2018-09-13 10:29 GMT+02:00 Marco Ciurcina <ciurcina@studiolegale.it>:

"I'm not bad. I'm just drawn that way."
(Jessica Rabbit in Who Censored Roger Rabbit?)

Ah, se ti interessa la censura in ambito informatico (e avete un attimo) questa è fantastica: https://dev.to/shamar/i-have-been-banned-from-lobsters-ask-me-anything-5041

(breve resoconto cronologico qui: https://dev.to/shamar/comment/5dp2#chronological )

Una volta si usava dire "you cannot argue with a root shell"... oggi invece si può.

Anche di fronte a DUE exploit, puoi continuare a negare. E chiamare i tuoi fan boy a giustificarti.

Per fortuna Firefox è software libero: c'è la speranza che qualche
sviluppatore faccia un fork.

Con tutto il rispetto Marco, devo contraddirti: Firefox è evidentemente Open Source, non Software Libero.

Il software libero è un'espressione della cultura hacker, un atto creativo di curiosità.

Come tale l'onestà intellettuale è un prerequisito fondamentale del software libero.

Firefox è Open Source, una cosa molto diversa: https://twitter.com/giacomotesio/status/1035553204552040448

Ed infatti, forkare Firefox richiede enormi risore.

Io sono un programmatore ("solo" un programmatore, come dice Bruce Perens :-D): il codice è ben fatto e modificarlo è relativamente semplice, ma per l'infrastruttura necessaria a mantenere un fork utile per mettere in sicurezza la gente, su device e sistemi operativi diversi, è estremamente complessa.

Se non risolvono il problema prima, da metà ottobre (prima non riesco) farò qualche prova su Windows per Desktop.

Ho già pensato un nome: "Guy Fawkes", il fork di Firefox destinato a morire... :-D

Giacomo

m.c.

In data giovedì 13 settembre 2018 00:13:03 CEST, Giacomo Tesio ha scritto:
> Salve, e' stato pubblicato un nuovo exploit del bug che ho recentemente
> segnalato a Mozilla e Google.
>
> Basically any old webpage can perform local network host discovery on you.
>
> > To implement this I made a webpage which attempts to load images from
> > addresses 192.168.1.x. If you watch in the browser console it’ll show
> > either net::ERR_CONNECTION_REFUSED for a host that’s up or
> > net::ERR_ADDRESS_UNREACHABLE for a host that doesn’t exist. This is a CORS
> > error which the javascript on the webpage is not allowed to differentiate
> > by catching. But one error takes 3 ms to happen and the other takes 3
> > seconds!
> > [...]
> > A related thing a webpage in your browser might do is connect to localhost
> > and control any unauthenticated local services. Taviso used this to great
> > effect here https://github.com/spesmilo/electrum/issues/3374
>
> https://rain-1.github.io/in-browser-localhostdiscovery
>
> E con questo siamo a 2 exploit che vanificano firewall e proxy aziendali.
> E io ne ho descritti altri nel bug report!
>
> E Mozilla tace. Io sono allibito.
>
> Ricordate "this is the Web functioning as desinged"!
>
>
> Giacomo