L'indiscreta fessura di Mozilla

Tutti i browser basati sul motore di Mozilla contengono uno spiffero attraverso cui sarebbe possibile, per i siti Web, spiare le abitudini dell'utente. Per ora niente patch

Roma - Il ricercatore di sicurezza Sven Neuhaus ha recentemente aggiornato un advisory che porta all'attenzione di utenti e sviluppatori un baco di Mozilla sulla privacy. Nonostante sia stato segnalato per la prima volta lo scorso maggio, e aggiornato a giugno, il bug non è ancora stato corretto.

Il problema, che sembra interessare tutti i browser basati sul motore di Mozilla 0.9x, 1.x o 1.2alpha - fra cui Netscape 6/7, Galeon 1.2.x e Chimera 0.5 -, consiste nella possibilità, da parte di un sito Web, di conoscere l'URL al quale l'utente si è connesso dopo aver lasciato il sito e se l'URL in questione sia stato digitato a mano o cliccato da un link.

Il bug, sfruttabile attraverso poche righe di Javascript, potrebbe essere usato dai siti Web per tracciare le abitudini degli utenti. Neuhaus dà una dimostrazione del problema in questa pagina, mentre qui è possibile trovarne la descrizione originale come riportata sul sistema di gestione dei bug di Mozilla.
Neuhaus ha spiegato che, in attesa di una patch che corregga l'inconveniente, è possibile aggirare il problema disabilitando Javascript.
163 Commenti alla Notizia L'indiscreta fessura di Mozilla
Ordina
  • in definitiva, il team mozilla ha sonnecchiato per 2 mesi dimenticandosi del problema, ma quando gli e' stato dato un calcio nel culo in 48 ore ha fornito una patch. Non male direi... pero' rimane la questione. Perche' per 2 mesi se ne sono sbattuti? forse perche' si sono dimenticati del problema (probabilmente ritenuto banale o non critico? dai commenti del bug non si direbbe) cavalcando la necessita' di introdurre novita' nelle versioni a venire?

    Ottimo lavoro team mozilla, per la rapidita' con cui avete creato la patch una volta avvenuto il full-disclosure, ma una tirata d'orecchi ci sta bene perche' con un baco sotto il naso avete tirato dritto per due mesi.

    ah... chi e' che diceva che il full disclosure non andava fatto?

    http://punto-informatico.it/p.asp?i=37971
    http://punto-informatico.it/p.asp?i=39227
    http://punto-informatico.it/p.asp?i=37936
    non+autenticato
  • Se a qualcuno interessa ancora,
    il bug e' stato corretto;
    le nuove nightly build di mozilla
    (sia 1.0.x che 1.x) includono la patch.
    non+autenticato
  • volevo scriverlo io, ma sono arrivato tardi!!!
    se sapevo mettevo la svegliaSorride

    ciao
    non+autenticato


  • - Scritto da: godzilla
    > volevo scriverlo io, ma sono arrivato
    > tardi!!!
    > se sapevo mettevo la svegliaSorride
    >
    > ciao

    mi dispiace!
    :)

    <OT>
    E' un po' che ci penso e tu mi sembri la persona
    giusta; che ne dici di collaborare per realizzare
    un sito in italiano di evangelizzazione su mozilla?
    se lo conosci, mi piacerebbe fare una specie di
    versione italiana mozillazine.org;
    se l'idea ti stuzzica, e se hai tempo,
    ne potremmo discutere in una sede piu' appropriata.
    Grazie e ciao.
    </OT>

    non+autenticato
  • vi si chiesti cosa succederebbe se _tutti_
    usassero IE e non ci fossero browser concorrenti..
    niente opera ,niente mozilla ...
    _solo_ IE
    su questi forum si parla troppo di open source
    e troppo poco di software libero
    non+autenticato


  • - Scritto da: illegalinstruction
    > vi si chiesti cosa succederebbe se _tutti_
    > usassero IE e non ci fossero browser
    > concorrenti..
    > niente opera ,niente mozilla ...
    > _solo_ IE
    > su questi forum si parla troppo di open
    > source
    > e troppo poco di software libero

    succederebbe quello che è successo per anni, alla M$ ZERO SVILUPPO e ZERO DEBUGGING...

