Alfonso Maruccia

Firefox allergico ai plugin Microsoft

Il panda rosso e Redmond si fanno la guerra a suon di componenti aggiuntivi, installati surrettiziamente dalla seconda e bloccati a causa di problemi di sicurezza dalla prima. Ma per qualcuno la cura sembra peggiore del male

Roma - La disponibilità o la presenza coatta di componenti aggiuntivi sulle piattaforme web dei concorrenti, il caso Google Chrome Frame sta lì a dimostrarlo, è un terreno di scontro di crescente rilevanza un po' per tutti i principali protagonisti del settore. E si tratta di uno scontro, come il caso più recente che coinvolge Microsoft e Mozilla ben esemplifica, che non fa sconti a nessuno, men che meno agli utenti e alle loro esigenze.

L'ennesima querelle con al centro i browser web è partita dalle azioni di Microsoft, che mesi fa ha furtivamente installato alcuni componenti aggiuntivi in Mozilla Firefox assieme all'aggiornamento della sua piattaforma dot.NET Framework. L'aggiornamento, ha certificato Microsoft in seguito, introduceva pesanti vulnerabilità all'interno del sistema, incluso ovviamente il browser Mozilla caduto "vittima" dell'installazione "obbligatoria" decisa in quel di Redmond.

La vulnerabilità avrebbe potuto portare alla presa di controllo del PC da remoto, magari dall'interno di Firefox una volta convinto l'utente a visitare una pagina web opportunamente predisposta. Unita alla difficoltà di disinstallazione dei plugin dal panda rosso (per cui era necessario editare manualmente il registro di sistema), la cosa non ha fatto altro che scatenare polemiche sulla "solita" politica Microsoft e sull'abuso nei confronti di un browser concorrente che fa della sicurezza e della facilità d'impiego i suoi punti di forza.
Le vulnerabilità dot.NET dovrebbero essere risolte dopo l'ultima gragnola di patch mensili sganciata da Microsoft martedì scorso, patch che hanno tra l'altro aggiunto la possibilità di disinstallare i plugin incriminati senza seguire astruse procedure di editing a basso livello della configurazione di Windows. L'intervento di Microsoft non è però stato sufficientemente tempestivo da evitare lo scoppio del "caso" anche dal lato Mozilla, che in risposta alla scoperta della vulnerabilità in dot.NET ha preso a bloccare i plugin installati attraverso il suo meccanismo di blacklist automatizzato.

Il primo, dot.NET Framework Assistant, è stato in seguito rimosso dalla blacklist una volta che Mozilla aveva avuto la conferma da parte di Microsoft che il componente non era exploitabile per guadagnare privilegi sulla macchina bersaglio. Nel frattempo però il suo blocco aveva provocato i malumori di alcuni amministratori, impossibilitati a servirsi di software basato appunto sul framework dot.NET.

Mozilla dal canto suo si è giustificata dicendo che al momento la blacklist dei plugin non è in grado di riconoscere un sistema patchato da uno ancora vulnerabile, e mentre si promettono migliorie da questo punto di vista il plugin Windows Presentation Foundation (WPF) rimane bloccato in attesa di avere garanzie sulla non vulnerabilità del componente. Il controllo più stringente dei plugin è d'altronde una policy che Mozilla ha deciso di fare propria a partire dalle ultime build del browser, soprattutto dalla prossima versione 3.6.

Alfonso Maruccia
Notizie collegate
  • TecnologiaChrome Frame, anche Mozilla contro GoogleDopo Microsoft, interviene Mozilla per bastonare il cavallo di Troia per Internet Explorer di Mountain View. Più che la sicurezza, il vero problema sarebbe la difficoltà di gestire un patchwork tra engine web diversi
  • SicurezzaFirefox vigila sui plugin Estendendo il controllo per Flash Player introdotto dalle più recenti versioni di Firefox, l'imminente Firefox 3.6 sarà in grado di verificare lo stato di aggiornamento di tutti i principali plugin. Una funzione già collaudabile su Web
267 Commenti alla Notizia Firefox allergico ai plugin Microsoft
Ordina
  • Scusate, leggo dalla notizia sullo Smau del sito de La Stampa (http://www.lastampa.it/_web/cmstp/tmplrubriche/tec...):

    "Così Windows 7 si annuncia più veloce di Windows Vista, anche se dalla Microsoft sottolineano che non era Vista a essere lento, erano le macchine che dovevano essere più potenti."

