Grazie Giovanni, è bello che qualcuno inizi a considerare la questione. On Tue, 26 Oct 2021 11:17:37 +0200 380° wrote:
Attacking the internal network from the public Internet using a browser as a proxy
Vi si legge, da marzo 2019
Though not a new attack, it is not widely known outside of the security research community that a malicious JavaScript can attack the internal network. [...]
Since a browser will by default have access to localhost as well as the local LAN, these attacks can bypass a potential local host-based firewall as well as the corporate/consumer perimeter firewall.
Ovvero quanto ad agosto 2018 io segnalavo agli sviluppatori di Firefox e Chrome https://bugzilla.mozilla.org/show_bug.cgi?id=1487081 https://bugs.chromium.org/p/chromium/issues/detail?id=879381 che dopo avermi fatto bannare da Lobste.rs (cui avevano indirizzato per discutere la questione[1] ma senza rispondere alle mie domande) hanno spiegato[2]
this is the Web functioning as designed
L'accesso alla rete interna era solo uno dei potenziali attacchi segnalati (quello usato dal governo Russo[3] per identificare "persone attente alla privacy e con competenze tecniche decenti"), ma la segnalazione rimane "RESOLVED INVALID". Nello stesso modo il finger printing è solo uno degli attacchi resi possibili dall'esecuzione automatica di codice personalizzato controllato da terze parti. Devo dare un'occhiata al codice di JShelter, ma assumendo che funzioni perfettamente ha comunque un limite: scarica il codice JS e questo può essere sufficiente per la tracciatura. Per il momento io utilizzo uMatrix [4] o uBlock Origin [5] (in modalità expert) insieme a LocalCDN [6], talvolta via Tor (di cui NoScript è la prima cosa che disinstallo) ed appena potrò dare un'occhiata al sorgente, magari aggiungerò anche JShelter. Prima o poi vorrei trovare il tempo per mettere su un tutorial o una guida su come usare questi tool insieme per minimizzare i dati diffusi durante la navigazione web, ma il problema è che si tratta di soluzioni che cercano di minimizzare i danni in un contesto estremamente ostile. E' un po' come scrivere una guida per finire Doom in modalità Nightmere! senza cheatcodes [7]: è... complicato [8]! Per quanto ben fatte siano le armi disponibili, non è possibile usarle in modo efficace senza comprendere un minimo il funzionamento del web. Contrariamente a Doom, però, non è divertente e le ferite (i dati sottratti) rimangono per sempre ed hanno effetti seri nella vita reale. Giacomo [1] https://bugzilla.mozilla.org/show_bug.cgi?id=1487081#c3 [2] https://bugzilla.mozilla.org/show_bug.cgi?id=1487081#c10 [3] https://bugzilla.mozilla.org/show_bug.cgi?id=1487081#c16 [4] https://github.com/gorhill/uMatrix [5] https://ublockorigin.com/ [6] https://www.localcdn.org/ [7] https://doom.fandom.com/wiki/Doom_Cheat_Codes [8] detto questo, mia figlia 12enne ci riesce in abbastanza bene, quindi dovrebbe essere alla portata di molti adulti...