Gli articoli di questo blog sono pubblicati sotto una Licenza Creative Commons "Attribuzione - Non commerciale - Condividi allo stesso modo".
Questo è uno di quei post che non c’entrano nulla con i miei soliti argomenti…
mi andava di postare questo video musicale degli Snow Patrol, miscelato con immagini della serie tv Grey’s Anatomy, di cui sono un fedelissimo spettatore…
In attesa della messa in onda della quarta stagione (peccato per l’uscita dal cast di Isaiah Washington, era uno dei miei personaggi preferiti), gustiamoci questo video…
E’ di qualche giorno fa la notizia pubblicata su un sito dedicato alla sicurezza secondo la quale, le versioni di FireFox, compresa la recente 2.0.0.5, soffrono di un bug che consentirebbe la sottrazione delle proprie password memorizzate mediante il gestore delle password dello stesso browser. Anche il browser Safari di Apple soffre dello stesso problema.
Il problema nasce se JavaScript è attivo e si verifica quando su uno stesso server web c’è una pagina con un form malvagio simile a quello legittimo in cui abbiamo inserito il nostro nome utente e password e che abbiamo memorizzato mediante il gestore delle password di FireFox.
Su questa pagina c’è una dimostrazione di questa vulnerabilità (il sito vi fa memorizzare una password a vostro piacere e poi vi mostra come ve la sottrae, ma solo quella!).
Il consiglio è sempre quello di installare NoScript (ve l’avevo già consigliato nel post precedente e in altri addietro) in modo da poter abilitare JavaScript solo se strettamente necessario e solo sui siti di cui ci si fida ciecamente.
Come saprete, uno dei punti di forza del browser Firefox è la possibilità di installare estensioni, piccoli programmi che accrescono le funzionalità del browser a seconda delle nostre esigenze.
Una delle estensioni più importanti da installare è a mio parere NoScript, scritta dal programmatore italiano Giorgio Maone.
Si tratta di un tool di sicurezza che disabilita di default l’esecuzione di codice Java e JavaScript (volendo anche Flash) su tutte le pagine web che visitiamo, eccetto quelle che noi riteniamo sicure e marchiamo come tali nella white list.
Quando stiamo visitando un sito che contiene dello script, NoScript ci avvisa con un piccolo suono (opzionale) ed un messaggio di notifica nella barra di stato: se riteniamo che si tratti di un sito fidato possiamo aggiungerlo alla lista fidata con un semplice click, così NoScript non bloccherà più l’esecuzione degli script su quella pagina.
Ciò rende FireFox particolarmente robusto dal punto di vista della sicurezza, perchè blocca a priori tutto il codice (e quindi eventualmente anche quello maligno) che può arrivarci da una pagina web.
L’estensione si rivela anche particolarmente efficace come protezione da Cross Site Scripting (XSS).
Per un elenco completo delle caratteristiche si rimanda a questa pagina.
L’estensione è gratuita, ha il supporto multilingua e può essere prelevata dalla sezione del sito di Mozilla dedicata alle estensioni oppure direttamente dalla pagina web del suo ideatore.
Le comparative fra tariffe mi hanno sempre affascinato: mi diverte fare paragoni tra esse, trovare i punti di convenienza economica, magari corredando il tutto con qualche grafico…
Oggi mi sono cimentato nel fare un confronto tra 2 opzioni Vodafone: Infinity Messaggi (IM) ed Infinity Messaggi Light (IML).
Alla scadenza della mia Summer Card Messaggi Vodafone, ho deciso di bloccare l’attivazione automatica dell’opzione Infinity Messaggi (opzione che al costo di 6 euro al mese consente di inviare 100 SMS e 100 MMS gratis verso utenti Vodafone dopo aver pagato il primo sms o mms della giornata), in quanto ritenevo sprecati questi 6 euro che sarebbero serviti solo per scrivere minch…ehm stupidaggini agli amici. Per le mie abitudini, 100 sms al giorno sono decisamente troppi!
Poi ho trovato pubblicizzata l’opzione Infinity Messaggi Light che consente, al costo di soli 2 euro mensili, di avere 2 sms gratis verso vodafone, dopo aver pagato il primo (in pratica mandi 3 sms al costo di 1), fino ad un max di 10 sms gratis giornalieri.
