| Autore |
 Discussione  |
|
Worf
Senior Member
Città: Roma
140 Messaggi |
Inserito il - 10/02/2005 : 13:59:01
|
ho letto che firefox ha un bug che permette
di falsificare l'url della barra degli indirizzi, ho fatto il test e il mio firefox
risulta fallato, sapete se c'e' già una
pacth e dove la posso trovare. ciao
Kaplà
|
|
|
sfo
Advanced Member
Città: Alghero
275 Messaggi |
Inserito il - 10/02/2005 : 14:35:45
|
cioè?più o meno come (in ke circostanza, insomma, come!) si presenta il bug? (se nn sbaglio era posibile anke qualke versione fa di MSIE...)
SFo05
tester di tutti gli open-source immaginabili  |
 |
|
|
erreale
Advanced Member
492 Messaggi |
Inserito il - 10/02/2005 : 14:44:21
|
il bug colpisce i maggiori avversari (Opera, Mozilla, Firefox, Camino, Konqueror, Netscape, Safari firefox) di IE tranne lui.
Internet Explorer si salva da questo rischio perché non supporta correttamente uno degli standard di Internet, l'IDN (Internationalized Domain Names).
Lo spoofing avviene riuscendo a far visualizzare sulla barra di navigazione del malcapitato un indirizzo diverso da quello che in quel momento si stà realmente navigando.
una soluziona temporanea in attesa delle patch e quella di disabilitare l'interprete dell'IDN.
ci sono due modi:
il primo consiste nel digitare nella barra dell'indirizzo about:config per accedere alle configurazioni di firefox e settare su "false" il parametro network.enableIDN. L'inconveniente di questo sistema è che ogni volta che si chiuderà il browser bisognerà ripetere la procedura.
secondo modo (molto brutale)
aprire la cartella profile ed editare il file compreg.dat in essa contenuta.
Aprire il file ed eliminare (usando il tasto cerca) le due stringhe che contengono la voce IDN.
in entrambi i casi il browser non sarà più in grado di interpretare l'IDN e restituirà l'errore di pagina irrangiungile.
Consiglio caldamente la prima soluzione in quanto "reversibile" .
E' ovvio che chi opterà per la seconda lo farà assumendosi la responsabilità delle modifiche.
erreale
Admin di Pianetapc.it
[www].PianetaPc.it
Edited by - erreale on 10/02/2005 15:08:52
Edited by - erreale on 10/02/2005 15:09:32 |
|
|
|
Mr.Gollum
Average Member
76 Messaggi |
Inserito il - 10/02/2005 : 17:21:38
|
Ho provato la prima procedura, ed anche chiudendo il browser e disconnettendomi, al riavvio il valore è rimasto su FALSE
Sarà strano ma con il valore suddetto su FALSE mi sembra che firefox abbia difficoltà ad aprire le pagine web?! Mhà
Thule è distrutta ma c'è chi marcia ancora. |
|
|
|
Trunks
Moderatore
2016 Messaggi |
Inserito il - 10/02/2005 : 17:55:35
|
Vedremo quanto tempo la comunità impiegherà a rilasciare la patch :P Anche se il baco è già stato corretto nelle ultime versioni di firefox e mozilla, disponibili in sola lingua inglese però non ancora ufficiale
htt*://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/latest-aviary1.0.1/
(Però.. velocini :P)
Qua il bollettino ufficiale di bugzilla
htt*s://bugzilla.mozilla.org/show_bug.cgi?id=281377
Con le istruzioni sopradescritte da erreale.
Per poter utilizzare Windows Update occorre un sistema operativo Microsoft Windows. :P
Edited by - Trunks on 10/02/2005 17:56:33 |
|
|
|
Trunks
Moderatore
2016 Messaggi |
Inserito il - 10/02/2005 : 18:37:55
|
Dimenticavo...una precisazione... sole le versioni superiori (o patchate) a IE 5.1 si salvano da questo bug :D
Ps OT per sfo tu che sei un tester ufficiale :P scaricati la versione 10.1 per windows io sto già scaricando quella per linux così vediamo come va :P
Per poter utilizzare Windows Update occorre un sistema operativo Microsoft Windows. :P
Edited by - Trunks on 10/02/2005 18:46:27 |
|
|
|
Worf
Senior Member
Città: Roma
140 Messaggi |
Inserito il - 10/02/2005 : 18:55:34
|
ho eseguito anch'io il primo metodo descritto
da erreale e confermo che anche chiudendo il browser il comando rimane su false, inoltre pur con questo accorgimento facendo il test
proposto qui:
htt ://secunia[.com]/multiple_browsers_idn_spoofing_test/
il problema persiste.
Kaplà |
|
|
|
erreale
Advanced Member
492 Messaggi |
Inserito il - 10/02/2005 : 19:11:06
|
quote:
ho eseguito anch'io il primo metodo descritto
da erreale e confermo che anche chiudendo il browser il comando rimane su false, inoltre pur con questo accorgimento facendo il test
proposto qui:
htt ://secunia[.com]/multiple_browsers_idn_spoofing_test/
il problema persiste.
Kaplà
Vero. dovresti ogni volta che avvii il browser digitare about:config
cercare la voce (che troverai su false)
cliccare una volta per farla diventare true e poi di nuovo un click per farla tornare false. A quel punto fino al prossimo riavvio il browser è immune dallo spoofing.