    Mi sono trattenuto per non scoppiare a ridere!!!!
    non+autenticato
  • - Scritto da: moccolo

    > "Così Windows 7 si annuncia più veloce di Windows
    > Vista, anche se dalla Microsoft sottolineano che
    > non era Vista a essere lento, erano le macchine
    > che dovevano essere più
    > potenti."
    >
    Un giro di parole per dire la sacrosanta verità: 7 e Vi$ta sono lenti uguale (se installati sullo stesso HW). Forse con 7 si recupera qualche secondo al boot appena installato, ma si sa che col tempo i sistemi M$ rallentano...

    Resta comunque il fatto che XP e Ubuntu sono nettamente più veloci di Vi$ta/7.
    non+autenticato
  • - Scritto da: Il Profeta
    > Resta comunque il fatto che XP e Ubuntu sono
    > nettamente più veloci di
    > Vi$ta/7.

    Di Vista sicuramente, 7 è veloce quanto XP
    non+autenticato
  • Vedo molta gente che critica .NET (ma è anche logico dato che PI è un covo di linari e macachi).

    Per chi non lo sapesse:

    - la VM di .NET è anni luce avanti a Java quanto a performance e sicurezza.

    - le dimensioni (più di 200MB) del setup sono dovute alle librerie fornite col FW, molto più complete di quelle di Java che devono essere scaricate separatamente.

    - .NET è un ambiente molto versatile, perchè col lo stesso FW permette di realizzare applicazioni client/server e web.

    - VS è un IDE molto avanzato (molto meglio di Eclipse, Netbeans, KDevelop, ecc) e inoltre supporta C#, C++ e VB senza dover installare plugin aggiuntivi.

    - Le wizard ci sono e meno male! In molti casi sono comode, l'importante è capire cosa fanno per poter modificare il codice a mano in caso di necessità (cosa che purtroppo molti non fanno).

    PS: scommetto che se il .NET fosse stato realizzato da Google sareste tutti ad osannarlo, essendo di MS le cose vanno per il verso opposto.
    non+autenticato
  • > - la VM di .NET è anni luce avanti a Java quanto
    > a performance e
    > sicurezza.

    Su questa o posti dei benchmark oppure rimane un'idiozia non verificabile.
    Sulla sicurezza poi lasciamo perdere.

    > - le dimensioni (più di 200MB) del setup sono
    > dovute alle librerie fornite col FW, molto più
    > complete di quelle di Java che devono essere
    > scaricate
    > separatamente.

    Falsita' assoluta. Le librerie di Java (ovvero le API SUN) sono ovviamente nel pacchetto JRE che scarichi e che non mi pare superi i 30MB.

    >
    > - .NET è un ambiente molto versatile, perchè col
    > lo stesso FW permette di realizzare applicazioni
    > client/server e
    > web.

    Non e' Cross-platform ed inoltre JAVA e' molto piu' versatile.

    >
    > - VS è un IDE molto avanzato (molto meglio di
    > Eclipse, Netbeans, KDevelop, ecc) e inoltre
    > supporta C#, C++ e VB senza dover installare
    > plugin
    > aggiuntivi.

    Gira solamente su windows e dunque inutile per altri ambienti.

    >
    > PS: scommetto che se il .NET fosse stato
    > realizzato da Google sareste tutti ad osannarlo,
    > essendo di MS le cose vanno per il verso
    > opposto.

    Per quanto mi riguarda da Google non sono cosi' coglioni come alla MS.
    Google usa Java e si e' guardato bene da tirare fuori un ennesimo nuovo linguaggio.
    MS ha dovuto tirare fuori .NET per il solito motivo di cercare di imbavagliare ed invischiare gli sviluppatori il piu' possibile per evitare la fuga di massa su altre piattaforme.
    non+autenticato
  • - Scritto da: bollito

    > Su questa o posti dei benchmark oppure rimane
    > un'idiozia non
    > verificabile.
    > Sulla sicurezza poi lasciamo perdere.
    >
    http://www.bentuser.com/article.aspx?ID=323&page=1


    > Falsita' assoluta. Le librerie di Java (ovvero le
    > API SUN) sono ovviamente nel pacchetto JRE che
    > scarichi e che non mi pare superi i
    > 30MB.
    >
    Si, poi per connetterti ai DB devi scaricarti le apposite librerie, per crittografare i dati un'altra ecc ecc ecc


    > Non e' Cross-platform ed inoltre JAVA e' molto
    > piu'
    > versatile.
    >
    Mi trovo bene con Windows, non sento il bisogno di cambiare.


