The Web is still a DARPA weapon.
Salve, vi propongo questa breve analisi storico politica di due gravi vulnerabilità tecniche "nascoste in piena vista" nel Web 2.0. https://medium.com/@giacomo_59737/the-web-is-still-a- darpa-weapon-31e3c3b032b8 La più interessante permette a chiunque controlli una CDN (ad esempio Google CDN o Amazon CloudFront) e sia in grado di profilare gli utenti con adeguata precisione, di introdurre surrettiziamente materiale illegale sul PC (nella cache del browser, per la precisione) di persone specifiche o piccoli gruppi, senza lasciare tracce e senza destare sospetti nel resto della popolazione. L'attacco in realtà è piuttosto semplice ed è disponibile anche a governi e persino piccole aziende purché dispongano di informazioni sufficienti per identificare gli obbiettivi durante la loro visita al sito. Una CDN, tuttavia, ha la possibilità di far veicolare l'attacco a siti di terzi (di cui le vittime si fidano), ha una maggiore probabilità di passare inosservata ed è semplicemente meno sospetta, garantendosi una perfetta "plausible deniability". Il trucco è semplicemente modificare uno dei javascript inviati al browser delle vittime (senza modificarne la dimensione, cosa piuttosto semplice vista la presenza di header di copyright etc nei JS minimizzati dei framework maggiormente utilizzati) servendoli con header HTTP Expire e Cache control appropriati. Tale JS scarica il contenuto illegale solo nella cache (ad esempio attraverso una immagine trasparente molto piccola aggiunta dallo script stesso al DOM), poi rimuove le tracce e riscarica se stesso dalla CDN nella versione pulita, sovrascrivendo il file in cache. Una analisi forense del disco del pc troverebbe facilmente il contenuto illegale nella cache dell'utente (immaginiamo un documento rubato.. o peggio), ma nessuna traccia dell'attacco, attribuendo il documento alla vittima ignara. In realtà l'attacco non è descritto in questo dettaglio nell'articolo perché è piuttosto ovvio, ma credo possa essere di maggiore interesse qui per comprendere la portata politica del problema. L'altra vulnerabilità è piuttosto di natura geopolitica, ma credo sia ben nota in questa mailing list. Spero possa essere una lettura interessante e vi prego di segnalarmi eventuali approfondimenti ed errori tecnici, storici (molti degli eventi citati sono avvenuti prima che io nascessi) o grammaticali... :-) A presto! Giacomo
Buongiorno, E’ la prima volta che condivido un contenuto su questa Newsletter, ma leggendo questo articolo non ho potuto fare a meno di pensare che ci siano ancora moltissimi ambiti nello sviluppo di mezzi tecnologici che rimangono incontrollati, dove sembra che il profitto sia il principale obiettivo. Nella speranza di non trattare argomento già affrontato, confido che sia scoperta di interesse e di sprone a mantenere uno sguardo sempre vigile sulle nuove applicazioni di strumenti tecnologici. https://www.wired.com/story/jpay-securus-prison-email-charging-millions/ Saluti, Davide Brunello.
Ciao, vi propongo questo interessantissimo scambio con uno sviluppatore di Mozilla (Firefox) sugli attacchi JavaScript descritti in precedenza. https://wandering.shop/@callahad/100612466895332298 https://pleroma.soykaf.com/notice/15408888 (scusate devo usare due URL perché mastodon e pleroma non sono molto bravi a rappresentare scambi complessi...) Particolarmente interessante questo passaggio: What you're seeing as a vulnerability, we see as an inextricable
consequence of the Web working as intended and as designed.
Notate: non si tratta di una singola vulnerabilità, ma una intera classe di attacchi (arbitrary code executions, per essere precisi), il cui limite è letteralmente la fantasia dell'attaccante... e per Mozilla è tutto ok. Nemmeno il rischio che la possibilità di tali attacchi (che non lasciano tracce sul pc della vittima) possa essere usata da criminali per negare di aver violato la legge nascondendo le prove nella cache del browser, sembra interressare. Personalmente, sono stupefatto. Giacomo Il giorno 2 agosto 2018 01:24, Giacomo Tesio <giacomo@tesio.it> ha scritto:
Salve, vi propongo questa breve analisi storico politica di due gravi vulnerabilità tecniche "nascoste in piena vista" nel Web 2.0.
https://medium.com/@giacomo_59737/the-web-is-still-a-darpa- weapon-31e3c3b032b8
La più interessante permette a chiunque controlli una CDN (ad esempio Google CDN o Amazon CloudFront) e sia in grado di profilare gli utenti con adeguata precisione, di introdurre surrettiziamente materiale illegale sul PC (nella cache del browser, per la precisione) di persone specifiche o piccoli gruppi, senza lasciare tracce e senza destare sospetti nel resto della popolazione.
L'attacco in realtà è piuttosto semplice ed è disponibile anche a governi e persino piccole aziende purché dispongano di informazioni sufficienti per identificare gli obbiettivi durante la loro visita al sito. Una CDN, tuttavia, ha la possibilità di far veicolare l'attacco a siti di terzi (di cui le vittime si fidano), ha una maggiore probabilità di passare inosservata ed è semplicemente meno sospetta, garantendosi una perfetta "plausible deniability".
Il trucco è semplicemente modificare uno dei javascript inviati al browser delle vittime (senza modificarne la dimensione, cosa piuttosto semplice vista la presenza di header di copyright etc nei JS minimizzati dei framework maggiormente utilizzati) servendoli con header HTTP Expire e Cache control appropriati. Tale JS scarica il contenuto illegale solo nella cache (ad esempio attraverso una immagine trasparente molto piccola aggiunta dallo script stesso al DOM), poi rimuove le tracce e riscarica se stesso dalla CDN nella versione pulita, sovrascrivendo il file in cache.
Una analisi forense del disco del pc troverebbe facilmente il contenuto illegale nella cache dell'utente (immaginiamo un documento rubato.. o peggio), ma nessuna traccia dell'attacco, attribuendo il documento alla vittima ignara.
In realtà l'attacco non è descritto in questo dettaglio nell'articolo perché è piuttosto ovvio, ma credo possa essere di maggiore interesse qui per comprendere la portata politica del problema.
