Microsoft, aggiornamento anti-truffa per IE

L'azienda rilascia un update che toglie ad Internet Explorer il supporto a URL che in passato sono state abilmente utilizzate da truffatori per indurre gli utenti a rilasciare dati personali o peggio

Roma - Quanti hanno ricevuto una delle infinite email-truffa che cercano di indurre l'utente a cliccare su un indirizzo fasullo, mascherato, per fargli invece raggiungere altre destinazioni web? Il numero di chi è cascato nella trappola utilizzando Internet Explorer è elevato e Microsoft ha ora deciso di prendere di petto la questione e rendere la vita più difficile ai truffatori.

Come si legge in un articolo apparso nella Knoweledge Base di Microsoft, l'azienda ha intenzione di rilasciare un aggiornamento che modifica il comportamento di Internet Explorer nella gestione delle URL http e https. L'update cancella tout-court il supporto per la gestione di nomi e password nelle URL e, nello specifico, dopo l'installazione Internet Explorer (o il suo omologo Windows Explorer) non potranno più gestire le "URL maledette" quelle che al loro interno hanno una chiocciolina (@), del tipo:

http(s)://nomeutente:password@server/risorsa.ext
Installato l'update, dunque, il browser non aprirà più siti nelle cui URL siano gestite informazioni-utente. Questo accade perché, in situazioni come una recente celebre truffa perpetrata contro gli utenti sfruttando il nome di eBay, le URL possono mascherare facilmente altri indirizzi che gli utenti meno accorti possono non notare.

Nella pagina della Knoweledge Base, Microsoft spiega nel dettaglio quanto è necessario fare per attivare un workaround che aggiri la modifica del browser in un modo sicuro che non compromette la funzionalità. Di interesse, in questo senso, anche la spiegazione di una serie di mascheramenti fin qui utilizzati da chi ha avuto interesse a creare URL che non erano ciò che apparivano.
TAG: microsoft
124 Commenti alla Notizia Microsoft, aggiornamento anti-truffa per IE
Ordina
  • Sul mio sistema (IE6sp1 con tutte le patch, WinNT4.0sp6a) la riabilitazione non funziona. Qualche suggerimento? (a parte le ovvie spiritosaggini...)
    non+autenticato
  • ... vero, il 60% dei carcerati torna in galera in poco tempo...
    non+autenticato
  • Non avevo detto senza spiritosaggini?
    non+autenticato

  • - Scritto da: Anonimo
    > Non avevo detto senza spiritosaggini?

    Vabbè....

    Allora cambia browser !
    non+autenticato
  • Anonimo wrote:
    > [...] (a parte le ovvie spiritosaggini...)

    Anonimo wrote:
    > Allora cambia browser !

    Questa invece e' una spiritosaggine e pure ovvia... x quanto sacrosanta!



    Skerzi a parte, ke ci fai con IE?!

    Fa solo lo strettissimo indispensabile (se non meno: vedi la gestione dei download) e dato ke lo usano praticamente tutti, ogni minima falla viene inesorabilmente scovata ed usata x compiere attacchi.

    Usare IE e' puro masochismo.
    non+autenticato
  • Anonimo wrote:
    > [...] (a parte le ovvie spiritosaggini...)

    Anonimo wrote:
    > ... vero, il 60% dei carcerati torna in galera in poco tempo...

    Anonimo wrote:
    > Non avevo detto senza spiritosaggini?

    Pero' non era ovvia.Con la lingua fuori
    non+autenticato
  • - Scritto da: Anonimo

    > Qualche suggerimento? (a parte le ovvie spiritosaggini...)

    Seriamente: cambia browser!
    FDG
    10933
  • Uff... Grazie tanto!!! Io chiedevo un consiglio TECNICO. La propaganda me la so fare da me... E se sto parlando di IE avrò le mie ragioni... Non pensi?
    non+autenticato
  • - Scritto da: Anonimo

    > Uff... Grazie tanto!!! Io chiedevo un
    > consiglio TECNICO. La propaganda me la so
    > fare da me... E se sto parlando di IE
    > avrò le mie ragioni... Non pensi?

    La mia non è propaganda, ma un consiglio tecnico. Usa un altro browser. E se proprio ti serve IE, non ti sto dicendo di disinstallarlo (tanto non puoi).

    Non ti sembra una soluzione?

