Mi associo caldamente alla raccomandazione. Umatrix è formidabile.
Non discuto la qualità di questi tool. Qui trovate istruzioni precise su come rendere Firefox un browser decente dal punto di vista di sicurezza: http://sciops.net/information/browser_setup/firefox Ma anche quelle istruzioni, non possono niente contro questi attacchi. La sicurezza non deve essere OPT-IN. Giacomo