L'altra vulnerabilità è piuttosto di natura geopolitica, ma credo sia ben nota in questa mailing list.
Spero possa essere una lettura interessante e vi prego di segnalarmi eventuali approfondimenti ed errori tecnici, storici (molti degli eventi citati sono avvenuti prima che io nascessi) o grammaticali... :-)
A presto!
Giacomo
Molto interessante, Giacomo, la tua analisi tecnica di questo tipo di attacchi. Al di là della loro fattibilità e del fatto che siano possibili anche senza JavaScript, mi pare però che la tua questione di fondo sia la seguente: SCENARIO: il browser di un utente esegue codice che commette azioni illegali e che è stato scritto da un autore che non risponde alla legislazione italiana+europea. QUESTIONE: di chi è la responsabilità se il codice non lascia tracce sul dispositivo dell'utente che permettono di connettere le azioni illegali all'autore? Se ricoro bene ne avevi già parlato un po' di tempo fa qui in lista ma non mi pare fosse stata fornita da chi è esperto in tematiche giuridiche una risposta esauriente (nel caso mi scuso in anticipo). Mi sbaglio? Ciao, Enrico PS Ritengo che, qualora lo SCENARIO sia effettivamente realizzabile e la risposta alla QUESTIONE sia <<l'utente>>, il tema della #deviceneutrality di Quinta diventa (se non lo fosse già di per sé) ancora più importante. Il 27/08/2018 16:19, Giacomo Tesio ha scritto:
Ciao, vi propongo questo interessantissimo scambio con uno sviluppatore di Mozilla (Firefox) sugli attacchi JavaScript descritti in precedenza.
https://wandering.shop/@callahad/100612466895332298 https://pleroma.soykaf.com/notice/15408888
(scusate devo usare due URL perché mastodon e pleroma non sono molto bravi a rappresentare scambi complessi...)
Particolarmente interessante questo passaggio:
What you're seeing as a vulnerability, we see as an inextricable consequence of the Web working as intended and as designed.
Notate: non si tratta di una singola vulnerabilità, ma una intera classe di attacchi (arbitrary code executions, per essere precisi), il cui limite è letteralmente la fantasia dell'attaccante... e per Mozilla è tutto ok.
Nemmeno il rischio che la possibilità di tali attacchi (che non lasciano tracce sul pc della vittima) possa essere usata da criminali per negare di aver violato la legge nascondendo le prove nella cache del browser, sembra interressare.
Personalmente, sono stupefatto.
Giacomo
Il giorno 2 agosto 2018 01:24, Giacomo Tesio <giacomo@tesio.it <mailto:giacomo@tesio.it>> ha scritto:
Salve, vi propongo questa breve analisi storico politica di due gravi vulnerabilità tecniche "nascoste in piena vista" nel Web 2.0.
https://medium.com/@giacomo_59737/the-web-is-still-a-darpa-weapon-31e3c3b032... <https://medium.com/@giacomo_59737/the-web-is-still-a-darpa-weapon-31e3c3b032...>
La più interessante permette a chiunque controlli una CDN (ad esempio Google CDN o Amazon CloudFront) e sia in grado di profilare gli utenti con adeguata precisione, di introdurre surrettiziamente materiale illegale sul PC (nella cache del browser, per la precisione) di persone specifiche o piccoli gruppi, senza lasciare tracce e senza destare sospetti nel resto della popolazione.
L'attacco in realtà è piuttosto semplice ed è disponibile anche a governi e persino piccole aziende purché dispongano di informazioni sufficienti per identificare gli obbiettivi durante la loro visita al sito. Una CDN, tuttavia, ha la possibilità di far veicolare l'attacco a siti di terzi (di cui le vittime si fidano), ha una maggiore probabilità di passare inosservata ed è semplicemente meno sospetta, garantendosi una perfetta "plausible deniability".
Il trucco è semplicemente modificare uno dei javascript inviati al browser delle vittime (senza modificarne la dimensione, cosa piuttosto semplice vista la presenza di header di copyright etc nei JS minimizzati dei framework maggiormente utilizzati) servendoli con header HTTP Expire e Cache control appropriati. Tale JS scarica il contenuto illegale solo nella cache (ad esempio attraverso una immagine trasparente molto piccola aggiunta dallo script stesso al DOM), poi rimuove le tracce e riscarica se stesso dalla CDN nella versione pulita, sovrascrivendo il file in cache.
Una analisi forense del disco del pc troverebbe facilmente il contenuto illegale nella cache dell'utente (immaginiamo un documento rubato.. o peggio), ma nessuna traccia dell'attacco, attribuendo il documento alla vittima ignara.
In realtà l'attacco non è descritto in questo dettaglio nell'articolo perché è piuttosto ovvio, ma credo possa essere di maggiore interesse qui per comprendere la portata politica del problema.
L'altra vulnerabilità è piuttosto di natura geopolitica, ma credo sia ben nota in questa mailing list.
Spero possa essere una lettura interessante e vi prego di segnalarmi eventuali approfondimenti ed errori tecnici, storici (molti degli eventi citati sono avvenuti prima che io nascessi) o grammaticali... :-)
A presto!
Giacomo
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- EN ===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== --
Ricordi bene, qualche tempo fa, ragionando sul sistema di permessi del mio sistema operativo distribuito, mi ero posto la questione della responsabilità legale in una situazione come questa: http://server-nexa.polito.it/pipermail/nexa/2018-January/012883.html Come puoi immaginare, un sistema operativo progettato per tener conto di questi problemi ha molto più margine di manovra di un browser progettato per navigare ipertesti (perché non bisogna dimenticare che HTTP e HTML questo sono!). Lo scenario è facilmente realizzabile: diversi DDoS avvenuti negli anni e più recentemente siti che sfruttano le risorse del browser per il mining di bitcoin, illegale in Cina, sono alcuni esempi. Come spiegavo a Dan, comunque, solo l'attacco che mette contenuti illeciti/diffamatori nella cache del browser può essere fatto senza l'uso di JavaScript ma lascerebbe altre tracce e/o potrebbe essere notato. E questo comunque indica solamente che ci sono altre vulnerabilità nei browser, non che JavaScript sia sicuro. Moltri altri attacchi sono invece fattibili solo con JavaScript. Un tempo, l'uso di JavaScript era opzionale e tutti gli sviluppatori (me compreso) testavano i siti web anche con JavaScript abilitato. Ora disabilitare JavaScript è fuori dalla portata della maggioranza delle persone: in Firefox, ad esempio, non c'è nemmeno una UI dedicata, bisogna editare la configurazione del browser in about:config. Potremmo chiamarla "Insecurity through obscurity!". Ed è inquietante che Firefox sia universalmente considerato un browser attento alla sicurezza degli utenti! Giacomo Il giorno 27 agosto 2018 17:09, Enrico Nardelli <nardelli@mat.uniroma2.it> ha scritto:
Molto interessante, Giacomo, la tua analisi tecnica di questo tipo di attacchi.