A questo punto mi sono chiesto quale fosse effettivamente l’opzione adatta alle mie esigenze ed ho buttato giù due conti (limitandomi alla parte sms in quanto non interessato agli mms) che vi riassumo:
Infinity Messaggi (IM)
Attivazione: 8 euro (comprensivi del primo mese)
Costo mensile: 6 euro
Costo primo sms: 15 cents
Costo sms successivi: 0 cents (fino a 100)
Infinity Messaggi Light (IML)
Attivazione: 2 euro (comprensivi del primo mese)
Costo mensile: 2 euro
Costo primo sms: 15 cents
Costo sms successivi: 0 cents (fino a 2 sms per ogni sms pagato e max fino a 10 sms gratis al giorno)
Differenza costo mensile IM – IML = 4,00 euro (eccetto il 1° mese in cui IM costa 8 euro).
Ed ecco il mio ragionamento articolato:
Fermo restando che in entrambi i casi il primo sms della giornata si paga, a parità di numero di giorni in cui si manda almeno il primo sms, per sprecare i 4 euro risparmiati dall’attivazione della IML al posto della IM è sufficiente inviare 4,00/0,15=27 messaggi a pagamento in eccesso rispetto alla IM (nella IM infatti si paga solo il 1° SMS della giornata, mentre nella IML si paga 1 sms ogni 3).
IML quindi conviene rispetto a IM solo se si mandano max 26 sms a pagamento al mese successivi al primo della giornata, in altre parole:
Se mandiamo max 3 sms al giorno (di cui solo 1 a pagamento) IML è senz’altro conveniente rispetto a IM (per il canone inferiore).
Se mandiamo più di 3 sms al giorno, IML potrebbe non convenire più: possiamo eccedere i 3 sms della giornata solo per 26 volte al mese, dopodichè avremo raggiunto il pareggio (BEP) con il costo mensile della IM.
Calcolando 3 sms al giorno, per 30 giorni, senza IML o IM costerebbero 3 x 30 x 0.15 = 13,50 euro mensili.
Con IML ci vengono a costare un terzo cioè 30 x 0,15 = 4,5 euro (si paga solo il primo) + il canone di 2,00 euro fanno 6,50 euro mensili avendo risparmiato ben 7 euro. Con IM invece il risparmio sarebbe di soli 3 euro (ci sono 4 euro in più di canone).
In conclusione, partendo dal presupposto che con IML 3 messaggi costano come 1, se vi sembrano pochi (30+26) x 3 = 168 messaggi mensili, IML non fa per voi.
Attenzione, questo articolo potrebbe contenere numerose castronerie, a causa di uno dei miei 2 neuroni che è andato in ferie… 🙂
Leggevo poco fa qui e qui della scoperta di una falla “altamente critica” di Firefox che permetterebbe l’esecuzione di codice arbitrario, semplicemente cliccando in Internet Explorer un link costruito ad-hoc (tecnica di cross browser scripting).
Da buon smanettone chiaramente ho voluto testare subito la cosa collegandomi con Internet Explorer su questa pagina che contiene un link innocuo di esempio che dovrebbe far aprire semplicemente il prompt dei comandi sfruttando la suddetta falla.
Il test è stato fatto su un pc con Windows XP HE SP2, Comodo Personal Firewall 2.4.18.184 , IE6, FireFox 2.0.0.4 con l’estensione NoScript installata e impostata su “Disattiva gli script globalmente”. Per eseguire il test occore chiudere tutte le sessioni di FireFox ed aprire IE.
Appena ho cliccato su Internet Explorer questo link di test (che ripeto è innocuo), subito Comodo Personal Firewall mi ha avvisato dell’invocazione di FireFox da parte di IE e questo già dovrebbe far insospettire:
Da buon temerario ho accettato comunque di proseguire per vedere se la falla si attivava.
Firefox si è aperto e subito è comparsa questa finestra:
Tale finestra ci dice chiaramente che se questa richiesta di eseguire un’applicazione esterna non era attesa conviene annullare.
Premendo Annulla ovviamente la falla non ha effetto.
Senza premere nulla comunque mi è subito comparsa la seguente finestra (cliccare per ingrandire):
Ciò è dovuto all’intervento dell’utilissima estensione NoScript che ha impedito l’esecuzione del codice JavaScript iniettato attraverso l’uri malformata che avrebbe dovuto attivare la falla.
Provando a disattivare NoScript (con l’impostazione attiva gli script globalmente) FireFox è stato bucato e si è aperto il prompt dei comandi.
Il mio consiglio quindi è quello di installare NoScript in modo da autorizzare l’esecuzione degli script solo sui siti di cui ci fidiamo ciecamente.
Non sarebbe male inoltre installare anche Comodo Personal Firewall, un ottimo firewall gratuito, di cui vi scrissi in precedenza.
E-mail:
PGP Public Key digest:
AB47 C243 DB83 5F54 EF68 B3D6 206B DE50 16D5 5409
La fabbrica di byte 