firefox
Firefox dice addio a Flash. Pieno supporto a HTML5
Dopo aver individuato in Flash la causa principale dei crash di Firefox, nella versione 3.6.4 di Firefox era stata introdotta una tecnologia di crash protection per evitare la chiusura improvvisa del browser a causa di errori durante la riproduzione di video o altri contenuti Flash.
E’ ormai certo che una delle caratteristiche principali di Firefox 4, in arrivo tra poche settimane, sarà il pieno ilpieno supporto ad HTML5.
“HTML5 è la risposta nel lungo termine”, ha dichiarato Jay Sullivan, vice presidente di Mozilla Firefox “e la strada intrapresa è quella.”
Pwn2own: Ancora nessuna crepa per Chrome
Anche con il grosso incentivo promesso da Google come premio per chi avesse trovato una vulnerabilità nel browser Chrome, ad oggi non risulta nessun ricercatore prenotato per tentare la sfida di hacking.
Se Chrome dovesse uscire illeso anche a questa competizione , sarebbe l’unico ad essere sopravvissuto a ben 3 Pwn2Owns consecutivi. In poche parole un record.
Durante il primo giorno del contest il team francese di Vupen è riuscito a violare Safari in ben 5 secondi aggiudicandosi $15.000 e il portatile MacBook Air in cui era stato installato il browser.
Sarà utile sapere che l’exploit utilizzato sarà valido anche con Safari 5.0.4, rilasciato da Apple solo pochi minuti prima dell’inizio della competizione.
Oggi sono previste le sfide per quattro sistemi operativi per smartphone (iOS di Apple, Android di Google, Microsoft Windows 7 e BlackBerry OS di RIM), poi toccherà anche a Firefox di Mozilla.
0Report Secunia 2010. Analizziamo i dati
Secunia.com ha pubblicato il report del 2010 sulle analisi delle vulnerabilità e dei vettori di attacco maggiormente utilizzati.
L’analisi abbraccia un arco temporale che parte dal 2005 ed estrapola i dati del 2010 basandosi sui primi 6 mesi.
Balza subito all’attenzione come , nella prima metà del 2010, Apple abbia riscontrato un numero maggiore di falla di sicurezza di ogni altro vendor, lasciando al secondo posto Oracle e al terzo la Microsoft.
Bisogna fare attenzione però ad interpretare i dati, perchè a prima vista , il sistema operativo Mac OS X potrebbe apparire il più insicuro in circolazione. Invece si osserva come le falle di sicurezza riguardino software di terze parti, come QuickTime. Adobe , con Fash e Adobe Reader, e Oracle con Java appaiono come responsabili di molte falle di sicurezza.
Basti pensare che nel report di 5 anni fa, compariva un numero molto alto di falle di sicurezza proprietarie dei software Microsoft rispetto a quelle di terze parti. Secunia analizzando i dati, ha affermato che le analisi sembrano supportare la teorica che un elevato livello di vendite implica un alto numero di vulnerabilità scoperte.
Osservare Firefox, Safari e Java occupare i primi posti del podio la dice lunga su come i prodotti di terze parti siano i principali artefici delle vulnerabilità su Windows . Trovare Adobe occupare 4 posti in classica, sembra essere una conferma di quello che gli addetti del settore sostengono da tempo: i reader Acrobat sono un vettore di attacco privilegiato e quindi l’interesse nella scoperta di exploit è più elevato. Se non si può attaccare componenti del sistema, si dirottano le attenzioni sulle applicazioni di terze parti.
Dal canto suo Microsoft con i suoi prodotti proprietari non è certo rimasta indietro nella, poco invidiabile classifica delle vulnerabilità
Passiamo ad osservare i modi attraverso i quali sono stati condotti gli attacchi. Notiamo come, in percentuale, rispetto agli Advisory, siano più elevati i dati per gli attacchi in remoto e molto meno per quelli in locale e da rete locale. Anche questo potrebbe indurre a pensare che queste due ultime tipologie di attacco siano meno pericolose. Anche se in percentuale minone, gli attacchi interni sono i più pericolosi perchè sferrati proprio da dipendenti o comunque personale interno che , conoscendo bene l’infrastruttura di rete può facilmente massimizzare le conseguenze dell’attacco. Un attaccante remoto invece devo sfruttare dei punti deboli, ma essenzialmente non ha conoscenza dell’intera infrastruttura della rete su cui sta penetrando.
Da notare la crescita esponenziale de “Exposure of sensitive information” che conferma come l’esposizione dei dati sensibili sia al centro delle preoccupazioni e rappresenti il nuovo problema delle aziende e delle pubbliche amministrazioni.
Mozilla sniffer. Furto di password con un Add-on per Firefox
Con un comunicato nel blog, Mozilla ha reso noto come un add-on , pubblicato il 6 Giugno 20010 è stato rimosso perchè pericoloso e nocivo per la sicurezza dei dati degli utenti che lo avevano installato.
Mozilla Sniffer,uno dei migliaia di add-on per Firefox, infatti trasmetteva le username e le password verso un indirizzo IP stabilito ogni volta che una form veniva compilata e inviata on line. L’IP in questione è 74.220.219.77, server localizzato in Amerca.