    ==================================
    Modificato dall'autore il 03/02/2004 17.41.45
    FDG
    10933
  • A me con un sistema simile al tuo funziona perfettamente! Ricontrolla la modifica del registro (magari un errore di ortografia...)
    non+autenticato
  • Ora funziona. Grazie
    non+autenticato
  • Documento : http://www.ietf.org/rfc/rfc2617.txt
    Raggiungibile dalla pagina http://www.w3.org/Protocols/Specs.html#HTTP1.1 dal link
    HTTP Authentication: Basic and Digest Access Authentication - Draft Standard RFC 2617

    3.2.1 The WWW-Authenticate Response Header
    [..]
    realm
    A string to be displayed to users so they know which username and password to use. This string should contain at least the name of the host performing the authentication and might additionally indicate the collection of users who might have access. An example might be "registered_users@gotham.news.com".
    [..]

    Credo che questo basti per dire, senza ombra di dubbio, che IE NON segue lo standard HTTP1.1, ovvero quello riconosciuto a livello internazionale.

    Voglio proprio vedere su che specchi si arrimpicheranno i fan di Birillo Portoni.

    Bye
    non+autenticato
  • Mi sa che hai toppato .... quella è la risposta che il server manda al client in modo che il browser possa far apparire una finestra di autenticazione che già riporti il nome dell'utente (o del gruppo di utenti) ed il dominio di autenticazione.

    HTTP NON prevede schemi di autenticazione che passino dall'URL. FTP si.
    Anlan
    1327
  • Mai sentito parlare di TCP/IP? Quello che ho riportato è la riprova che al W3C considerano corretta la dicitura "userid@dominio".

    Inoltre HTTP, come FTP, si basa su TCP/IP ed è questo che definisce la sintassi per contattare un'altro server e questa è sempre "protocollo://userid:password@device:parametri/risorse" a prescindere dal protocollo. Ristudiatevi la pila ISO/OSI e ne riparliamo.

    Ora, non volevo annoiare tutti con spiegazioni troppo noiose e sono stato volutamente impreciso, ma dire che HTTP non prevede la sintassi "userid@dominio" è proprio grossa, ma grossa grossa.
    non+autenticato
  • Quando avrai capito la differenza tra un trasporto ed un protocollo allora torna qui a dire la tua.

    Aggiungo che ho parlato di schemi di autenticazione non di sintassi: sono due cosucce diverse.

    ==================================
    Modificato dall'autore il 03/02/2004 16.45.27
    Anlan
    1327
  • Appunto, hai detto una grossa sciocchezza. Anche il sistema di rete di MS si basa su TCP e segue le stesse regole: provare per credere.

    Bye
    non+autenticato
  • Continui a prendere granchi: l'informazione viene formattata ed interpretata secondo il protocollo adottato. Lo strato inferiore fa solo da trasporto. E' quindi lo standard specificato nel PROTOCOLLO che interpreta lo schema di autenticazione. TCP/IP ti trasporta anche le patate se vuoi.
    Anlan
    1327
  • E' vero faccio ammenda, ma il client si riferisce a URI per lo standard e limitare la sintassi non è cosa di competenza MS.
    non+autenticato

  • > Appunto, hai detto una grossa sciocchezza.
    > Anche il sistema di rete di MS si basa su
    > TCP e segue le stesse regole: provare per
    > credere.

    TCP prevede SOLO ip sorgente, ip destinazione e pacchetto
    basta
    quello che c'e' dentro e cosa rappresenta non gliene frega una ceppa
    TCP e' un protocollo di trasporto, quindi trasporta dei dati da una sorgente a una destinazione
    la decodifica di quei dati spetta al client e al server che supportano quel determinato protocollo applicativo (a livello ben piu alto, 7 invece di 4)
    non+autenticato
  • E' vero faccio ammenda, ma il client si riferisce a URI (5° livello o sbaglio?) per lo standard e limitare la sintassi non è cosa di competenza MS.
    non+autenticato
  • - Scritto da: Anlan
    > HTTP NON prevede schemi di autenticazione
    > che passino dall'URL. FTP si.