    chissà come la pensava ZioBill ai tempi di windows 95Sorride
    non+autenticato


  • - Scritto da: Numero28
    >
    >
    > - Scritto da: illegalinstruction
    > > vi si chiesti cosa succederebbe se _tutti_
    > > usassero IE e non ci fossero browser
    > > concorrenti..
    > > niente opera ,niente mozilla ...
    > > _solo_ IE
    > > su questi forum si parla troppo di open
    > > source
    > > e troppo poco di software libero
    >
    > succederebbe quello che è successo per anni,
    > alla M$ ZERO SVILUPPO e ZERO DEBUGGING...
    >
    > chissà come la pensava ZioBill ai tempi di
    > windows 95Sorride

    Scusami l'OT , mi sto interessanto allo UML Linux in quanto appassionato cultore del VM , tu conosci qualcuno che abbia fatto esperimenti ?

    ti ringrazio A bocca aperta


    non+autenticato
  • Guarda un po'.... fa schifo esattamente come IE.
    Alla faccia della perfezione dell'open source
    non+autenticato
  • arrivi tardi... i troll veri sono già passati
    non+autenticato
  • si, ma ci siamo fermati un attimo ad aspettarti
    non+autenticato
  • Se tutti cercassero di bucare con la stessa forza e costanza i prodotti open source tra cui Mozilla, Linux, ecc. allora anche li salterebbero fuori dei buchi.
    Dai non dite di no.

    Allora voglio dire che l'importante è rilasciare tempestivamente patch, questo Microsoft lo fa e lo fa abbastanza bene.
    Altri non so, non mi metto nemmeno nei panni di chi dice" Beh...tanto io ho il codice sorgente", vorrei chiedergli "Ma perchè......tu lo capisci quel codice sorgente?"

    Facciamo i seri.


    Victor
    non+autenticato
  • - Scritto da: Victor
    > Se tutti cercassero di bucare con la stessa
    > forza e costanza i prodotti open source tra
    > cui Mozilla, Linux, ecc. allora anche li
    > salterebbero fuori dei buchi.
    > Dai non dite di no.

    una parola: Apache

    > Allora voglio dire che l'importante è
    > rilasciare tempestivamente patch, questo
    > Microsoft lo fa e lo fa abbastanza bene.

    http://www.pivx.com/larholm/unpatched/

    una (non certa del giugno 2000) e una del gennaio 2002.
    uno a uno, palla al centroOcchiolino
    non+autenticato


  • - Scritto da: Victor
    > Se tutti cercassero di bucare con la stessa
    > forza e costanza i prodotti open source tra
    > cui Mozilla, Linux, ecc. allora anche li
    > salterebbero fuori dei buchi.
    > Dai non dite di no.

    forse. ma tu credi *davvero* che nessuno cerchi mai di bucarli? anche lì ci sono i bug, eccome! solo che ci sono anche le patch, e quasi sempre ci sono in poche ore...

    > Allora voglio dire che l'importante è
    > rilasciare tempestivamente patch, questo
    > Microsoft lo fa e lo fa abbastanza bene.

    'nzomma... tranne casi rari e particolarmante gravi ogni volta passano diverse settimane

    > Altri non so, non mi metto nemmeno nei panni
    > di chi dice" Beh...tanto io ho il codice
    > sorgente", vorrei chiedergli "Ma
    > perchè......tu lo capisci quel codice
    > sorgente?"

    be', io forse no, ma qualcuno nella comunità sicuramente sì. perché è questo che gli utenti di sw closed non saranno mai: una _vera_ comunità

    >
    > Facciamo i seri.

    appunto.
    ciao
    non+autenticato


  • - Scritto da: Victor
    > Se tutti cercassero di bucare con la stessa
    > forza e costanza i prodotti open source tra
    > cui Mozilla, Linux, ecc. allora anche li
    > salterebbero fuori dei buchi.
    > Dai non dite di no.

    Assolutamente no, i prodotti OpenSource ricevono spesso più attenzioni delle (spesso inesistenti) controparti clsed al punto che alcuni per provare la sicurezza dei loro prodotti arrivano ad offrire premi in denaro per dei bug-report (qmail ? mai sentito ?).
    Capire il codice è un gioco da bambini, capire un progetto ampio come mozilla è difficile: gli sviluppatori di mozilla servono anche a quello.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | Successiva
(pagina 1/5 - 24 discussioni)