Javascript e sicurezza

Parliamo qui dei rootkit hypervisor-level, ma anche di quale piattaforma mobile preferire o delle ripercussioni di Facebook sulla nostra privacy.
Regole del forum
Giampy
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 129
Iscritto il: gio giu 12, 2014 11:08 am

Javascript e sicurezza

Messaggio da Giampy » ven mar 20, 2015 6:21 pm

Salve a tutti.
Quando si entra in un sito c'è la possibilità di prendersi un'infezione. Vorrei sapere se queste infezioni si basano tutte su Javascript. Insomma, entrando in un sito con Javascript disattivato quanto siamo al sicuro?
Ultima modifica di hashcat il sab mag 23, 2015 3:35 pm, modificato 1 volta in totale.
Motivazione: Argomento spostato nella sezione idonea.

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Javascript e sicurezza

Messaggio da System » ven mar 20, 2015 6:21 pm


Avatar utente
gioia271965
Livello: Chiavetta USB (8/15)
Livello: Chiavetta USB (8/15)
Messaggi: 490
Iscritto il: lun mar 24, 2014 2:22 pm
Località: Taranto

Re: Javascript e sicurezza

Messaggio da gioia271965 » sab mar 21, 2015 6:55 am

Non credo che la protezione del pc dipenda dal javascript attivato o disattivato. Come di sicuro saprai il plugin attivato permette di vedere alcuni contenuti in diversi siti che diversamente non vedresti. Google in testa. Se il pc è sufficientemente protetto lo puoi tenere abilitato...a mio parere s'intende...
Se vuoi conoscere veramente una persona, guarda il suo Hard Disk!

Giampy
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 129
Iscritto il: gio giu 12, 2014 11:08 am

Re: Javascript e sicurezza

Messaggio da Giampy » sab mar 21, 2015 2:18 pm

gioia271965 ha scritto:Non credo che la protezione del pc dipenda dal javascript attivato o disattivato
Ci sono "script" maligni, per quanto ne sappia.

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Javascript e sicurezza

Messaggio da hashcat » sab mar 21, 2015 2:59 pm

Giampy ha scritto:Salve a tutti.
Quando si entra in un sito c'è la possibilità di prendersi un'infezione. Vorrei sapere se queste infezioni si basano tutte su Javascript. Insomma, entrando in un sito con Javascript disattivato quanto siamo al sicuro?
Sicuramente riduci notevolmente il rischio, tuttavia è possibile caricare (anche senza utilizzare codice JavaScript): applet Java, contenuti in Flash, file PDF, font, file SVG, plugin di terze parti e sfruttare vulnerabilità del browser e/o del sistema operativo in uso.

:fiu
“The quieter you become, the more you can hear”

Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 1600
Iscritto il: lun gen 26, 2015 10:13 am

Re: Javascript e sicurezza

Messaggio da CUB3 » sab mar 21, 2015 3:00 pm

Il veicolo per le infezioni non sono i javascript ma, casomai, gli applet java che sono due cose completamente diverse!

I javascript vengono gestiti nativamente dalla maggior parte dei browser mentre gli applet java, dei veri e proprio programmi, richiedono l'installazione del plugin Java per essere eseguiti.

Poiché attualmente i siti che hanno applet java sono pochissimi (nei miei preferiti non ce n'è nemmeno uno) è consigliabile disattivare il plugin Java. Se invece si visita spesso un sito che richiede questo plugin (sarei curioso di sapere qual'è... ) le opzioni di difesa sono 2: assicurarsi di avere sempre l'ultima versione disponibile del plugin e attivare la funzione click-to-play ormai presente in quasi tutti i browser.
Stesso discorso vale per il plugin flashplayer (anch'esso posibile veicolo di infezioni): meglio disinstallarlo, se non se ne può fare a meno tenerlo sempre aggiornato e attivare il click-to-play.
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen

Avatar utente
PippoDJ
VIP
VIP
Messaggi: 1677
Iscritto il: sab nov 01, 2014 3:50 pm

Re: Javascript e sicurezza

Messaggio da PippoDJ » mar mar 24, 2015 1:35 am

Ciao Giampy,
come ti hanno già detto, Javascript è pressoché innocuo: è un linguaggio nato per i browser e ogni script è chiuso in una propria sandbox da cui non può uscire. Inoltre, disattivandolo, rovineresti la tua esperienza di navigazione in quanto è usato dal 99.9% dei siti web.
Però è anche vero che è largamente utilizzato per aprire banner pubblicitari, pop-up, pop-under e chi-più-ne-ha-più-ne-metta: tutte cose non dannose, ma... estremamente fastidiose.

Se usi Internet Explorer :nono , puoi creare una tua lista di "siti attendibili" e disattivare Javascript per tutti gli altri: un po' macchinoso, ma efficace.
Se usi Firefox, ti consiglierei l'ottima estensione NoScript (tutta italiana :ita ) che ti consente di disattivare, sito per sito, non solo Javascript, ma anche Java, Flash e altri tipi di contenuti embedded.
Per Chrome: ScriptSafe.

Ciao, Pippo.

P.S.: Se invece hai scritto "Javascript", ma intendevi "Java", allora leggiti questo articolo del nostro guru: Rimuovili subito! 15+ programmi popolari dei quali dovresti sbarazzarti immediatamente.