    > Gira solamente su windows e dunque inutile per
    > altri
    > ambienti.
    >
    Vedi sopra.


    > Per quanto mi riguarda da Google non sono cosi'
    > coglioni come alla
    > MS.
    > Google usa Java e si e' guardato bene da tirare
    > fuori un ennesimo nuovo
    > linguaggio.
    > MS ha dovuto tirare fuori .NET per il solito
    > motivo di cercare di imbavagliare ed invischiare
    > gli sviluppatori il piu' possibile per evitare la
    > fuga di massa su altre
    > piattaforme.
    Questa si chiama evoluzione. Chi è in grado la fa.
    non+autenticato
  • > > Falsita' assoluta. Le librerie di Java (ovvero
    > le
    > > API SUN) sono ovviamente nel pacchetto JRE che
    > > scarichi e che non mi pare superi i
    > > 30MB.
    > >
    > Si, poi per connetterti ai DB devi scaricarti le
    > apposite librerie, per crittografare i dati
    > un'altra ecc ecc
    > ecc
    >
    Ci vuole poco a scaricarsi i drivers aggiuntivi e non sono tanto voluminosi da giustificare tutti i mega in più.
    D'altra parte hai più libertà di scelta sulle versioni di database che vuoi utilizzare.
    Quanto alla cifratura nelle ultime versioni delle JVM ci sono le librerie compresi gli algoritmi più utilizzati, tranne quello che non si può esportare per le leggi americane sulla sicurezza, ma questo vale anche per M$

    >
    > > Non e' Cross-platform ed inoltre JAVA e' molto
    > > piu'
    > > versatile.
    > >
    > Mi trovo bene con Windows, non sento il bisogno
    > di
    > cambiare.
    >
    Commento molto professionale.
    Quando il tuo software va in produzione non conta dove ti trovi bene te.
    Conta la libertà di scelta che dai all'amministratore di sistema. Nessuna, sarà molto felice

    >
    > > Gira solamente su windows e dunque inutile per
    > > altri
    > > ambienti.
    > >
    > Vedi sopra.
    >

    Vedi sopra
    guast
    1319
  • - Scritto da: guast

    > Ci vuole poco a scaricarsi i drivers aggiuntivi e
    > non sono tanto voluminosi da giustificare tutti i
    > mega in
    > più.
    Preferisco scaricare subito tutto che sclerare poi a cercare i pezzi mancanti.

    > D'altra parte hai più libertà di scelta sulle
    > versioni di database che vuoi utilizzare.
    >
    Preferisco i driver mantenuti da MS, almeno se ci sono problemi (mooooolto raramente) MS li corregge.

    > Quanto alla cifratura nelle ultime versioni delle
    > JVM ci sono le librerie compresi gli algoritmi
    > più utilizzati, tranne quello che non si può
    > esportare per le leggi americane sulla sicurezza,
    > ma questo vale anche per M$
    >
    Allora ci sono arrivati finalmente. Il .NET framework ce li ha dal 2001, quindi Java copia da .NET (vedi anche i generics).


    > Commento molto professionale.
    > Quando il tuo software va in produzione non conta
    > dove ti trovi bene
    > te.
    > Conta la libertà di scelta che dai
    > all'amministratore di sistema. Nessuna, sarà
    > molto
    > felice
    >
    Anche Java ha bisogno di debugging se lo sposti da una piattaforma all'altra. La cosa non è indolore, garantito (ma tu programmi o parli per sentito dire?)!
    non+autenticato
  • > Preferisco scaricare subito tutto che sclerare
    > poi a cercare i pezzi
    > mancanti.

    Scleri con poco

    >
    > > D'altra parte hai più libertà di scelta sulle
    > > versioni di database che vuoi utilizzare.
    > >
    > Preferisco i driver mantenuti da MS, almeno se ci
    > sono problemi (mooooolto raramente) MS li
    > corregge.