    Leggiti RFC 2396 allora...

    comunque magari fosse solo questo a rendere IE un browser fuori standard.
    non+autenticato

  • > Documento : www.ietf.org/rfc/rfc2617.txt
    > Raggiungibile dalla pagina
    > www.w3.org/Protocols/Specs.html#HTTP1.1 dal
    > link
    > HTTP Authentication: Basic and Digest Access
    > Authentication - Draft Standard RFC 2617
    >
    > 3.2.1 The WWW-Authenticate Response Header
    > [..]
    > realm
    > A string to be displayed to users so they
    > know which username and password to use.
    > This string should contain at least the name
    > of the host performing the authentication
    > and might additionally indicate the
    > collection of users who might have access.
    > An example might be
    > "registered_users@gotham.news.com".
    > [..]
    >
    > Credo che questo basti per dire, senza ombra
    > di dubbio, che IE NON segue lo standard
    > HTTP1.1, ovvero quello riconosciuto a
    > livello internazionale.
    >
    > Voglio proprio vedere su che specchi si
    > arrimpicheranno i fan di Birillo Portoni.

    non hai capito niente!
    li c'e' scritto CHIARAMENTE The WWW-Authenticate Response HEADER
    e' un header
    non parla della possibilita che il browser invii direttamente tale informazione
    il realm e' il nome della "zona" che il SERVER ti invia per distinguere DOVE ti stai autenticando
    puo' anche esserci scritto pippo...

    sai leggere una specifica formale?

    3.2.2 http URL

    The "http" scheme is used to locate network resources via the HTTP protocol. This section defines the scheme-specific syntax and semantics for http URLs.

    http_URL = "http:" "//" host [ ":" port ] [ abs_path [ "?" query ]]

    dove e' indicato che e' valido inserire user e password?

    di piu'
    se sai leggere un po di grammatiche

    http://www.ietf.org/rfc/rfc2396.txt

    quella sintassi e' consentita nello standard degli Uniform Resource Identifiers (URI) che vengono usati anche in altri protocolli (ad esempio FTP)

    3.2.2. Server-based Naming Authority

       URL schemes that involve the direct use of an IP-based protocol to a
       specified server on the Internet use a common syntax for the server
       component of the URI's scheme-specific data:

         @:

       where may consist of a user name and, optionally, scheme-
       specific information about how to gain authorization to access the
       server. The parts "@" and ":" may be omitted.

         server        = [ [ userinfo "@" ] hostport ]

       The user information, if present, is followed by a commercial at-sign
       "@".

         userinfo     = *( unreserved | escaped |
                             ";" | ":" | "&" | "=" | "+" | "$" | "," )

    ma poi si dicge CHIARAMENTE

       Some URL schemes use the format "user:password" in the userinfo
       field. This practice is NOT RECOMMENDED, because the passing of
       authentication information in clear text (such as URI) has proven to
       be a security risk in almost every case where it has been used.

    ergo, MS non ha violato nessuno standard
    se la cosa non e' concessa piu' neanche in ftp, secondo me non e' neanche un male
    tanto ti poppa fuori la finestrella che chiede l'autenticazione
    e questo e' una sicurezza in piu', che e' sempre un bene
    non+autenticato
  • ... come tutti i comunisti nulla-facenti, anche i linari si distinguono nel criticare in ogni modo e a tutti i costi il "non linux", anche se ciò vuol dire entrare in contraddizione con se stessi se si va a rileggere ciò che fu detto prima.

    secondo il mio parere, invece la scelta di microsoft è una mossa molto semplice ma efficace per combattere i truffaldini informatici...

    ma come si può essere contro una simile scelta...??? Eppure credevo che in questi forum fossero tutti un po' dei guru del web...

    alla faccia dello standard...
    non+autenticato

  • - Scritto da: Anonimo
    > ... come tutti i comunisti nulla-facenti,
    > anche i linari si distinguono nel criticare
    > in ogni modo e a tutti i costi il "non
    > linux", anche se ciò vuol dire
    > entrare in contraddizione con se stessi se
    > si va a rileggere ciò che fu detto
    > prima.
    >
    > secondo il mio parere, invece la scelta di
    > microsoft è una mossa molto semplice
    > ma efficace per combattere i truffaldini
    > informatici...
    >
    > ma come si può essere contro una
    > simile scelta...??? Eppure credevo che in
    > questi forum fossero tutti un po' dei guru
    > del web...
    >
    > alla faccia dello standard...

    ... hai dimenticato di scrivere : "comunicazione aziendale M$"...
    non+autenticato

  • - Scritto da: Anonimo
    > ... come tutti i comunisti nulla-facenti,

    Complimenti per l'obiettività e le larghe vedute....

    In quanto Troll non meriteresti altre risposte... ma comunque...

