Oops! Opera incespica su JavaScript

Il bug hunter Guninski ha scovato in Opera alcune vulnerabilitÓ legate a JavaScript che potrebbero mettere a repentaglio la privacy degli utenti. Risponde Opera Software

Oops! Opera incespica su JavaScriptWeb - Il cacciatore di bachi Georgi Guninski pare aver distolto per un attimo l'attenzione dai prodotti Microsoft ed essersi baloccato un po' con Opera, un browser sempre pi¨ popolare che proprio di recente Ŕ arrivato alla prima beta della versione 6.0.

Guninski ha scovato nelle ultime versioni stabili di Opera, la 5.12 per Windows e la 5.0 per Linux, - ma non esclude che possano essere interessate anche altre versioni o piattaforme - diverse vulnerabilitÓ legate a JavaScript che, a suo dire, "consentono ad uno script inserito in una pagina di accedere ad una pagina ed alle sue proprietÓ su di un altro dominio".

Questo tipo di vulnerabilitÓ, che Guninski chiama "Same Origin Vulnerability", consentirebbe ad uno script di accedere a cookie e link di un dominio arbitrario fra quelli a cui l'utente locale ha accesso, con tutte le conseguenze immaginabili su privacy e sicurezza.
"E' anche possibile - spiega il bug hunter - che uno script legga i link contenuti nella cache utente e nell'history".

Alla faccia di Microsoft e compagnia bella, che vorrebbero non fossero divulgate informazioni troppo dettagliate sui bachi e soprattutto i codici di esempio per sfruttarli (exploit), Guninski non ha mancato, anche in questo caso, di dimostrare con un breve script alcune delle vulnerabilitÓ da lui scoperte.

Guninski ha classificato queste debolezze di Opera a medio rischio ed ha consigliato agli utenti di disabilitare JavaScript: a questo proposito, Opera Software suggerisce di attivare l'opzione "Use cookies to trace password protected documents", una funzione che impedisce, fra le altre cose, il caching delle password, l'archiviazione dei cookie e delle URL nell'history.

"Molte tecnologie del Web - ha scritto Opera Software in una mail di risposta a Guninski - non sono molto sicure, ma non Ŕ conveniente per l'utente disattivarle. Questo Ŕ il motivo per cui all'utente dovrebbe essere data la possibilitÓ di bloccare le informazioni relative alla privacy".
TAG: privacy
73 Commenti alla Notizia Oops! Opera incespica su JavaScript
Ordina
  •    Infatti, fosse un prodotto della micro avrebbe avuto non un bucco ma una cavverna.
    Saluti
    non+autenticato
  • Non è un un buco di un prodotto Microsoft, quindi nessun hacker lo userà per fare danno.
    non+autenticato
  • ...dov'è ??
    tento di stampare su una stampante in rete ( su un pc win) da un'altro pc win ( prima 98, poi 98SE, poi 2000..) e opera inevitabilmente crasha
    all'istante, dopo il comandi di stampa.
    Ho compilato anche il bug form molte versioni di opera fa ma a tutt'oggi ( ver 5.12 su win 2000 sp 2 ) ho ancora il guaio....capita ad altri o sono un pò sfigato ? la printer è una laser in emu HP lj4....idee ? soluzioni ? ( ..si, lo so...installa linux ...ma ho del software che non gira su linux , cavolo ...)
    non+autenticato
  • - Scritto da: fiducia_zero
    > ...dov'è ??
    >   tento di stampare su una stampante in rete
    > ( su un pc win) da un'altro pc win ( prima
    > 98, poi 98SE, poi 2000..) e opera
    > inevitabilmente crasha
    > all'istante, dopo il comandi di stampa.

    Per il momento hai provato a stampare una pagina per volta? Lo so che non è il massimo, ma io ho problemi simili e di norma così funziona...
    non+autenticato
  • si , ho provato...ma a volte crasha comunque..prima non lo avevvo specificato, ma i miei colleghi in ufficio hanno lo stesso guaio...
    è strano, è dalla versione 4 beta che tento di stampare.......
    non+autenticato
  • Si ebbe a criticare orsù poco tempo addietro l'IE6 per un giullarico problemuccio di biscottini e testè mi metto a leggere di cotali forellini sull'Opera Linuxiana. Ohhhh, che disdetta... come mi ebbi a dispiacer per tutti i felloni testocloni pinguineggianti.
    Nel mezzo del cammin dell'attuale messaggio mi soffermai inoltre nell'additar anche il supportino javoso del Mozilliano giocattoluccio, che mai ebbe a funzionar.
    Mai cosa sgangherata ebbe a piacer tanto al fellone pinnato, che su un biscottino cadde e ne rimase handicappato.
    non+autenticato
  • complimenti per la poesia...ma opera è multipiattaforma non è linux-esclusivo!
    non+autenticato
  • E Java in Mozilla funziona.
    non+autenticato
  • - Scritto da: A.C.
    > E Java in Mozilla funziona.