    Per le versioni scelte da M$

    > Allora ci sono arrivati finalmente. Il .NET
    > framework ce li ha dal 2001, quindi Java copia da
    > .NET (vedi anche i
    > generics).

    O forse Java ha rispettato di più le leggi americane.
    Era vietatissimo esportare tutto quello che riguardava la crittografia, adesso i divieti ci sono ancora, ma sono stati ammorbiditi

    >
    >
    > > Commento molto professionale.
    > > Quando il tuo software va in produzione non
    > conta
    > > dove ti trovi bene
    > > te.
    > > Conta la libertà di scelta che dai
    > > all'amministratore di sistema. Nessuna, sarà
    > > molto
    > > felice
    > >
    > Anche Java ha bisogno di debugging se lo sposti
    > da una piattaforma all'altra. La cosa non è
    > indolore, garantito (ma tu programmi o parli per
    > sentito
    > dire?)!

    Il cliente per sviluppare mi mette quasi sempre a disposizione macchine windows. Quindi sono anni che sviluppo su Windows e installo su Unix
    guast
    1319
  • Fossilizzati su Java, bravo...

    Poi fra qualche anno fai come gli altri di questo thread: comprati una zappa!
    non+autenticato
  • - Scritto da: WinForLife
    > Fossilizzati su Java, bravo...
    >
    > Poi fra qualche anno fai come gli altri di questo
    > thread: comprati una
    > zappa!
    Rotola dal ridere

    Pensa che ho iniziato a lavorare in COBOL.
    Rotola dal ridere

    Lo so quanto dura il legacy code
    P.S. In .Net ancora di legacy code non ce n'è tanto, magari rischi più di me
    guast
    1319
  • - Scritto da: guast
    > - Scritto da: WinForLife
    > > Fossilizzati su Java, bravo...
    > >
    > > Poi fra qualche anno fai come gli altri di
    > questo
    > > thread: comprati una
    > > zappa!
    > Rotola dal ridere
    >
    > Pensa che ho iniziato a lavorare in COBOL.
    > Rotola dal ridere
    >
    > Lo so quanto dura il legacy code
    > P.S. In .Net ancora di legacy code non ce n'è
    > tanto, magari rischi più di
    > me

    Vatti a ricompilare il kernel! Uhauhauha!
    non+autenticato
  • > > Lo so quanto dura il legacy code
    > > P.S. In .Net ancora di legacy code non ce n'è
    > > tanto, magari rischi più di
    > > me
    >
    > Vatti a ricompilare il kernel! Uhauhauha!

    Mica scherzavo.
    Con .Net ora come ora ci fanno i wrapper per le GUI e poco più. Sono componenti molto più facili da buttare via dell'ESB o dei vari sistemi di back end. Chi lo sa che succedera in futuro, ma potrebbero dichiarare Java obsoleto molto prima del C# e rimpiazzarlo molto più tardi
    guast
    1319
  • - Scritto da: WinForLife
    > - Scritto da: guast
    >
    > > D'altra parte hai più libertà di scelta sulle
    > > versioni di database che vuoi utilizzare.
    > >
    > Preferisco i driver mantenuti da MS, almeno se ci
    > sono problemi (mooooolto raramente) MS li
    > corregge.

    Non so, tipo Oracle?

    >
    > > Commento molto professionale.
    > > Quando il tuo software va in produzione non
    > conta
    > > dove ti trovi bene
    > > te.
    > > Conta la libertà di scelta che dai
    > > all'amministratore di sistema. Nessuna, sarà
    > > molto
    > > felice
    > >
    > Anche Java ha bisogno di debugging se lo sposti
    > da una piattaforma all'altra. La cosa non è
    > indolore, garantito (ma tu programmi o parli per
    > sentito
    > dire?)!

    Io mi sono solo intromesso nella discussione, ma devo dire che mi ritengo un mago del debugger, che uso MOLTO di frequente, ma non ho MAI avuto problemi di non compatibilità Win/Linux (anche noi sviluppiamo sotto win e deploy sotto Linux). Gli unici problemi che abbiamo in genere sono i sistemisti unix poco formati che incontriamo talvolta dai clienti (per es non ci settano i permessi su delle cartelle NONOSTANTE GLIELI AVESSIMO CHIESTI ESPLICITAMENTE, non sanno usare il cron ecc.ecc.)