Al di là della loro fattibilità e del fatto che siano possibili anche senza JavaScript, mi pare però che la tua questione di fondo sia la seguente:
SCENARIO: il browser di un utente esegue codice che commette azioni illegali e che è stato scritto da un autore che non risponde alla legislazione italiana+europea.
QUESTIONE: di chi è la responsabilità se il codice non lascia tracce sul dispositivo dell'utente che permettono di connettere le azioni illegali all'autore?
Se ricoro bene ne avevi già parlato un po' di tempo fa qui in lista ma non mi pare fosse stata fornita da chi è esperto in tematiche giuridiche una risposta esauriente (nel caso mi scuso in anticipo).
Mi sbaglio?
Ciao, Enrico PS Ritengo che, qualora lo SCENARIO sia effettivamente realizzabile e la risposta alla QUESTIONE sia <<l'utente>>, il tema della #deviceneutrality di Quinta diventa (se non lo fosse già di per sé) ancora più importante.
Il 27/08/2018 16:19, Giacomo Tesio ha scritto:
Ciao, vi propongo questo interessantissimo scambio con uno sviluppatore di Mozilla (Firefox) sugli attacchi JavaScript descritti in precedenza.
https://wandering.shop/@callahad/100612466895332298 https://pleroma.soykaf.com/notice/15408888
(scusate devo usare due URL perché mastodon e pleroma non sono molto bravi a rappresentare scambi complessi...)
Particolarmente interessante questo passaggio:
What you're seeing as a vulnerability, we see as an inextricable
consequence of the Web working as intended and as designed.
Notate: non si tratta di una singola vulnerabilità, ma una intera classe di attacchi (arbitrary code executions, per essere precisi), il cui limite è letteralmente la fantasia dell'attaccante... e per Mozilla è tutto ok.
Nemmeno il rischio che la possibilità di tali attacchi (che non lasciano tracce sul pc della vittima) possa essere usata da criminali per negare di aver violato la legge nascondendo le prove nella cache del browser, sembra interressare.
Personalmente, sono stupefatto.
Giacomo
Il giorno 2 agosto 2018 01:24, Giacomo Tesio <giacomo@tesio.it> ha scritto:
Salve, vi propongo questa breve analisi storico politica di due gravi vulnerabilità tecniche "nascoste in piena vista" nel Web 2.0.
https://medium.com/@giacomo_59737/the-web-is-still-a-darpa-w eapon-31e3c3b032b8
La più interessante permette a chiunque controlli una CDN (ad esempio Google CDN o Amazon CloudFront) e sia in grado di profilare gli utenti con adeguata precisione, di introdurre surrettiziamente materiale illegale sul PC (nella cache del browser, per la precisione) di persone specifiche o piccoli gruppi, senza lasciare tracce e senza destare sospetti nel resto della popolazione.
L'attacco in realtà è piuttosto semplice ed è disponibile anche a governi e persino piccole aziende purché dispongano di informazioni sufficienti per identificare gli obbiettivi durante la loro visita al sito. Una CDN, tuttavia, ha la possibilità di far veicolare l'attacco a siti di terzi (di cui le vittime si fidano), ha una maggiore probabilità di passare inosservata ed è semplicemente meno sospetta, garantendosi una perfetta "plausible deniability".
Il trucco è semplicemente modificare uno dei javascript inviati al browser delle vittime (senza modificarne la dimensione, cosa piuttosto semplice vista la presenza di header di copyright etc nei JS minimizzati dei framework maggiormente utilizzati) servendoli con header HTTP Expire e Cache control appropriati. Tale JS scarica il contenuto illegale solo nella cache (ad esempio attraverso una immagine trasparente molto piccola aggiunta dallo script stesso al DOM), poi rimuove le tracce e riscarica se stesso dalla CDN nella versione pulita, sovrascrivendo il file in cache.
Una analisi forense del disco del pc troverebbe facilmente il contenuto illegale nella cache dell'utente (immaginiamo un documento rubato.. o peggio), ma nessuna traccia dell'attacco, attribuendo il documento alla vittima ignara.
In realtà l'attacco non è descritto in questo dettaglio nell'articolo perché è piuttosto ovvio, ma credo possa essere di maggiore interesse qui per comprendere la portata politica del problema.
L'altra vulnerabilità è piuttosto di natura geopolitica, ma credo sia ben nota in questa mailing list.
Spero possa essere una lettura interessante e vi prego di segnalarmi eventuali approfondimenti ed errori tecnici, storici (molti degli eventi citati sono avvenuti prima che io nascessi) o grammaticali... :-)
A presto!
Giacomo
_______________________________________________ nexa mailing listnexa@server-nexa.polito.ithttps://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- EN
===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== --
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Grazie Giacomo per i chiarimenti tecnici ed il riferimento al tuo precedente intervento. Rimane aperta la questione giuridica, sulla quale mi piacerebbe avere il parere di un esperto. SCENARIO: il browser di un utente esegue codice che commette azioni illegali e che è stato scritto da un autore che non risponde alla legislazione italiana+europea. QUESTIONE: di chi è la responsabilità se il codice non lascia tracce sul dispositivo dell'utente che permettono di connettere le azioni illegali all'autore? Qualcuno ha il tempo e la voglia di pensarci? Grazie in anticipo Enrico Il 27/08/2018 17:33, Giacomo Tesio ha scritto:
Ricordi bene, qualche tempo fa, ragionando sul sistema di permessi del mio sistema operativo distribuito, mi ero posto la questione della responsabilità legale in una situazione come questa: http://server-nexa.polito.it/pipermail/nexa/2018-January/012883.html Come puoi immaginare, un sistema operativo progettato per tener conto di questi problemi ha molto più margine di manovra di un browser progettato per navigare ipertesti (perché non bisogna dimenticare che HTTP e HTML questo sono!).