    > anche i linari si distinguono nel criticare
    > in ogni modo e a tutti i costi il "non
    > linux", anche se ciò vuol dire
    > entrare in contraddizione con se stessi se
    > si va a rileggere ciò che fu detto
    > prima.

    Sono pigro. Dimmelo tu cosa fu detto prima....

    > secondo il mio parere, invece la scelta di
    > microsoft è una mossa molto semplice
    > ma efficace per combattere i truffaldini
    > informatici...

    Certo. Anche tagliarsi le palle è una mossa molto semplice ma efficace per combattere le gravidanze indesiderate.

    > ma come si può essere contro una
    > simile scelta...??? Eppure credevo che in
    > questi forum fossero tutti un po' dei guru
    > del web...

    Magari era sufficente far comparire nella barra l'URL reale e non quello fasullo....

    Poi si poteva decidere di far comparire una finestrella di avviso...

    Il tutto poteva magari essere configurato insieme alle altre opzioni di IExplorer...

    > alla faccia dello standard...

    Appunto. Alla faccia dello standard. Visto che la sintassi è appunto uno standard per poter inserire user e password direttamente....
    non+autenticato

  • > Appunto. Alla faccia dello standard. Visto
    > che la sintassi è appunto uno
    > standard per poter inserire user e password
    > direttamente....

    sei sicuro?
    www.w3.org/Protocols/rfc2616/rfc2616.html

    in quale riga se ne parla di questa sintassi?
    non+autenticato

  • - Scritto da: Anonimo
    > ... come tutti i comunisti nulla-facenti,
    > anche i linari si distinguono nel criticare
    > in ogni modo e a tutti i costi il "non
    > linux", anche se ciò vuol dire
    > entrare in contraddizione con se stessi se
    > si va a rileggere ciò che fu detto
    > prima.
    >
    > secondo il mio parere, invece la scelta di
    > microsoft è una mossa molto semplice
    > ma efficace per combattere i truffaldini
    > informatici...
    >

    ma prot va...
    > ma come si può essere contro una
    > simile scelta...??? Eppure credevo che in
    > questi forum fossero tutti un po' dei guru
    > del web...
    >
    > alla faccia dello standard...
    non+autenticato
  • Ti rispondo, fino a quando Microsoft non disabiliterà su IE la possibilità di cliccare sui link "risposta" di una pagina web...

    Sulle strategie commerciali, ognuno dica ciò che vuole.
    Quando questo però viola il rispetto degli standard, come più volte ha fatto Microsoft, è in gioco qualcos'altro.
  • > Sulle strategie commerciali, ognuno dica
    > ciò che vuole.
    > Quando questo però viola il rispetto
    > degli standard, come più volte ha
    > fatto Microsoft, è in gioco
    > qualcos'altro.

    anche per te
    www.w3.org/Protocols/rfc2616/rfc2616.html

    citate tutti lo standard, ma qualcuno lo ha mai letto?
    non+autenticato

  • - Scritto da: Anonimo
    > > Sulle strategie commerciali, ognuno dica
    > > ciò che vuole.
    > > Quando questo però viola il
    > rispetto
    > > degli standard, come più volte ha
    > > fatto Microsoft, è in gioco
    > > qualcos'altro.
    >
    > anche per te
    > www.w3.org/Protocols/rfc2616/rfc2616.html
    >
    > citate tutti lo standard, ma qualcuno lo ha
    > mai letto?

    E' la solita storia dello "standar de facto".
    Fa' comodo quando si parla di .doc, ma non quando si parla di URI ...

    non+autenticato
  • ma mi facci il piacere!
    - Scritto da: Anonimo
    > ... come tutti i comunisti nulla-facenti,
    > anche i linari si distinguono nel criticare
    > in ogni modo e a tutti i costi il "non
    > linux", anche se ciò vuol dire
    > entrare in contraddizione con se stessi se
    > si va a rileggere ciò che fu detto
    > prima.
    >
    > secondo il mio parere, invece la scelta di
    > microsoft è una mossa molto semplice
    > ma efficace per combattere i truffaldini
    > informatici...
    >
    > ma come si può essere contro una
    > simile scelta...??? Eppure credevo che in
    > questi forum fossero tutti un po' dei guru
    > del web...
    >
    > alla faccia dello standard...
    :)
    non+autenticato

  • - Scritto da: Anonimo
    > ... come tutti i comunisti nulla-facenti,
    > anche i linari si distinguono nel criticare
    > in ogni modo e a tutti i costi il "non
    > linux", anche se ciò vuol dire
    > entrare in contraddizione con se stessi se
    > si va a rileggere ciò che fu detto
    > prima.