    Per quanto riguarda la diatriba "tutto nella std lib" VS "lib scaricabili a parte", ti rispondere con una tua frase: "Evoluzione". Se dopo aver usato una lib per anni, ne esce un'altra migliore, con java il processo di sostituzione è molto più naturale...
  • Scusate. Sono un programmatore java, ma non voglio (stavolta) scatenare un flame war, solo sono in cerca di una mano.

    Ho un XP, in cui volevo installare un programma (Jing) che però richiede un .NET framework aggiornato (credo di avere l'1.1).

    Ho provato ad aggiornarlo sia con win update, sia con l'installer scaricato dal sito di MS, macina un po' e poi mi compare il messaggio 'impossibile installare l'aggiornamento: SUCA!!!' (il SUCA!, scherzo, me lo sono inventato, ma se volete posso riprovare e postare il messaggio esatto)
    Il problema è che non si capisce quale sia il problema del fallimento dell'aggiornamento (come avrete capito non sono a digiuno di programmazione, ma vi assicuro che da quanto scritto NON si evince una possibile causa)

    La domanda aperta è: c'è un log dove poter andare a guardare? Altrimenti, veramente, non so come si possa non dire che è un ambiente del cavolo e che non vale un euro...

    p.s. detrattori di .NET astenetevi da risposte ovvie, se avessi bisogno di una di quelle, non avrei dovuto cercare ispirazione qua....
  • Sono anche io un programmatore Java/C++ ma ho avuto problemi analoghi al tuo.

    Alla fine cercando nei forum M$DN sembra che l'unico modo sia scaricarsi tutto il pacchettone (230 MB!!!!, alla faccia dei 16MB di JREA bocca aperta ) del FW 3.5.

    http://download.microsoft.com/download/2/0/e/20e90...
    non+autenticato
  • - Scritto da: Il Profeta
    > Sono anche io un programmatore Java/C++ ma ho

    Che framework usi in Java?
    non+autenticato
  • - Scritto da: bollito

    > Che framework usi in Java?

    Java EE
    non+autenticato
  • Gai provato con la tecnica usuale?
    Disinstallare la 1.1 compleatamente ed installare la 3.5?
    non+autenticato
  • Adesso provo. Ho cmq scoperto che il pannello di controllo mi vede sia il 1.1, sia il 2.0, sia il 3.0 , sia il 3.5 installati (ma JING a questo punto non lo sa evidentemente...)
    Il 2.0 e il 3.0 si rifiuta a disinstallarli in quanto dice che ci sono applicazioni che li usano (ma .NET non è retrocompatibile??)
    la 1.1 e la 3.5 l'ho disinstallata, ora vedo che accade a reinstallare la 2.5
  • update - "l'applicazione" che usava il 3.0 era la 3.5, infatti ora mi lascia disinstallarla...
  • Grazie di cuore, ora funziona...
  • - Scritto da: Whishper
    > Grazie di cuore, ora funziona...

    E' la tecnica usuale su windows.
    Se non funziona disinstallalo e prova a reinstallarlo se continua a non funzionare o scleri col registro oppure formattone e via.
    non+autenticato
  • Si, beh, lo so che è la tecnica usuale, solo mi aveva dato dei problemi (non riuscivo a disinstallare, ma probabilmente il problema è che non sono più abituato a vedere software che non gestiscono automaticamente le dipendenze... lavoro principalmente con Debian e Eclipse)

    Siccome il sw in questione non era per nulla vitale, sclerare col registro era una opzione non contemplabile visti i rischi associati
  • > lavoro principalmente con Debian e
    > Eclipse)

    Anche io lavoro esclusivamente su Debian ma uso NetbeansSorride
    non+autenticato
  • ...una class-action, visto che da noi non è consentita ancora.
    Non escludo che si possa ravvisare un comportamento scorretto e dunque un danno - specie nel caso specifico, visto che erano bacati e dunque potenzialmente ma anche effettivamente pericolosi - nel fatto di installare componenti all'insaputa dell'utente.
    Mi ricorda il rootkit di Sony (comunque caso molto più grave). ciao
    non+autenticato
  • - Scritto da: Osvy
    > ...una class-action, visto che da noi
    > non è consentita ancora.