Lo scenario è facilmente realizzabile: diversi DDoS avvenuti negli anni e più recentemente siti che sfruttano le risorse del browser per il mining di bitcoin, illegale in Cina, sono alcuni esempi.
Come spiegavo a Dan, comunque, solo l'attacco che mette contenuti illeciti/diffamatori nella cache del browser può essere fatto senza l'uso di JavaScript ma lascerebbe altre tracce e/o potrebbe essere notato. E questo comunque indica solamente che ci sono altre vulnerabilità nei browser, non che JavaScript sia sicuro.
Moltri altri attacchi sono invece fattibili solo con JavaScript.
Un tempo, l'uso di JavaScript era opzionale e tutti gli sviluppatori (me compreso) testavano i siti web anche con JavaScript abilitato. Ora disabilitare JavaScript è fuori dalla portata della maggioranza delle persone: in Firefox, ad esempio, non c'è nemmeno una UI dedicata, bisogna editare la configurazione del browser in about:config. Potremmo chiamarla "Insecurity through obscurity!". Ed è inquietante che Firefox sia universalmente considerato un browser attento alla sicurezza degli utenti!
Giacomo
Il giorno 27 agosto 2018 17:09, Enrico Nardelli <nardelli@mat.uniroma2.it <mailto:nardelli@mat.uniroma2.it>> ha scritto:
Molto interessante, Giacomo, la tua analisi tecnica di questo tipo di attacchi.
Al di là della loro fattibilità e del fatto che siano possibili anche senza JavaScript, mi pare però che la tua questione di fondo sia la seguente:
SCENARIO: il browser di un utente esegue codice che commette azioni illegali e che è stato scritto da un autore che non risponde alla legislazione italiana+europea.
QUESTIONE: di chi è la responsabilità se il codice non lascia tracce sul dispositivo dell'utente che permettono di connettere le azioni illegali all'autore?
Se ricoro bene ne avevi già parlato un po' di tempo fa qui in lista ma non mi pare fosse stata fornita da chi è esperto in tematiche giuridiche una risposta esauriente (nel caso mi scuso in anticipo).
Mi sbaglio?
Ciao, Enrico
PS Ritengo che, qualora lo SCENARIO sia effettivamente realizzabile e la risposta alla QUESTIONE sia <<l'utente>>, il tema della #deviceneutrality di Quinta diventa (se non lo fosse già di per sé) ancora più importante.
Il 27/08/2018 16:19, Giacomo Tesio ha scritto:
Ciao, vi propongo questo interessantissimo scambio con uno sviluppatore di Mozilla (Firefox) sugli attacchi JavaScript descritti in precedenza.
https://wandering.shop/@callahad/100612466895332298 <https://wandering.shop/@callahad/100612466895332298> https://pleroma.soykaf.com/notice/15408888 <https://pleroma.soykaf.com/notice/15408888>
(scusate devo usare due URL perché mastodon e pleroma non sono molto bravi a rappresentare scambi complessi...)
Particolarmente interessante questo passaggio:
What you're seeing as a vulnerability, we see as an inextricable consequence of the Web working as intended and as designed.
Notate: non si tratta di una singola vulnerabilità, ma una intera classe di attacchi (arbitrary code executions, per essere precisi), il cui limite è letteralmente la fantasia dell'attaccante... e per Mozilla è tutto ok.
Nemmeno il rischio che la possibilità di tali attacchi (che non lasciano tracce sul pc della vittima) possa essere usata da criminali per negare di aver violato la legge nascondendo le prove nella cache del browser, sembra interressare.
Personalmente, sono stupefatto.
Giacomo
Il giorno 2 agosto 2018 01:24, Giacomo Tesio <giacomo@tesio.it <mailto:giacomo@tesio.it>> ha scritto:
Salve, vi propongo questa breve analisi storico politica di due gravi vulnerabilità tecniche "nascoste in piena vista" nel Web 2.0.
https://medium.com/@giacomo_59737/the-web-is-still-a-darpa-weapon-31e3c3b032... <https://medium.com/@giacomo_59737/the-web-is-still-a-darpa-weapon-31e3c3b032...>
La più interessante permette a chiunque controlli una CDN (ad esempio Google CDN o Amazon CloudFront) e sia in grado di profilare gli utenti con adeguata precisione, di introdurre surrettiziamente materiale illegale sul PC (nella cache del browser, per la precisione) di persone specifiche o piccoli gruppi, senza lasciare tracce e senza destare sospetti nel resto della popolazione.
L'attacco in realtà è piuttosto semplice ed è disponibile anche a governi e persino piccole aziende purché dispongano di informazioni sufficienti per identificare gli obbiettivi durante la loro visita al sito. Una CDN, tuttavia, ha la possibilità di far veicolare l'attacco a siti di terzi (di cui le vittime si fidano), ha una maggiore probabilità di passare inosservata ed è semplicemente meno sospetta, garantendosi una perfetta "plausible deniability".
Il trucco è semplicemente modificare uno dei javascript inviati al browser delle vittime (senza modificarne la dimensione, cosa piuttosto semplice vista la presenza di header di copyright etc nei JS minimizzati dei framework maggiormente utilizzati) servendoli con header HTTP Expire e Cache control appropriati. Tale JS scarica il contenuto illegale solo nella cache (ad esempio attraverso una immagine trasparente molto piccola aggiunta dallo script stesso al DOM), poi rimuove le tracce e riscarica se stesso dalla CDN nella versione pulita, sovrascrivendo il file in cache.
Una analisi forense del disco del pc troverebbe facilmente il contenuto illegale nella cache dell'utente (immaginiamo un documento rubato.. o peggio), ma nessuna traccia dell'attacco, attribuendo il documento alla vittima ignara.