PS. ho già testato la versione nigtly corretta, solo che non supporta tutte le varie estensione e personalizzazioni che avevo installato. Quindi mi tengo la mia 1.0 ed edito brutalmente a mano il file .dat
Ps.2 con il file editato a manina ed avendo tolto le stringhe incriminate è perfetto. é il caso di fare una copia di sicurezza del file prima di modificarlo.
erreale
Admin di Pianetapc.it
[www].PianetaPc.it
Edited by - erreale on 10/02/2005 19:15:18 |
|
|
|
Trunks
Moderatore
2016 Messaggi |
Inserito il - 10/02/2005 : 19:36:10
|
quote:
PS. ho già testato la versione nigtly corretta, solo che non supporta tutte le varie estensione e personalizzazioni che avevo installato. Quindi mi tengo la mia 1.0 ed edito brutalmente a mano il file .dat
Bene. Credo che queste info siano preziose cmq :) Per chi non usa estensioni può passare alla 1.0.1 (non la 10.1 come ho erroneamente scritto :P) almeno su linux, fino ad ora nessun problema.
Non so su che os lo hai provato, a parte il problema con le estensioni, hai riscontrato altre disfunzioni?
tnx :)
Per poter utilizzare Windows Update occorre un sistema operativo Microsoft Windows. :P |
|
|
|
sfo
Advanced Member
Città: Alghero
275 Messaggi |
Inserito il - 10/02/2005 : 21:09:30
|
ho letto roa trunks e t posso assicurare ke cm ho visto un link ho aperto un'altra skeda ancora prima di leggere la tua sfOda (al momento sta scaricando, dopo vado a guardare bud & terence e qnd torno lo testo ^^)
SFo05
tester di tutti gli open-source immaginabili |
|
|
|
sfo
Advanced Member
Città: Alghero
275 Messaggi |
Inserito il - 10/02/2005 : 21:14:10
|
installato e nn m sembra diverso dal 1.0 (anke nell'about m dice ke qst è 1.0...) nn fosse ke ora èin inglese ma no problem dopo testo a manetta ^^
SFo05
tester di tutti gli open-source immaginabili |
|
|
|
Gimli
Moderatore
.jpg)
Città: Belluno
1870 Messaggi |
Inserito il - 10/02/2005 : 22:13:08
|
A proposito di about:config, qua c'è una pagina con l'elenco delle voci e il loro utilizzo, se volete giocarci un po':
htt*://preferential.mozdev.org/preferences.html
Ciao
--
Prima di postare, leggere:
htt*://[www].notrace.it/Forum2/FAQ.ASP
htt*://[www].catb.org/~esr/faqs/smart-questions.html |
|
|
|
erreale
Advanced Member
492 Messaggi |
Inserito il - 11/02/2005 : 09:37:41
|
quote:
quote:
PS. ho già testato la versione nigtly corretta, solo che non supporta tutte le varie estensione e personalizzazioni che avevo installato. Quindi mi tengo la mia 1.0 ed edito brutalmente a mano il file .dat
Bene. Credo che queste info siano preziose cmq :) Per chi non usa estensioni può passare alla 1.0.1 (non la 10.1 come ho erroneamente scritto :P) almeno su linux, fino ad ora nessun problema.
Non so su che os lo hai provato, a parte il problema con le estensioni, hai riscontrato altre disfunzioni?
tnx :)
Per poter utilizzare Windows Update occorre un sistema operativo Microsoft Windows. :P
a parte il problema delle estensioni non ho riscontrato problemi. testato su p4 con win 2000 pro.
Da quello che sembra nella versione corretta hanno "solamente" corretto il problema IDN. La stessa cosa, come ripeto, si ottiene editando il file dat.
erreale
Admin di Pianetapc.it
[www].PianetaPc.it
|
|
|
|
sfo
Advanced Member
Città: Alghero
275 Messaggi |
Inserito il - 13/02/2005 : 18:32:13
|
posso essere sincero? a me da qui scarica la 1.0.0, unica differenza dalla mia 1.0.0 è ke qst è in inglese e la mia in italiano -.-
SFo05
tester di tutti gli open-source immaginabili
Edited by - sfo on 13/02/2005 18:32:32 |
|
|
|
bertoldo
Advanced Member
263 Messaggi |
Inserito il - 13/02/2005 : 19:07:00
|
Oltre a netcraft e phishguard, toolbars antiphishing ma penso solo per IE, esiste per Firefox un piccolo BHO che, anche se non risolve pienamente il problema, perlomeno permette di visualizzare la reale URL del sito che si visita.
Se vi può interessare la trovate qui:
htt*://[www].corestreet[.com]/spoofstick/firefox.html
|
|
|
|
Trunks
Moderatore
2016 Messaggi |
Inserito il - 13/02/2005 : 19:42:25
|
Sfo ti sembra uguale :P Se tu apporti la modifica alla stinga network.enableIDN questa ti rimmarrà "in memoria" anche ai prossimi riavvi evitando di rifare l'operazione all'apertura di una nuova istanza di firefox.
Per kapalika si chiamano estensioni :P
qua c'è in italiano.htt*://[www].extenzilla.it/forum/viewtopic.php?t=604&sid=de2e5deea01d10c06208162c0ae61f2e
Per poter utilizzare Windows Update occorre un sistema operativo Microsoft Windows. :P |
|
|
|
Discussione |
|
firefox
Forum Bloccato