    Mi sa che sei troppo ottimista. Puoi togliere quell'ancora
    guast
    1319
  • Guardate che ci sono tre punti critici in questo articolo, basta dare sfogo alla frustrazione anti-MS e guardate la realtà. Premesso che chiunque può installare plug-in a MS ed infatti lo fanno anche altri software


    1) Non trovo corretto che MS nè nessun altro installi plug-in senza chiedermelo (non mi sembra ci voglia molto a mettere una finestra dove mettere una spunta)

    2) non trovo corretto che Firefox lo consenta senza che mi venga notificato (alla faccia della sicurezza)

    3) non trovo corretto che Mozilla blocchi a distanza i miei plug-in, al massimo me lo notifica


    Qua si parla solo di MS ma a me pare che i punti critici siano almeno i tre citati
    non+autenticato
  • - Scritto da: Lemon

    > 1) Non trovo corretto che MS nè nessun altro
    > installi plug-in senza chiedermelo (non mi sembra
    > ci voglia molto a mettere una finestra dove
    > mettere una
    > spunta)

    Giusto.
    >
    > 2) non trovo corretto che Firefox lo consenta
    > senza che mi venga notificato (alla faccia della
    > sicurezza)

    Questo è impossibile, nel momento in cui fai girare un programma (come windows update) questo ha diritto di mettere le mani su tutto il sistema su cui il tuo utente ha accesso, compresi tutti i programmi, compreso alterarli a suo piacimento.
    I programmi non sono entità vive, non possono opporsi coscientemente alle azioni dell'utente.

    > 3) non trovo corretto che Mozilla blocchi a
    > distanza i miei plug-in, al massimo me lo
    > notifica

    Questo è giusto.
    2678
  • [quote]
    Questo è impossibile, nel momento in cui fai girare un programma (come windows update) questo ha diritto di mettere le mani su tutto il sistema su cui il tuo utente ha accesso, compresi tutti i programmi, compreso alterarli a suo piacimento.
    I programmi non sono entità vive, non possono opporsi coscientemente alle azioni dell'utente.
    [/quote]

    come no? che ci vuole a controllare se ci sono plugin in più rispetto all'ultima esecuzione e chiedere all'utente se attivarli prima dell'avvio?

    [quote]
    3) non trovo corretto che Mozilla blocchi a distanza i miei plug-in, al massimo me lo notifica
    [/quote]

    veramente a me è comparso l'avviso che sarebbero stati disattivati quei due plugin per problemi di sicurezza
    non+autenticato
  • è una questione filosofica più che tecnica

    alla Mozilla non pensavano che un giorno sarebbe arrivato un monopolista ad installare a destra e a manca dei plugin

    in genere ti aspetti che chi installa dei plugin prima ti chieda il consenso

    quando installi il flash player non è che ti si autoinstalla in maniera silente

    Mozilla credo si sia trovata spiazzata da questa mossa a dir poco anti-utente

    cavolo, nemmeno Apple installa roba senza prima darti un minimo di delucidazioni su ciò che sta installando
  • > cavolo, nemmeno Apple installa roba senza prima
    > darti un minimo di delucidazioni su ciò che sta
    > installando

    ma agiscono direttamente sulla mente degli utenti che a prescindere cliccano e accetano tutto, perché shiavizzati e adoranti del dio Jobs e il suo profeta Woz
    MeX
    16897
  • veroA bocca aperta

    dimenticavo che Jobs è il grande fratello http://www.youtube.com/watch?v=nY2dBfYqyaYA bocca apertaA bocca aperta
  • allora non bestemmiamo.

    JOBS é DIO!
    MeX
    16897
  • - Scritto da: MeX
    > allora non bestemmiamo.
    >
    > JOBS é DIO!
    la cosa triste è che per voi questa tua affermazione non è una battuta...
    lroby
    5311
  • - Scritto da: MeX
    > http://it.wikipedia.org/wiki/Ironia
    si si .. copriti dietro l'ironia adesso..
    il problema è che la massa di ut(o)enti mac lo pensa davvero..
    lroby
    5311
  • io no invece ho fatto una battuta, stai rosicando cosí tanto che non hai nient'altro a cui attacarti?
    MeX
    16897
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 15 discussioni)