In realtà l'attacco non è descritto in questo dettaglio nell'articolo perché è piuttosto ovvio, ma credo possa essere di maggiore interesse qui per comprendere la portata politica del problema.
L'altra vulnerabilità è piuttosto di natura geopolitica, ma credo sia ben nota in questa mailing list.
Spero possa essere una lettura interessante e vi prego di segnalarmi eventuali approfondimenti ed errori tecnici, storici (molti degli eventi citati sono avvenuti prima che io nascessi) o grammaticali... :-)
A presto!
Giacomo
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it <mailto:nexa@server-nexa.polito.it> https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa <https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa>
-- EN
===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail:nardelli@mat.uniroma2.it <mailto:nardelli@mat.uniroma2.it> home page:http://www.mat.uniroma2.it/~nardelli <http://www.mat.uniroma2.it/%7Enardelli> blog:http://www.ilfattoquotidiano.it/blog/enardelli/ <http://www.ilfattoquotidiano.it/blog/enardelli/> http://link-and-think.blogspot.it/ <http://link-and-think.blogspot.it/> ===================================================================== --
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it <mailto:nexa@server-nexa.polito.it> https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa <https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa>
-- EN ===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== --
In data martedì 28 agosto 2018 10:12:15 CEST, Enrico Nardelli ha scritto:
Grazie Giacomo per i chiarimenti tecnici ed il riferimento al tuo precedente intervento.
Rimane aperta la questione giuridica, sulla quale mi piacerebbe avere il parere di un esperto.
SCENARIO: il browser di un utente esegue codice che commette azioni illegali e che è stato scritto da un autore che non risponde alla legislazione italiana+europea.
QUESTIONE: di chi è la responsabilità se il codice non lascia tracce sul dispositivo dell'utente che permettono di connettere le azioni illegali all'autore? Di chi ha installato e rimosso il codice che compie atti illeciti. Ma anche chi distribuisce il browser potrebbe avere un problema se era consapevole del fatto che il suo browser consente il prodursi di danni. Per esempio, in Italia, l'art. 1229 c.c. non consente di escludere o limitare la responsabilità in caso di dolo o colpa grave. In concreto, l'utente che possiede il dispositivo potrebbe avere un problema di prova: come dimostra i fatti descritti nello scenario? Quindi, in concreto, potrebbe ritrovarsi a rispondere anche lui. m.c.
Qualcuno ha il tempo e la voglia di pensarci?
Grazie in anticipo
Enrico
Il 27/08/2018 17:33, Giacomo Tesio ha scritto:
Ricordi bene, qualche tempo fa, ragionando sul sistema di permessi del mio sistema operativo distribuito, mi ero posto la questione della responsabilità legale in una situazione come questa: http://server-nexa.polito.it/pipermail/nexa/2018-January/012883.html Come puoi immaginare, un sistema operativo progettato per tener conto di questi problemi ha molto più margine di manovra di un browser progettato per navigare ipertesti (perché non bisogna dimenticare che HTTP e HTML questo sono!).
Lo scenario è facilmente realizzabile: diversi DDoS avvenuti negli anni e più recentemente siti che sfruttano le risorse del browser per il mining di bitcoin, illegale in Cina, sono alcuni esempi.
Come spiegavo a Dan, comunque, solo l'attacco che mette contenuti illeciti/diffamatori nella cache del browser può essere fatto senza l'uso di JavaScript ma lascerebbe altre tracce e/o potrebbe essere notato. E questo comunque indica solamente che ci sono altre vulnerabilità nei browser, non che JavaScript sia sicuro.
Moltri altri attacchi sono invece fattibili solo con JavaScript.
Un tempo, l'uso di JavaScript era opzionale e tutti gli sviluppatori (me compreso) testavano i siti web anche con JavaScript abilitato. Ora disabilitare JavaScript è fuori dalla portata della maggioranza delle persone: in Firefox, ad esempio, non c'è nemmeno una UI dedicata, bisogna editare la configurazione del browser in about:config. Potremmo chiamarla "Insecurity through obscurity!". Ed è inquietante che Firefox sia universalmente considerato un browser attento alla sicurezza degli utenti!
Giacomo
Il giorno 27 agosto 2018 17:09, Enrico Nardelli <nardelli@mat.uniroma2.it
<mailto:nardelli@mat.uniroma2.it>> ha scritto:
Molto interessante, Giacomo, la tua analisi tecnica di questo tipo di attacchi.
Al di là della loro fattibilità e del fatto che siano possibili anche senza JavaScript, mi pare però che la tua questione di fondo sia la seguente:
SCENARIO: il browser di un utente esegue codice che commette azioni illegali e che è stato scritto da un autore che non risponde alla legislazione italiana+europea.
QUESTIONE: di chi è la responsabilità se il codice non lascia tracce sul dispositivo dell'utente che permettono di connettere le azioni illegali all'autore?
Se ricoro bene ne avevi già parlato un po' di tempo fa qui in lista ma non mi pare fosse stata fornita da chi è esperto in tematiche giuridiche una risposta esauriente (nel caso mi scuso in anticipo).
Mi sbaglio?
Ciao, Enrico
PS Ritengo che, qualora lo SCENARIO sia effettivamente realizzabile e la risposta alla QUESTIONE sia <<l'utente>>, il tema della #deviceneutrality di Quinta diventa (se non lo fosse già di per sé) ancora più importante.> Il 27/08/2018 16:19, Giacomo Tesio ha scritto:
Ciao, vi propongo questo interessantissimo scambio con uno sviluppatore di Mozilla (Firefox) sugli attacchi JavaScript descritti in precedenza.
https://wandering.shop/@callahad/100612466895332298 <https://wandering.shop/@callahad/100612466895332298> https://pleroma.soykaf.com/notice/15408888 <https://pleroma.soykaf.com/notice/15408888>
(scusate devo usare due URL perché mastodon e pleroma non sono molto bravi a rappresentare scambi complessi...)>> Particolarmente interessante questo passaggio: What you're seeing as a vulnerability, we see as an inextricable consequence of the Web working as intended and as designed.>> Notate: non si tratta di una singola vulnerabilità, ma una intera classe di attacchi (arbitrary code executions, per essere precisi), il cui limite è letteralmente la fantasia dell'attaccante... e per Mozilla è tutto ok.
