[AmadeuX BiblioForum]
Clicca qui per andare al sito di Audioterapia, Musica ed elementi subliminali benefici
23/09/2025 - 09:35:31
    [AmadeuX BiblioForum]                                     Ip: 216.73.216.10 - Sid: 261326567 - Visite oggi: 13382 - Visite totali: 65.788.110
Home | Forum | Calendario | Registrati | Nuovi | Recenti | Segnalibro | Sondaggi | Utenti | Downloads | Ricerche | Aiuto

Nome Utente:
 Password:
Salva Password
Password Dimenticata?

 Tutti i Forum
 Network NEWS
 NOVITA' by AmadeuX network
 Sicurezza: turata la falla di Internet Explorer		  Nuova Discussione  Rispondi alla discussione
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
I seguenti utenti stanno leggendo questo Forum Qui c'è:
Autore Discussione Precedente Discussione n. 2001 Discussione Successiva  

admin
Webmaster

8hertz

Regione: Italy
Prov.: Pisa
Città: Capannoli


24850 Messaggi
Inserito il - 04/02/2004 : 12:41:37  Mostra Profilo  Rispondi Quotando
Sicurezza: turata la falla di Internet Explorer

by Paolo Attivissimo


Dopo due mesi di attesa, Microsoft ha finalmente rilasciato una patch
che corregge la falla di Internet Explorer descritta in un mio articolo
per Apogeonline

http://www.apogeonline.com/webzine/2003/12/24/01/200312240101

La falla consente a un aggressore di visualizzare quello che gli pare
nella barra dell'indirizzo di Internet Explorer. L'uso più tipico di
questa falla è nelle truffe in cui la vittima riceve un invito a
visitare un sito di una banca o di un servizio commerciale online (Ebay,
Paypal e simili) e a reimmettere i propri codici di accesso "per ragioni
di sicurezza".

In realtà il link presente nell'invito non rimanda al sito autentico, ma
a un sito-trappola visivamente identico, in cui la vittima immette i
propri dati, regalandoli quindi al truffatore con ovvie conseguenze.

Normalmente la truffa diventa evidente quando si guarda la barra
dell'indirizzo, perché compare l'indirizzo del sito-trappola invece di
quello del sito autentico, ma grazie alla falla di Internet Explorer
l'illusione è perfetta: nella barra dell'indirizzo compare infatti
l'indirizzo del sito autentico.

La dimostrazione innocua di questa falla è nel Browser Challenge:

http://www.attivissimo.net/security/bc/test10.htm

Vi consiglio di provarla con Internet Explorer prima e dopo aver
installato la correzione, in modo da poter verificare che funziona.

Una volta installata la correzione, Internet Explorer dovrebbe
rispondere a questo test dicendo che la pagina non può essere
visualizzata e visualizzando nella barra dell'indirizzo il vero
indirizzo della pagina.

Chi usa altri browser o altri sistemi operativi non ha mai avuto
problemi con questa vulnerabilità, che è esclusiva di Internet Explorer
sotto Windows (Internet Explorer sotto Mac ne è esente). Tuttavia la
correzione è consigliata a tutti gli utenti di Windows, compresi quelli
che non usano Internet Explorer: infatti il servizio Windows Update di
Microsoft dice esplicitamente, durante l'installazione della correzione,
che la falla "riguarda tutti i computer che hanno Internet Explorer
installato, anche se non viene utilizzato come browser Web".

La correzione è disponibile presso il sito Microsoft usando la funzione
Windows Update e si chiama "MS04-004 Cumulative Security Update for
Internet Explorer (832894)" o "Pacchetto cumulativo di aggiornamenti
della protezione per Internet Explorer 6 Service Pack 1 (KB832894)".

I dettagli tecnici sono presso

http://support.microsoft.com/default.aspx?scid=kb;en-us;Q834489

e in italiano presso

http://www.microsoft.com/italy/security/security_bulletins/20040202_windows.mspx

La correzione risolve inoltre una falla analoga di Internet Explorer che
consentiva di creare link ingannevoli e descritta qui:

http://www.attivissimo.net/security/fakesites/fakesites.htm

Mi raccomando, non scaricate la correzione da nessun altro sito, non
fidatevi di eventuali correzioni inviate come allegati a e-mail, anche
se il mittente sembra essere Microsoft, e usate solo ed esclusivamente
la funzione Windows Update per scaricare la correzione: ogni altro
metodo potrebbe essere una truffa che sfrutta proprio la necessità di
turare quest'ennesima falla per intrufolarsi nel vostro computer.

Ciao da Paolo.


-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
(C) 2004 by Paolo Attivissimo (www.attivissimo.net).

admin
Webmaster

8hertz


Regione: Italy
Prov.: Pisa
Città: Capannoli


24850 Messaggi
Inserito il - 04/02/2004 : 16:03:55  Mostra Profilo  Rispondi Quotando
La pezza di Internet Explorer stronca Fiat e Luca Armani



Ieri Microsoft ha presentato la correzione all'ormai celebre falla di
Internet Explorer che aiuta i truffatori a creare siti-truffa
perfettamente ingannevoli, come descritto nella newsletter di ieri:

http://www.attivissimo.net/nl/nl2004/nl_internet_per_tutti_archivio200402.htm#020

La correzione, tuttavia, è decisamente drastica: rifiuta infatti
qualsiasi indirizzo contenga il carattere "@" (la chiocciolina) o il suo
equivalente esadecimale ("%40"), dicendo laconicamente che si tratta di
"sintassi non valida".

Saranno contenti della soluzione Microsoft quelli della Fiat, che come
forse sapete hanno una serie di siti pubblicizzati come
"www.buy@fiat.com" target="_blank">www.buy@fiat.com", che in inglese si legge "buy at Fiat", ossia "compra
alla Fiat". Questi siti perfettamente legittimi non sono più
raggiungibili con Internet Explorer dopo l'installazione della patch di
correzione. Bella mossa.

Anche Luca Armani, il titolare di timbrificio diventato celebre per la
sua controversa battaglia legale con la Giorgio Armani SpA intorno al
nome di dominio "armani.it", viene oscurato dalla scelta Microsoft. Il
suo sito alternativo, infatti, è "Rmani.it", che lui pubblicizza come
"www.@rmani.it" target="_blank">www.@rmani.it". Chi installa la patch di Microsoft e usa Internet
Explorer non può più visitare il sito di Luca digitando "www.@rmani.it" target="_blank">www.@rmani.it":
deve avere la padronanza della Rete che gli permette di capire che il
nome di dominio è "Rmani.it" e che quello che precede la chiocciolina
non serve.

In altre parole, la patch di Microsoft è una delle soluzioni tecniche
meno felici al problema dei siti-truffa: viene da chiedersi come mai non
sia stata scelta la soluzione semplice e indolore di Opera, che di
fronte a indirizzi di siti contenenti la chiocciolina visualizza
semplicemente una finestra di dialogo che avvisa l'utente del possibile
rischio e lascia a lui/lei decidere il da farsi.

Mozilla 1.6, invece, non visualizza alcun messaggio di avviso e lascia
vedere direttamente il sito interessato, che sia truffaldino o meno:
questo non è bene, ma c'è l'attenuante del fatto che a differenza di
Internet Explorer, nella barra dell'indirizzo viene visualizzato sempre
l'indirizzo intero, senza mascherature o troncamenti come quelli
permessi dalla falla Microsoft.

Questo è il classico esempio delle ragioni per cui da sempre si
sconsiglia l'uso di Internet Explorer in favore di quello di browser
alternativi: Internet Explorer è pieno di vulnerabilità (turata questa
dopo due mesi di attesa, ne restano comunque molte altre) e le
correzioni Microsoft sono spesso peggiori del male che vogliono guarire.

Il colmo dell'ironia è che se visitate www.buy@fiat.com" target="_blank">www.buy@fiat.com usando Opera,
ottenete una schermata (in inglese) che vi dice che il sito non può
essere visto con questo browser. I browser consigliati per la visione
sono Netscape e.... Internet Explorer.

Ciao da Paolo.

-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
(C) 2004 by Paolo Attivissimo (www.attivissimo.net).
Torna all'inizio della Pagina
  Discussione Precedente Discussione n. 2001 Discussione Successiva  
 Nuova Discussione  Rispondi alla discussione
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
Vai a:



Macrolibrarsi


English French German Italian Spanish


[AmadeuX BiblioForum] © 2001-2025 AmadeuX MultiMedia network. All Rights Reserved. Torna all'inizio della Pagina