Ciao a tutti e buon anno! Riapro questo vecchio thread per segnalarvi una notizia divertente ma serissima. La home page del sito rkn.GOV.RU sta utilizzando l'attacco che descrissi nell'articolo https://dev.to/shamar/the-meltdown-of-the-web-4p1m contro tutti i visitatori (per cui vi sconsiglio di andare a vedere in questo momento se il vostro browser esegue JavaScript. Il governo russo sta utilizzando JavaScript per entrare nella rete dei visitatori ed identificare gli IP (e potenzialmente le persone, incrociando l'IP con i log di altri servizi) che utilizzano alcuni tool di sicurezza durante la navigazione web. Qui potete vedere lo script ben formattato: https://pastebin.com/embed_iframe/2VH55Lu0 alla riga 2615 trovate la lista dei tool di cui si verifica la presenza. In pratica, stanno creando un database degli IP (e in Russia delle persone) che è meglio NON attaccare via JavaScript perché potrebbero rilevare l'attacco nonostante la rimozione delle prove attraverso gli header HTTP di controllo della cache. Ho naturalmente segnalato la cosa a Mozilla, ma probabilmente sono ancora tutti in ferie: https://bugzilla.mozilla.org/show_bug.cgi?id=1487081#c16 (PS: attenti a cosa cliccate! ;-) Ovviamente, l'elenco delle persone da NON attaccare serve se VUOI USARE quegli attacchi. Al contempo queste persone stanno prendendo precauzioni di sicurezza piuttosto avanzate: cosa avranno da nascondere? :-) Tecnicamente questa appare come una applicazione piuttosto grossolana dei miei attacchi: Google, Cloudflare o Amazon potrebbero essere molto più raffinati e non farsi beccare. Il governo russo però non intercetta la stessa quantità di traffico e dunque deve andare a pescare con la rete dove altri userebbero il bisturi. L'aspetto più divertente? Se questa notizia diventasse mainstream, il governo russo potrebbe dichiarare che si tratta di un semplice errore di programmazione: l'incompetenza è così diffusa nel nostro settore che molti ci crederebbero, accettando l'incompetenza come giustificazione plausibile di un attacco di massa! Il Web è ancora un'arma del DARPA, ma ogni tanto la prestano agli alleati più fidati! :-D https://medium.com/@giacomo_59737/the-web-is-still-a-darpa-weapon-31e3c3b032... A presto! Giacomo