Nemmeno il rischio che la possibilità di tali attacchi (che non lasciano tracce sul pc della vittima) possa essere usata da criminali per negare di aver violato la legge nascondendo le prove nella cache del browser, sembra interressare.
Personalmente, sono stupefatto.
Giacomo
Il giorno 2 agosto 2018 01:24, Giacomo Tesio <giacomo@tesio.it
<mailto:giacomo@tesio.it>> ha scritto:
Salve, vi propongo questa breve analisi storico politica di due gravi vulnerabilità tecniche "nascoste in piena vista" nel Web 2.0.
https://medium.com/@giacomo_59737/the-web-is-still-a-darpa-weapon -31e3c3b032b8 <https://medium.com/@giacomo_59737/the-web-is-still-a-darpa-weap on-31e3c3b032b8>
La più interessante permette a chiunque controlli una CDN (ad esempio Google CDN o Amazon CloudFront) e sia in grado di profilare gli utenti con adeguata precisione, di introdurre surrettiziamente materiale illegale sul PC (nella cache del browser, per la precisione) di persone specifiche o piccoli gruppi, senza lasciare tracce e senza destare sospetti nel resto della popolazione.
L'attacco in realtà è piuttosto semplice ed è disponibile anche a governi e persino piccole aziende purché dispongano di informazioni sufficienti per identificare gli obbiettivi durante la loro visita al sito. Una CDN, tuttavia, ha la possibilità di far veicolare l'attacco a siti di terzi (di cui le vittime si fidano), ha una maggiore probabilità di passare inosservata ed è semplicemente meno sospetta, garantendosi una perfetta "plausible deniability".
Il trucco è semplicemente modificare uno dei javascript inviati al browser delle vittime (senza modificarne la dimensione, cosa piuttosto semplice vista la presenza di header di copyright etc nei JS minimizzati dei framework maggiormente utilizzati) servendoli con header HTTP Expire e Cache control appropriati. Tale JS scarica il contenuto illegale solo nella cache (ad esempio attraverso una immagine trasparente molto piccola aggiunta dallo script stesso al DOM), poi rimuove le tracce e riscarica se stesso dalla CDN nella versione pulita, sovrascrivendo il file in cache.
Una analisi forense del disco del pc troverebbe facilmente il contenuto illegale nella cache dell'utente (immaginiamo un documento rubato.. o peggio), ma nessuna traccia dell'attacco, attribuendo il documento alla vittima ignara.
In realtà l'attacco non è descritto in questo dettaglio nell'articolo perché è piuttosto ovvio, ma credo possa essere di maggiore interesse qui per comprendere la portata politica del problema.
L'altra vulnerabilità è piuttosto di natura geopolitica, ma credo sia ben nota in questa mailing list.
Spero possa essere una lettura interessante e vi prego di segnalarmi eventuali approfondimenti ed errori tecnici, storici (molti degli eventi citati sono avvenuti prima che io nascessi) o grammaticali... :-)
A presto!
Giacomo
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it <mailto:nexa@server-nexa.polito.it> https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa <https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa>>
-- EN
===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail:nardelli@mat.uniroma2.it <mailto:nardelli@mat.uniroma2.it> home page:http://www.mat.uniroma2.it/~nardelli <http://www.mat.uniroma2.it/%7Enardelli> blog:http://www.ilfattoquotidiano.it/blog/enardelli/ <http://www.ilfattoquotidiano.it/blog/enardelli/>> http://link-and-think.blogspot.it/ <http://link-and-think.blogspot.it/>
=====================================================================
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it <mailto:nexa@server-nexa.polito.it> https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa <https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa> -- EN
===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ =====================================================================
Grazie davvero delle risposte. Tuttavia ho ancora alcune domande: Il giorno 28 agosto 2018 10:38, Marco Ciurcina <ciurcina@studiolegale.it> ha scritto:
In data martedì 28 agosto 2018 10:12:15 CEST, Enrico Nardelli ha scritto:
QUESTIONE: di chi è la responsabilità se il codice non lascia tracce sul dispositivo dell'utente che permettono di connettere le azioni illegali all'autore?
Di chi ha installato e rimosso il codice che compie atti illeciti.
E se non si trova in Europa? E se non è possibile identificarlo?
Ma anche chi distribuisce il browser potrebbe avere un problema se era consapevole del fatto che il suo browser consente il prodursi di danni. Per esempio, in Italia, l'art. 1229 c.c. non consente di escludere o limitare la responsabilità in caso di dolo o colpa grave.
Questo è molto interessante. Stiamo parlando (principalmente) di Mozilla (una fondazione), Google, Microsoft e Apple.
In concreto, l'utente che possiede il dispositivo potrebbe avere un problema di prova: come dimostra i fatti descritti nello scenario? Quindi, in concreto, potrebbe ritrovarsi a rispondere anche lui.
Purtroppo un utente comune non potrebbe dimostrare di aver subito l'attacco (un hacker in paranoia potrebbe mettersi in condizione di dimostrare un attacco attraverso un proxy HTTP ad hoc) D'altro canto, nessuno potrebbe dimostrare che l'utente comune NON ha subito tale attacco. Dunque l'utente dice che non è stato lui a compiere il reato informatico e nonostante le certe prove, nessuno può escludere che tali prove siano state forgiate ad arte durante un attacco di questo tipo. Come se ne esce? Giacomo
In data mercoledì 29 agosto 2018 00:41:52 CEST, Giacomo Tesio ha scritto:
Grazie davvero delle risposte. Tuttavia ho ancora alcune domande:
Il giorno 28 agosto 2018 10:38, Marco Ciurcina
<ciurcina@studiolegale.it> ha scritto:
In data martedì 28 agosto 2018 10:12:15 CEST, Enrico Nardelli ha scritto:
QUESTIONE: di chi è la responsabilità se il codice non lascia tracce sul dispositivo dell'utente che permettono di connettere le azioni illegali all'autore?
Di chi ha installato e rimosso il codice che compie atti illeciti.
