[Goofy]

Firefox 4: il re dei browser è ancora il più sicuro?

articolo del grande Marco Giuliani da leggere tutto d'un fiato

Differenza fondamentale tra Chrome (con sandboxie incorporata) e FF (senza funzionalità di sandboxie)

[Goofy]

Citazione:

Negli ultimi anni si è registrato nel settore della sicurezza informatica un incremento vertiginoso di kit pronti all’uso, tool messi in vendita nel mercato nero, capaci di creare pagine web ad hoc contenenti exploit in grado di sfruttare falle conosciute – o falle ancora sconosciute – dei browser web od eventuali plugin da quest’ultimi utilizzati.

Nel caso specifico, una eventuale pagina web contenente un exploit costruito ad hoc per sfruttare una falla del browser – o di qualche plugin – potrebbe portare all’esecuzione automatica, senza interazione dell’utente, di codice nocivo, eseguito con i privilegi con cui è stato eseguito il browser o il plugin.

Non è un fenomeno raro incappare casualmente in qualche pagina web compromessa, anzi è molto più frequente di quello che gli utenti possano pensare. Questo perché a volte non è necessario andare per forza su siti web a luci rosse o siti warez per capitare in qualche pagina web nociva, ma anche siti web apparentemente affidabili e conosciuti potrebbero essere stati compromessi e potrebbero contenere del codice nocivo.

È stato il caso di Aruba qualche anno fa, che si è vista compromettere molti siti web ospitati nei loro server; è stato il caso di siti web di cantanti famosi come Roberto Vecchioni o Carmen Consoli o gli Zero Assoluto; è stato il caso del noto sito web Anti-phishing Italia; è stato il caso del sito web della rete sismica sperimentale italiana. L’utente naviga tranquillamente in questi siti web e, spesso incolpevole, rischia di rimanere infetto.



Purtroppo riuscire a garantire che il proprio software sia privo di qualsiasi bug è tecnicamente impossibile, soprattutto in progetti di medio-grandi dimensioni, quali possono essere i browser web. E ammesso e non concesso che sia anche possibile, gli sviluppatori dei browser non possono comunque garantire che anche i plugin installati siano effettivamente privi di bug.

Ne è un esempio il pluri-colpito Adobe Flash Player, o il Quick Time Player. L’utente dovrebbe sempre controllare che tutti i software installati nel proprio PC siano costantemente aggiornati, per evitare che vecchi bug corretti nelle versioni aggiornate dei software possano essere ancora veicolo di malware.

molto interessante, come vedete sono cose che ripeto da tanto tempo

quindi basta navigare tranquillamente senza fare niente di particolare per correre il rischio di infettarsi

non si devono per forza scaricare warez e codici

[Goofy]

Opera naturalmente non ha ancora una sandboxie incorporata ma è da un pò che vi consiglio di usarla come sw di terze parti

[Goofy]

Citazione:

Questa fase preventiva è sufficiente a mitigare il problema exploit? Sebbene sia molto efficace, è stato mostrato più volte come – a causa (spesso, ma non sempre) della non collaborazione dei programmatori i quali non compilano i propri software rendendoli compatibili con tali tecnologie – non basti da sola a garantire la sicurezza del sistema. Un esempio efficace è l’ultimo exploit per il Flash Player plugin, scoperto agli inizi del mese corrente è che è in grado di superare agevolmente sia DEP che ASLR, riuscendo ad eseguire correttamente il proprio payload.

anche se qualcuno dice il contrario

Citazione:

mentre non esistono al momento exploit che riescano a bypassare DEP+ASLR nel contesto dei servizi di Windows e di altri ambiti applicativi

[erg]

Firefox 4: il re dei browser è ancora il più sicuro? ...
già, bella domanda:

http://www.ilsoftware.it/articoli.asp?id=7227

[f4f]

OT , mi scuso
ma volevo ancora ringraziare per SandBox
non ti sarò mai grato abbastanza
cancello se dò fastidio

[Goofy]

Citazione:

Ci auguriamo che si pensi all'integrazione di un valido meccanismo di sandboxing. Internet Explorer 9.0 si "aggancia" ad alcune caratteristiche introdotte nelle più recenti versioni di Windows e Chrome implementa una propria tecnologia di sandboxing basata sulla gestione dei privilegi degli utenti (unita alla possibilità di aggiungere ulteriori restrizioni): appare quindi opportuno che anche Mozilla possa implementare in Firefox qualcosa di simile. Obiettivo quello di proteggere gli utenti da eventuali codici nocivi che, sfruttando qualche vulnerabilità presente nel browser o nei plugin installati, potrebbe riuscire ad eseguire codice nocivo sul sistema uscendo dal "contesto operativo" di Firefox.

questa parte è interessante