    Purtroppo alcuni perdono tempo a spammare microsozz perchè, più che comunisti nullafacenti, sono dei bambocci che non riescono a crescere.
    Ma ci sono tanti "linari" che hanno altro da fare che perdere tempo a trolleggiare, io sono uno di quelli.

    Saluti Fan Linux
    non+autenticato
  • Non è solo Fiat. Ci sono per esempio tutti quei siti che usano questa funzione per reindirizzare l'utente a servizi terzi (e non per truffarlo). Pretendono che tutta questa gente butti all'aria il proprio lavoro?

    Sarebbe proprio l'ora di mandarli a quel paese. Opera e Mozilla vanno più che bene.
    FDG
    10933
  • > Non è solo Fiat. Ci sono per esempio
    > tutti quei siti che usano questa funzione
    > per reindirizzare l'utente a servizi terzi
    > (e non per truffarlo). Pretendono che tutta
    > questa gente butti all'aria il proprio
    > lavoro?
    >

    non ha buttato all'aria nessun lavoro
    basta che l'utente invece di user@sito inserisca sito/user per esempio
    o gli appaia una finestrella in cui mettere il nome utente
    di piu', se la password non e' richiesta, che area riservata e?
    ancora di piu', quella sintassi NON e' standard

    > Sarebbe proprio l'ora di mandarli a quel
    > paese. Opera e Mozilla vanno più che
    > bene.

    allora usa quelli
    non+autenticato
  • - Scritto da: Anonimo

    > non ha buttato all'aria nessun lavoro
    > basta che l'utente invece di user@sito
    > inserisca sito/user per esempio
    > o gli appaia una finestrella in cui mettere
    > il nome utente

    Intanto lo sviluppo costa e questa non è una cosa che costa poco, soprattutto quando riguarda una azienda che passa ad un'altra gli utenti. Cioè, noi dovremmo riscrivere un pezzo del nostro software e dire ai nostri partner di riscrivere il loro servizio per accettare un altro tipo di autenticazione. E quale tipo? E poi perché? Perché una banda di @+#*! non sa risolvere seriamente un problema di sicurezza?

    > di piu', se la password non e' richiesta,
    > che area riservata e?

    La password E' RICHIESTA. Passa attraverso l'url e non c'è nulla di strano. Chiaramente la connessione è in HTTPS.

    Forse non hai capito la situazione. C'è un servizio A. Quando ci si registra al servizio A si viene automaticamente abilitati al servizio B. I fornitori di accesso del servizio B vendono l'accesso agli utenti tramite A ed A non richiede che gli utenti forniscano la password quando si accede a B da A. Gli utenti devono solo conoscere la password di A. Sarà A a fare l'autenticazione su B.

    > ancora di piu', quella sintassi NON e'
    > standard

    Le RFC dicono che user: password@dominio è un modo STANDARD di passare utente e password.

    > > Sarebbe proprio l'ora di mandarli a quel
    > > paese. Opera e Mozilla vanno più
    > > che bene.
    >
    > allora usa quelli

    Non sono io. SONO I NOSTRI CLIENTI. Infatti abbiamo detto a quelli dell'assistenza di dire agli utenti di scaricarsi Mozilla. Per il momento NON POSSIAMO risolvere il problema con Explorer.

    ==================================
    Modificato dall'autore il 03/02/2004 17.13.38

    ==================================
    Modificato dall'autore il 03/02/2004 17.14.43
    FDG
    10933

  • - Scritto da: FDG

    > La password E' RICHIESTA. Passa attraverso
    > l'url e non c'è nulla di strano.

    Eh si come no.... URL è una URL.
    Grossa confusione tu hai nella testa. Leggi prima
    le RFC che trattano il protocollo HTTP.

    Alla faccia della sicurezza. La password rimarrebbe dentro
    ogni Proxy http transitato ed in ogni file di log.....



    non+autenticato
  • ....... come risolvano i guru Microsoft l'annoso problema di non mettere le consorti in stato interessante ........ probabilmente hanno tutti una vocina acuta acuta.
    Cmq grazie ....... un altro bel passo avanti verso Linux e Mozilla
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 19 discussioni)