    E allora? Nel senso "In Opera no"?
    Al di là del fatto che le poche applet che non vanno hanno problemi perchè sviluppate per uno specifico browser, senza contare le applet fatte su ms javavm.
    E cmq potremmo pure dire che l'xml mozilla praticamente non sappia nemmeno cosa sia, a quanto mi risulta...

    Saluti
    non+autenticato
  • - Scritto da: MaurizioB
    > - Scritto da: A.C.
    > > E Java in Mozilla funziona.
    >
    > E allora? Nel senso "In Opera no"?
    > Al di là del fatto che le poche applet che
    > non vanno hanno problemi perchè sviluppate
    > per uno specifico browser, senza contare le
    > applet fatte su ms javavm.
    > E cmq potremmo pure dire che l'xml mozilla
    > praticamente non sappia nemmeno cosa sia, a
    > quanto mi risulta...

    Calma, calma... stavo solo rispondendo al simpaticone che ha iniziato il thread. Non so se Java funzioni in Opera o meno, l'ho disabilitato anche in Mozilla e vorrei veder morire gran parte delle applet, dato che di solito non aggiungono *nulla* al sito, anzi...

    A me Opera non piace tanto a causa della GUI e non lo uso (ma la 6 è *molto* meglio della 5).
    Uso Mozilla (in Win2k) e Galeon (in Linux) perché mi piacciono di più e perché sono Open Source (quando ho la possibilità di scegliere parteggio sempre per l'OS ;o).

    Per l'XML... beh dipende, a volte mi adatto, soffro terribilmente e uso IE, di solito lo apro con un editor.

    Ciao
    non+autenticato
  • > Al di là del fatto che le poche applet che
    > non vanno hanno problemi perchè sviluppate
    > per uno specifico browser, senza contare le
    > applet fatte su ms javavm.

    la msjavavm non esiste piu' per legge

    > E cmq potremmo pure dire che l'xml mozilla
    > praticamente non sappia nemmeno cosa sia, a
    > quanto mi risulta...
    >
    > Saluti

    in mozilla xml lo puoi usare solo con i css per ora
    e' previsto il supporto per xslt, ma non e' ancora implementato

    ciao
    non+autenticato
  • - Scritto da: Valvassino
    > Si ebbe a criticare orsù poco tempo addietro
    > l'IE6 per un giullarico problemuccio di
    > biscottini e testè mi metto a leggere di
    > cotali forellini sull'Opera Linuxiana.

    adesso mi speghi che ca22o c'entra linux con opera... opera non e' nemmeno opensource!
    secondo me in questo forum c'e' gente che o ha voglia di dire puttanate oppure ha il cervello grande come un paramecio (ma uno piccolo!!).

    > Nel mezzo del cammin dell'attuale messaggio
    > mi soffermai inoltre nell'additar anche il
    > supportino javoso del Mozilliano
    > giocattoluccio, che mai ebbe a funzionar.

    da me funzia, giusto per il gusto di farlo funzionare.. la jvm mi serve per altre ragioni, ma gli applet java che ci sono sul web al 99.999999999 % sono stronzate immani quindi non e' una gran perdita.

    non+autenticato
  • - Scritto da: munehiro
    > adesso mi speghi che ca22o c'entra linux con
    > opera... opera non e' nemmeno opensource!
    > secondo me in questo forum c'e' gente che o
    > ha voglia di dire puttanate oppure ha il
    > cervello grande come un paramecio (ma uno
    > piccolo!!).
    <cut>
    > ragioni, ma gli applet java che ci sono sul
    > web al 99.999999999 % sono stronzate immani
    > quindi non e' una gran perdita.

    Eeeeh, quando munehiro s'incazza Occhiolino

    Un MaurizioB che credeva si scrivesse Muheniro...

    Saluti
    non+autenticato
  • Ma chi e' questo Munehiro ? Un esperto in inutili esercizi di stile, un accademico nostalgico o peggio ancora un altro depositario della verita'!?