Questo il codice che indentifica le credenziali di accesso e le inoltra al server indicato precedentemente
Ho effettuato un trace dell’indirizzo del server che viene localizzato in America
Mozilla ha sottolineato che l’add-on Mozilla Sniffer si trovava in uno stato sperimentale tale da non essere controllato manualmente dal suo staff ( 
). Ha inoltre precisato che , come tutti gli altri add-on in fase di testing, al momento del download vengono forniti degli avvisi sui potenziali rischi per la sicurezza, lasciando agli utenti la facoltà di procedere con l’installazione.
A prescindere da questo loro giustificazione appare abbastanza grave che un keylogger sia rimasto sul portale ufficiale degli add-on di Firefox per oltre un mese, un arco di tempo durante il quale, dai dati forniti da Mozilla, l’estensione è stata scaricata circa 1800 volte ed utilizzata quotidianamente da 334 utenti.
Mozilla ha già comunicato di ave provveduto ad inviare delle notifiche a tutti quelli utenti che avevano installato l’add-on incriminato, raccomandando loro di eliminarlo e di cambiare tutte le password utilizzate nel frattempo sul Web.
Mozilla ha inoltre cancellato dal suo portale la versione 3.0.1 di CoolPreviews, che a suo dire contiene una grave vulnerabilità di sicurezza causata dalla possibilità di eseguire codice Javascript da remoto. In ogni caso, è già disponibile la nuova versione rivista e corretta.
Risulta certamente singolare come l’attenzione rivolta da Mozilla nella ricerca di trojan, virus o exploit nei suoi prodotti non sia stata applicata in questo caso. Sbagliare è umano e infatti stanno lavorando a una nuova procedura per evitare che questo tipo di problema possa ripresentarsi in futuro..
0Bug Hunter Wanted! Mozilla alza il premio !
Circa sei anni fa il quartier generale di Firefox presentò il Security Bug Bounty Program, un progetto decisamente interessante che premia coloro i quali identificano falle di sicurezza nel browser Firefox e nei loro altri prodotti. I premi furono da prima fissati in 500 dollari, ma è notizia di pochi giorni quella che riporta un aumento fino a 3000 dollari per tutti quelli esperti in sicurezza informatica che aiuteranno Mozilla a scovare bug nascosti nei loro prodotti.
Lucas Adamski, capo della divisione security engineering di Mozilla spiega con queste parole la loro iniziativa
“Molte cose sono cambiate nei sei anni dall’annuncio del nostro programma. Per questo sarebbero necessarie migliori condizioni economiche per chi fa “la cosa giusta”, ovvero per quegli esperti specializzati nella caccia ai bug.”
Una precisazione però è stata fatta dallo stesso, che ha sottolineato come Mozilla non riconoscerà nessuna ricompensa nel caso in cui ritenga che il lavoro svolto nella scoperta di falle di sicurezza e/o bug non sia stata condotto nel rispetto degli utenti stessi.
Ottima politica !
0HTTPS Everywhere – Firefox incrementa la sicurezza della navigazione
Si chiama HTTPS Everywhere ed è una estensione di Firefox nata dalla collaborazione tra il Tor Project ed Electronic Frontier Foundation con l’intento di criptare le comunicazioni web e il cui sviluppo è stato direttamente ispirato all’opzione di ricerca cifrata lanciata da Google.
La maggior parte dei siti web infatti offre un limitato supporto alla dei dati mediante HTTPS, rendendo di conseguenza problematico il suo utilizzo integrale.
L’estensione HTTPS Everywhere risolve alcuni di questi problemi riscrivendo tutte le varie richieste d’interazione in HTTPS in questo modo
<ruleset name="Twitter"> <rule from="^http://twitter\.com" to="https://twitter.com"/> <rule from="^http://www\.twitter\.com" to="https://twitter.com"/> </ruleset>
Ovviamente in pieno stile opensource, l’utente può scrivere le proprie regole di reindirizzamento.
Da notare che molti siti web includo contenuti di domini di terze parti che non sono compatibili con il protocollo HTTPS. Ve ne renderete conto osservando l’icona a forma di lucchetto che rimarrà aperto in caso di comunicazioni via HTTP e chiuso nel caso di comunicazioni HTTPS.
Utilizzando questa estensione si puà essere certi che ogni ricerca avviata da un browser possa risultare cifrata. Dunque sarà possibile avviare comunicazioni sicure con siti come Wikipedia, Twitter, Facebook e ovviamente quelli di EFF e Tor Project.
Vi indico il sito da cui potete scaricare la beta del prodotto
Special Partners
Segui EndlessLab.org
Apple News
- Scarica l’applicazione ufficiale “12 giorni di regali” 21 dicembre 2011
- Apple presenta iPhone 4S, iOS 5 e iCloud. 4 ottobre 2011
- iCloud disponibile per Mac, PC e dispositivi iOS. 4 ottobre 2011
- Nuove funzioni e nuovi prezzi per iPod touch e iPod nano. 4 ottobre 2011
- Siamo aperti: Apple Store, Centro Sicilia 23 settembre 2011
- Siamo aperti: Apple Store, Via Rizzoli 13 settembre 2011
- Siamo aperti: Apple Store, Campania 3 settembre 2011
- Lion conferma le aspettative 22 agosto 2011
- Bombolone, ovvero il primo film italiano girato con iPod touch. 16 agosto 2011
- Siamo aperti: Apple Store, I Gigli 13 agosto 2011
Segnalato da:
