Al momento della prima redazione di questo articolo l’ultima versione di Firefox è la 91, e di Chrome la 92; si avvicina per entrambi la 100.
A livello di interi tra 99 e 100 c’è solamente la differenza di un’unità e 100 non è un numero tondo in binario o esadecimale, quindi potrebbe importare poco.
Ma a livello di stringa si aumenta di un carattere e qualcuno potrebbe non avere previsto la cosa.
Continua a leggereL’Extended Validation (EV) è un certificato SSL/TLS conforme a X.509 in cui viene garantita anche l’identità legale del titolare.
Quando si acquista un certificato TLS si hanno fondamentalmente tre opzioni.
Continua a leggereBenché la conoscessi, avevo sempre evitato di installare F.B. Purity, poi è arrivato un evento calcistico che mi ha convinto che era il caso di iniziare a filtrare i contenuti di Facebook.
L’avvicinarsi delle elezioni politiche richiede un’opportuna contromisura per evitare di essere sommersi da immondizia. (altro…)
Spesso crediamo che l’attivazione della modalità incognito o l’utilizzo di un browser differente siano sufficienti a proteggere l’identità di chi accede ad un sito.
Purtroppo è vero in alcuni casi, ma non in tutti. (altro…)
Questa mattina mi è capitato un caso di un malware abbastanza insidioso per Google Chrome, in questo caso per Windows.
Alla vittima si aprivano linguette di Chrome con finti avvisi di computer infetto e similari e pop-up modali JavaScript dello stesso tono.
Le ultime versioni di Kaspersky e AdwCleaner non riuscivano ad avere ragione del malware. (altro…)
I problemi di collisione hanno provocato l’inizio del ritiro dell’algoritmo di hash SHA-1.
I maggiori produttori di browser hanno delineato i passi che porteranno i certificati con hash SHA-1 a non essere più considerati attendibili. (altro…)
Da ieri è cambiato il comportamento di Cortana, l’interfaccia di ricerca inclusa in Windows 10.
Adesso Cortana utilizza Bing come unico motore di ricerca e visualizza i risultati solamente su Edge, il browser di Windows 10. (altro…)
<!DOCTYPE html> <html> <head> <script> location = 'data:text/html,<script>location = "location.toString + \"A\"";' + 'A'.repeat( 100000000 ); </script> </head> </html>
Questo semplice testo in una pagina HTML manda a zampe all’aria Firefox e Google Chrome, mentre Internet Explorer esce illeso.
Potete farlo da voi oppure andare a vostro rischio su crashfirefox.com. (altro…)
La versione 37 per Windows di Google Chrome a 64 bit è ora dichiarata stabile.
Da questa versione, quindi, è possibile utilizzare il browser su una versione di Windows supportata a 64 bit.
Il passaggio alla versione a 64 bit comporta molti benefici, tra cui una maggiore velocità nella visualizzazione delle pagine e dei contenuti multimediali. Naturalmente ci sono anche dei benefici legati alla sicurezza: il codice a 64 bit riesce ad implementare meglio alcune contromisure codificate nel browser.
In questa versione non sono più supportate le NPAPI, le API per i plugin introdotte da Netscape Navigator 2.0, che sono oramai passate alla storia e non sono comunque supportate dai dispositivi mobili.
L’installazione della versione a 64 bit è per il momento opzionale e quella a 32 bit verrà ancora supportata per lungo tempo.
Microsoft ha annunciato una serie di novità per il supporto di Internet Explorer.
I tempi potrebbero sembrare geologici, ma questi cambiamenti hanno profonde ripercussioni nelle organizzazioni multinazionali che utilizzano Internet Explorer come frontend per le procedure interne.
A partire dal 12 gennaio 2016 solamente le ultime versioni di Internet Explorer per ciascuna piattaforma riceveranno supporto e aggiornamenti. La decisione è decisamente sensata, in quanto limita la complessità del supporto e riduce i vettori di attacco verso i client.
Allo stato attuale, le ultime versioni disponibili per le varie piattaforme sono:
Evitate Internet Explorer. Usate il browser che più vi piace, usatene due, tre contemporaneamente, fate telnet sulla porta 80, tirate fuori Mosaic dalla naftalina… Ma evitate Internet Explorer.
Secondo alcune persone ci sono siti che si aprono solamente con Explorer; può essere vero, ma quand’è l’ultima volta che avete fatto dei test? Browser e siti vengono aggiornati quasi settimanalmente e questi test dovrebbero essere ripetuti periodicamente prima di dichiarare la non-compatibilità.
Il problema di Internet Explorer è la quantità di vulnerabilità note che Microsoft decide scientemente di non correggere.
In pratica, se si usa quel browser si decide di utilizzare un programma di cui sono note le vulnerabilità a chi vi vuole attaccare, il quale avrà gioco facile a fare quello che vuole con il vostro PC. Spesso abbiamo dato conto anche qui dei vari problemi di Explorer, ma ad un certo punto la cosa non fa più notizia e si rischia l’effetto copia-e-incolla.
Bromium Labs ha dimostrato con uno studio [PDF] la pericolosità di Internet Explorer: il risultato è che nel primo semestre di quest’anno le vulnerabilità di Explorer sono raddoppiate, a fronte di un crollo di quelle di Java e una diminuzione sostanziale di quelle di Flash e Adobe Reader.
Usare Internet Explorer per la navigazione generale (ovvero non in maniera specifica con quei siti che richiedono espressamente il browser di Microsoft) è un comportamento molto rischioso.
Heartbleed ha provocato una valanga di revoche di certificati che durerà ancora per qualche tempo.
Il metodo più vecchio per verificare se un certificato è stato revocato è la Certificate Revocation List (RFC3280). In tempi più recenti viene utilizzato l’Online Certificate Status Protocol (RFC6960), che si basa su http (senza rendere obbligatoria la cifratura dei dati) ed evita al client di dover decodificare un certificato di revoca.
La verifica online di un certificato in molti contesti è il sistema migliore, specialmente in situazioni come quella creata da Heartbleed in cui i certificati vengono revocati velocemente a causa della compromissione di quelli vecchi. Tuttavia questo metodo non è esente da problemi, in quanto il server che gestisce le revoche potrebbe essere non raggiungibile oppure il browser potrebbe essere tratto in inganno ed utilizzare un server configurato ad arte. (altro…)