    Tienitele tutte le tue certezze.
    non+autenticato
  • - Scritto da: Paolo
    > Ma chi e' questo Munehiro ? Un esperto in
    > inutili esercizi di stile, un accademico
    > nostalgico o peggio ancora un altro
    > depositario della verita'!?

    sono uno che quando parla va giu' peso

    > Tienitele tutte le tue certezze.

    probabilmente non te ne faresti nulla, perche' forse ti riconosci nella questione legata ai parameci....
    non+autenticato
  • Evidentemente non hai la più pallida idea di come far rullare un LiNuX!
    Io sviluppo da anni applicazioni intranet/extranet/internet web-based. Ho fatto installare centinaia di LinuxBox con Mozilla 0.9.3, e ti assicuro che di scazzi con JS o altro non ne ho mai avuti, tanto meno i miei clienti!
    Quindi vedi di connetere il cervello prima di parlare senza usare M$!!
    non+autenticato
  • Nemmeno il miglior browser in circolazione
    non+autenticato
  • Perchè leggo ovunque (anche sulla homepage di Opera, mi pare) che è il browser "più veloce del mondo"? E' bello sicuramente, tra l'altro è molto ma molto ben organizzato e la funzione delle finestre multiple è una pacchia A bocca aperta

    Però, cronometro alla mano (visto che un amico mi ha fatto una testa così qualche giorno fa) ho provato e notato che IE (versione 6.0, con WindowsXP) è di gran lunga più veloce.

    Parliamo di secondi ovviamente, ci mancherebbe. Però moltissime pagine sono proprio "molto più veloci" con IE he non con Opera. Addirittura Google me lo apre più rapidamente IE che non Opera.

    Siccome ho provato con un cronometro, sullo stesso PC e con la stessa connessione (ADSL Infostrada), volevo capire a cosa si riferisce la velocità "maggiore" dichiarata dal sito di Opera e da un sacco di utenti.

    Saluti a tuti!
    non+autenticato
  • - Scritto da: Alberto
    > Perchè leggo ovunque (anche sulla homepage
    > di Opera, mi pare) che è il browser "più
    > veloce del mondo"? E' bello sicuramente, tra
    > l'altro è molto ma molto ben organizzato e
    > la funzione delle finestre multiple è una
    > pacchia A bocca aperta
    >
    > Però, cronometro alla mano (visto che un
    > amico mi ha fatto una testa così qualche
    > giorno fa) ho provato e notato che IE
    > (versione 6.0, con WindowsXP) è di gran
    > lunga più veloce.
    >
    > Parliamo di secondi ovviamente, ci
    > mancherebbe. Però moltissime pagine sono
    > proprio "molto più veloci" con IE he non con
    > Opera. Addirittura Google me lo apre più
    > rapidamente IE che non Opera.
    >
    > Siccome ho provato con un cronometro, sullo
    > stesso PC e con la stessa connessione (ADSL
    > Infostrada), volevo capire a cosa si
    > riferisce la velocità "maggiore" dichiarata
    > dal sito di Opera e da un sacco di utenti.


    E' riferito agli altri sistemi operativi.
    IE6 su Windows XP è molto più veloce di IE6 su qualsiasi altro Windows precedente (ad occhio un buon 50%)... ovvio che per ragioni di pubblicità, per Opera conviene riferirsi a IE6 non su WinXP...


    Byee
    Zeross
    non+autenticato
  • sotto MacOS 9 o X Opera non è affatto il più veloce. Rimane nella media senza punte di sorta.
    non+autenticato
  • boh a me pare leggermente + veloce di N,IE o Omniweb....
    non+autenticato
  • Allora non capisco il vantaggio. Escludendo il discorso comemrciale tipo "così non usi Microsoft", ovviamente. Cioè se io ho acquistato Windows, è chiaro che mi va bene usare Windows o cmq, se me ne fergo della storia BillGates, almeno "apprezzo" o "mi va bene" il suo Os. A quel punto, oltre all'OS, ho anche un navigatore (Explorer).

    Per quale motivo devo usarne uno diverso? Devo avere dei vantaggi reali, penso. Opera (che sto usando un po'), è molto bello come accessori ma alla fine, la cosa che più mi interessa e cioè la navigazione, è molto sotto IE. O se non "molto", sicuramente abbastanza da notarlo e fare un paragone.

    A quel punto resto su IE. Idem con netscape (ma non ho provato Mozilla). Super acessoriato ma ci mette 5 volte tanto a partire (IE è immediato, click e si apre) e naigare è una pena (veloce ma meno di IE).

    Anche Opera cmq non è un siluro all'avvio, almeno sul mio PCDeluso (che è pur sempre un 1400Mhz + 512 di ram).
    non+autenticato


  • - Scritto da: Alberto

    > Per quale motivo devo usarne uno diverso?
    > Devo avere dei vantaggi reali, penso. Opera
    > (che sto usando un po'), è molto bello come
    > accessori ma alla fine, la cosa che più mi
    > interessa e cioè la navigazione, è molto
    > sotto IE.