E se non si trova in Europa? IMHO non dovrebbe cambiare.
E se non è possibile identificarlo? Resterà uno dei tanti criminali impuniti.
Ma anche chi distribuisce il browser potrebbe avere un problema se era consapevole del fatto che il suo browser consente il prodursi di danni. Per esempio, in Italia, l'art. 1229 c.c. non consente di escludere o limitare la responsabilità in caso di dolo o colpa grave.
Questo è molto interessante. Stiamo parlando (principalmente) di Mozilla (una fondazione), Google, Microsoft e Apple.
Sarebbe interessante costruire la prova del fatto che sono consapevoli del rischio di danni: questa prova potrebbe essere utilizzata contro di loro da chi subisce danni per dimostrare (se non il dolo) la colpa grave.
In concreto, l'utente che possiede il dispositivo potrebbe avere un problema di prova: come dimostra i fatti descritti nello scenario? Quindi, in concreto, potrebbe ritrovarsi a rispondere anche lui.
Purtroppo un utente comune non potrebbe dimostrare di aver subito l'attacco (un hacker in paranoia potrebbe mettersi in condizione di dimostrare un attacco attraverso un proxy HTTP ad hoc)
D'altro canto, nessuno potrebbe dimostrare che l'utente comune NON ha subito tale attacco.
Dunque l'utente dice che non è stato lui a compiere il reato informatico e nonostante le certe prove, nessuno può escludere che tali prove siano state forgiate ad arte durante un attacco di questo tipo.
Come se ne esce?
In concreto, si fa un processo e decide il giudice. m.c.
Giacomo
Il giorno 29 agosto 2018 08:50, Marco Ciurcina <ciurcina@studiolegale.it> ha scritto:
Ma anche chi distribuisce il browser potrebbe avere un problema se era consapevole del fatto che il suo browser consente il prodursi di danni. Per esempio, in Italia, l'art. 1229 c.c. non consente di escludere o limitare la responsabilità in caso di dolo o colpa grave.
Questo è molto interessante. Stiamo parlando (principalmente) di Mozilla (una fondazione), Google, Microsoft e Apple.
Sarebbe interessante costruire la prova del fatto che sono consapevoli del rischio di danni: questa prova potrebbe essere utilizzata contro di loro da chi subisce danni per dimostrare (se non il dolo) la colpa grave.
Qui ho scritto un bug report per Firefox: https://bugzilla.mozilla.org/show_bug.cgi?id=1487081 Archiviato qui https://web.archive.org/web/20180829134933/https://bugzilla.mozilla.org/show... (ma ricordate: la Wayback Machine non è progettata per essere usata come prova in tribunale!) Ho cercato di essere preciso (Enrico ti sarei grato se volessi dargli un occhiata per vedere che io sia stato sufficientemente chiaro), ma in realtà si tratta di una vulnerabilità veramente semplice da sfruttare, nonostante il sandboxing. Di oggi non credo di riuscire a riportarlo anche a Google, Microsoft e Apple (i cui browser sono equalmente vulnerabili).
Purtroppo un utente comune non potrebbe dimostrare di aver subito l'attacco (un hacker in paranoia potrebbe mettersi in condizione di dimostrare un attacco attraverso un proxy HTTP ad hoc)
D'altro canto, nessuno potrebbe dimostrare che l'utente comune NON ha subito tale attacco. [...] Come se ne esce? In concreto, si fa un processo e decide il giudice.
Dunque il giudice si potrebbe trovare di fronte - un cittadino italiano che afferma di essere innocente - Google, Microsoft, Apple e Mozilla interessate ad evitare uno scandalo - un analista forense non in grado di stabilire con certezza se le prove disponibili sul pc dell'imputato sono autentiche o sono state forgiate Non vorrei essere nei panni dell'imputato. Giacomo
Ciao, riprendo da questo thread per evitare di deragliare quello sul DoH di Firefox che merita le proprie riflessioni. 2018-08-30 18:31 GMT+02:00 Marco Ciurcina <ciurcina@studiolegale.it>:
Come utente di Firefox, grazie dell'accuratissimo lavoro: mi piacerebbe molto che Firefox implementi delle policy raffinate di gestione del codice JS.
Ho aggiunto ulteriori suggerimenti su come proteggere gli utenti di Firefox dagli attacchi indicati (a quanto pare da alcune comunicazioni private che ho ricevuto, non sono l'unico ad avere l'impressione che non abbiano capito il problema). Li ho riordinati in questa risposta ad un utente che mi chiedeva esattamente come risolvere il problema: https://medium.com/@giacomo_59737/i-compiled-a-detailed-bug-report-for-mozil... L'idea di fondo comunque e' semplice: eseguire un programma controllato da estranei dovrebbe essere una scelta consapevole fatta volta per volta. Opt-in, non Opt-out. (soprattutto considerata la totale assenza di usabilità dell'interfaccia utente che ti permette di disabilitare JavaScript e WebAssembly su Firefox!)
Trovo preoccupante che si scriva "It is incorrect to report this as a bug in firefox because this is intended behavior.".
Se e' per questo, in quel thread Mozilla Security mi ha anche spiegato cosa significa Turing complete! Devo sembrare davvero... giovane? Deve essere il mio inglese... :-) Io trovo preoccupante che Mozilla, che tutti considerano paladina della privacy (oggi su diversi social network erano tutti a celebrarla https://blog.mozilla.org/futurereleases/2018/08/30/changing-our-approach-to-... ) non risponda ad una domanda semplice come: i vostri utenti possono essere vittima di tutti questi attacchi o no? Ancor prima che preoccupato per gli utenti, sono rimasto SBALORDITO dalla mancanza di professionalità di questi sviluppatori. Comunque per Chromium (aka Google Chrome) non sono da meno: hanno chiuso la issue in meno di 10 minuti: https://bugs.chromium.org/detail?id=879381 visibile se non siete membri del SecurityTeam a https://shamar.github.io/documents/Mozilla-Bug1487081-Attachments/ChromiumBu... Si parla tanto di insegnare l'etica delle AI, ma qui abbiamo un enorme problema a monte: riscoprire l'etica delle persone. Giacomo Il 29 agosto 2018 16:11, Stefano Quintarelli <stefano@quintarelli.it> ha scritto:
On 29/08/2018 16:04, Giacomo Tesio wrote:
Non vorrei essere nei panni dell'imputato.
questo vale in generale... penso che solo chi conosce il penale ha una idea dei modi in cui puoi essere trascinato tuo malgrado in un procedimento...
ciao, s.
PS: so che dovrei aprire la stessa segnalazione anche a Microsoft e Apple, ma... non ho voglia di affrontare il loro supporto tecnico. Marco, possiamo assumere che siano ormai tutti informati? (lo sono... ma tu parlavi di "provare"... IANAL... etc...) Il 31 agosto 2018 02:54, Giacomo Tesio <giacomo@tesio.it> ha scritto:
Ciao, riprendo da questo thread per evitare di deragliare quello sul DoH di Firefox che merita le proprie riflessioni.
2018-08-30 18:31 GMT+02:00 Marco Ciurcina <ciurcina@studiolegale.it>:
Come utente di Firefox, grazie dell'accuratissimo lavoro: mi piacerebbe molto che Firefox implementi delle policy raffinate di gestione del codice JS.
Ho aggiunto ulteriori suggerimenti su come proteggere gli utenti di Firefox dagli attacchi indicati (a quanto pare da alcune comunicazioni private che ho ricevuto, non sono l'unico ad avere l'impressione che non abbiano capito il problema).
Li ho riordinati in questa risposta ad un utente che mi chiedeva esattamente come risolvere il problema: https://medium.com/@giacomo_59737/i-compiled-a-detailed-bug-report-for-mozil...
L'idea di fondo comunque e' semplice: eseguire un programma controllato da estranei dovrebbe essere una scelta consapevole fatta volta per volta. Opt-in, non Opt-out.
(soprattutto considerata la totale assenza di usabilità dell'interfaccia utente che ti permette di disabilitare JavaScript e WebAssembly su Firefox!)
Trovo preoccupante che si scriva "It is incorrect to report this as a bug in firefox because this is intended behavior.".
Se e' per questo, in quel thread Mozilla Security mi ha anche spiegato cosa significa Turing complete! Devo sembrare davvero... giovane? Deve essere il mio inglese... :-)
Io trovo preoccupante che Mozilla, che tutti considerano paladina della privacy (oggi su diversi social network erano tutti a celebrarla https://blog.mozilla.org/futurereleases/2018/08/30/changing-our-approach-to-... ) non risponda ad una domanda semplice come: i vostri utenti possono essere vittima di tutti questi attacchi o no?
Ancor prima che preoccupato per gli utenti, sono rimasto SBALORDITO dalla mancanza di professionalità di questi sviluppatori.
Comunque per Chromium (aka Google Chrome) non sono da meno: hanno chiuso la issue in meno di 10 minuti: https://bugs.chromium.org/detail?id=879381 visibile se non siete membri del SecurityTeam a https://shamar.github.io/documents/Mozilla-Bug1487081-Attachments/ChromiumBu...
Si parla tanto di insegnare l'etica delle AI, ma qui abbiamo un enorme problema a monte: riscoprire l'etica delle persone.
Giacomo
Il 29 agosto 2018 16:11, Stefano Quintarelli <stefano@quintarelli.it> ha scritto:
On 29/08/2018 16:04, Giacomo Tesio wrote:
Non vorrei essere nei panni dell'imputato.
questo vale in generale... penso che solo chi conosce il penale ha una idea dei modi in cui puoi essere trascinato tuo malgrado in un procedimento...
ciao, s.
In data venerdì 31 agosto 2018 03:02:17 CEST, hai scritto:
Marco, possiamo assumere che siano ormai tutti informati? Senz'altro gli utenti del forum che ti hanno risposto. :-)
(lo sono... ma tu parlavi di "provare" È difficile prevedere in astratto cosa si può provare in un processo: dipende dalle regole di procedura dello specifico processo (che dipendono dalla giurisdizione, dalla materia, dalla sensibilità del giudice, ecc.). Certamente, se fossi un legale che si occupa di un caso di questo tipo, proverei ad utilizzare la tua segnalazione (insieme ad altri elementi) per argomentare che sapevano o, quanto meno, avrebbero dovuto sapere. m.c.
Il 31 agosto 2018 10:51, Marco Ciurcina <ciurcina@studiolegale.it> ha scritto:
Certamente, se fossi un legale che si occupa di un caso di questo tipo, proverei ad utilizzare la tua segnalazione (insieme ad altri elementi) per argomentare che sapevano o, quanto meno, avrebbero dovuto sapere.
Aggiungi questo alle prove: https://twitter.com/giacomotesio/status/1035661109938806784 Non mi era proprio venuto in mente prima di contattare W3C e WHATWG! Giacomo
Il 28/08/2018 10:38, Marco Ciurcina ha scritto:
SCENARIO: il browser di un utente esegue codice che commette azioni illegali e che è stato scritto da un autore che non risponde alla legislazione italiana+europea.
QUESTIONE: di chi è la responsabilità se il codice non lascia tracce sul dispositivo dell'utente che permettono di connettere le azioni illegali all'autore? Di chi ha installato e rimosso il codice che compie atti illeciti. Ma anche chi distribuisce il browser potrebbe avere un problema se era consapevole del fatto che il suo browser consente il prodursi di danni. Per esempio, in Italia, l'art. 1229 c.c. non consente di escludere o limitare la responsabilità in caso di dolo o colpa grave. In concreto, l'utente che possiede il dispositivo potrebbe avere un problema di prova: come dimostra i fatti descritti nello scenario? Quindi, in concreto, potrebbe ritrovarsi a rispondere anche lui. m.c.
Grazie Marco per il chiarimento. Mi pare quindi che l'utente (noi tutti) corriamo il rischio di essere incastrati, in funzione della probabilità di essere coinvolti in uno scenario di questo genere. Non è certo una prospettiva allettante. Ciao, Enrico -- EN ===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== --
participants (5)
-
Davide Brunello -
Enrico Nardelli -
Giacomo Tesio -
Marco Ciurcina -
Stefano Quintarelli