    Spiegare, prego.
    Io mi trovo dannatamente + comodo a navigare con Opera.
    L'interfaccia MDI (OK, de gustubus), migliore gestione frame, meno buchi di sicurezza, maggiore velocità di rendering (in genearale, anche se a volte è il contrario), client di posta carino, migliore cronologia, maggiore stabilità, recover in caso di crash....



    non+autenticato
  • > L'interfaccia MDI (OK, de gustubus)

    L'interfaccia va benone anche su IE direiSorride

    > migliore gestione frame

    Cioè? Cosa vuoi dire, non capisco. "Migliore" in che senso, cosa ha che non funzica quella di IE? (Netscape ha dei problemi evidenti fino alla versione 4.7 ma non la 6.x).


    > meno buchi di sicurezza

    Ci sono svariate patch, ma ponendolo sullo stesso piano (no patch) sono d'accordo su questo


    > maggiore velocità di rendering (in genearale,
    > anche se a volte è il contrario)

    Ecco qui io la penso in modo molto diverso. Lo trovo ben più lento. Se ci fai caso è per quello che mi "lamentavo", per modo di direSorride


    > client di posta carino

    "Carino" è forteSorride ma.. che ha OE che non va?Sorride


    > migliore cronologia

    Ok, anche se non la uso quindi in effeti è un "tool" che non mi serve.


    > maggiore stabilità

    Hmmmm questo è curioso. Con IE non ho problemi di sorta, per ora. Diciamo che non ne ho su IE 6 (XP) e su IE 6.0 aggiornato sul 2000. Parli di crsh "schermo blu"? o Crolli? Di crolli ne ho avuti un paio su XP ma in un periodo abbastanza lungo (due mesi).


    > recover in caso di crash....

    Ok questa in IEmanca (al massimo si riapreSorride

    Resto però dell'idea che Opera abbia il difeto della lentezza e della non totale compatibilità, a mio avviso due problemi risolvibili ma attualmente presenti e penso rilevanti.
    non+autenticato


  • - Scritto da: Alberto

    > > migliore gestione frame
    >
    > Cioè? Cosa vuoi dire, non capisco.

    forse avrei dovuto dire che Opera (ma anche Nav e Moz) ha quelche tool in + per gestirli, tipo "reload frame" o "open frame in new window" che uso piuttosto spesso.

    > > maggiore velocità di rendering (in
    > genearale,
    > > anche se a volte è il contrario)
    >
    > Ecco qui io la penso in modo molto diverso.
    > Lo trovo ben più lento. Se ci fai caso è per
    > quello che mi "lamentavo", per modo di dire

    Io ho la sensazione opposta. Conta che ho un PC piuttosto vecchio.

    > "Carino" è forteSorride ma.. che ha OE che non
    > va?Sorride


    Il multiaccount non proprio impeccabile (es. come gestisci gli indirizzi in bcc?), il fatto di avere le mail in HTML di default. Il fatto di spacciarsi per un newsreader.


    > sul 2000. Parli di crsh "schermo blu"? o
    > Crolli?

    PArlo di "questo programma.... terminato" Con (di solito) necessità di riavviare il sistema.



    > > migliore cronologia
    >
    > Ok, anche se non la uso quindi in effeti è
    > un "tool" che non mi serve.

    Infatti, è difficile dire qule è il "browser migliore" pervchè non tutti usano i browser allo stesso modo.
    PEr il mio uso, sicuramente Opera è il browser migliore


    non+autenticato
  • se è per questo, all'uscita di ogni nuova versione di Opera si dichiara che, a partire da questa nuova versione, il browser è completamente compatibile con gli standard ECMAScript e CSS2, il che tra l'altro si rivela ogni volta palesemente falso.
    non+autenticato
  • - Scritto da: Fabio Napodano
    > se è per questo, all'uscita di ogni nuova
    > versione di Opera si dichiara che, a partire
    > da questa nuova versione, il browser è
    > completamente compatibile con gli standard
    > ECMAScript e CSS2, il che tra l'altro si
    > rivela ogni volta palesemente falso.

    Al di là del fatto che non è mai stato detto nè il primo ne il secondo nelle ultime versioni (specie la 6), cmq sempre meglio di IE (che non è da meno per inesattezze in Ecma/javascript e css. O peggio di Windows, che ad ogni versione risulta "più veloce", il che si rivela ogni volta *OVVIAMENTE* falso!

    Saluti
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)