Avatar utente
PippoDJ
VIP
VIP
Messaggi: 1677
Iscritto il: sab nov 01, 2014 3:50 pm

Re: Javascript e sicurezza

Messaggio da PippoDJ » mer mar 25, 2015 1:20 am

PippoDJ ha scritto:Per Chrome: ScriptSafe.
Mi correggo: per Chrome non è necessario nessun componente aggiuntivo.

Per disattivare JavaScript come impostazione predefinita:
  • digitare chrome://settings/search#privacy nella barra degli indirizzi,
  • cliccare Impostazioni contenuti...,
  • alla voce JavaScript selezionare Non consentire ad alcun sito di eseguire JavaScript.
Immagine
Per attivare successivamente JavaScript solo nei siti fidati:
  • cliccare il lucchetto in alto a sinistra,
  • in Autorizzazioni: JavaScript: selezionare Consenti sempre da questo sito.
Immagine
Ciao, Pippo.

Avatar utente
sondlive07
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 711
Iscritto il: lun set 02, 2013 9:10 pm
Località: casa mia

Re: Javascript e sicurezza

Messaggio da sondlive07 » mer mar 25, 2015 4:17 pm

nel mio caso ho rimosso java ( la versione installata ). utilizzo la versione portable su un browser portable.

ma come ti è stato già ampiamente consigliato puoi agire dal browser e disabilitare il plugin
Una mela al giorno fanno 365 mele all'anno.
Groucho Marx

Avatar utente
Cris
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 179
Iscritto il: mer apr 30, 2014 11:01 pm

Javascript e sicurezza

Messaggio da Cris » mer mar 25, 2015 9:20 pm

PippoDJ ha scritto:
PippoDJ ha scritto:Per Chrome: ScriptSafe.
Mi correggo: per Chrome non è necessario nessun componente aggiuntivo.

Per disattivare JavaScript come impostazione predefinita:
  • digitare chrome://settings/search#privacy nella barra degli indirizzi,
  • cliccare Impostazioni contenuti...,
  • alla voce JavaScript selezionare Non consentire ad alcun sito di eseguire JavaScript.
Immagine
Per attivare successivamente JavaScript solo nei siti fidati:
  • cliccare il lucchetto in alto a sinistra,
  • in Autorizzazioni: JavaScript: selezionare Consenti sempre da questo sito.
Immagine
Ciao, Pippo.
Buonasera a tutti,
Scusami Pippo, ma sono un po' confusa.
Utilizzo Chrome e ho disinstallato Java.
Alcuni post sopra avete sostenuto, appunto, che JavaScript é innocuo. Quindi perché disattivarlo? Perché usato come veicolatore di popup?
Grazie

Avatar utente
PippoDJ
VIP
VIP
Messaggi: 1677
Iscritto il: sab nov 01, 2014 3:50 pm

Re: Javascript e sicurezza

Messaggio da PippoDJ » gio mar 26, 2015 12:11 am

Cris ha scritto:Alcuni post sopra avete sostenuto, appunto, che JavaScript é innocuo. Quindi perché disattivarlo? Perché usato come veicolatore di popup?
Ciao Cris,
mi pare che tu abbia capito bene, comunque provo a spiegarmi meglio.

Come ha già sottolineato CUB3, la confusione nasce dal fatto che molti credono che Java e JavaScript siano la stessa cosa. In realtà, a parte la similitudine del nome (e una certa somiglianza nella sintassi del linguaggio), sono due tecnologie molto diverse:
  • Java è un linguaggio molto avanzato che consente, tra le altre cose, di costruire vere e proprie applicazioni stand-alone ["applet"] all'interno di un browser. Non è "cattivo" di per sè, ma proprio per queste sue caratteristiche avanzate, ha prestato il fianco a numerose vulnerabilità che hanno consentito a malintenzionati di sfruttarle come veicolo di virus molto pericolosi.
    Aggiungi che solo pochissimi siti, con esigenze molto particolari, lo usano per scopi legittimi: alla fine dei conti il gioco non vale la candela e, se non si è obbligati ad usarlo per motivi di lavoro, può essere una buona idea disinstallarlo del tutto.
  • JavaScript è un linguaggio nato esclusivamente per arricchire di funzionalità le pagine web e, in quanto tale, è stato progettato in modo da non poter "uscire" dal browser che lo ospita: quindi i "danni" che può fare sono molto limitati (apparizioni di banner pubblicitari, redirezioni verso siti non desiderati, pop-up, pop-under, ecc.) e comunque rimangono circoscritti: chiudi la pagina e il problema se ne va.
    A differenza di Java, JavaScript è usato in moltissimi siti [anche in questo: per esempio prova a disabilitare JavaScript e vedrai che gli spoiler non saranno più... tali]. Quindi, disattivandolo del tutto, si avrebbero più problemi che vantaggi.
Per questo motivo ho cercato di dare tre consigli (per i tre browser più diffusi) che consentono di non disattivare completamente JavaScript, ma di usarlo selettivamente a seconda dei siti che si visitano.

Ciao, Pippo.

Avatar utente
Cris
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 179
Iscritto il: mer apr 30, 2014 11:01 pm

Re: Javascript e sicurezza

Messaggio da Cris » gio mar 26, 2015 5:33 pm

Ciao Pippo,
ho provato a disabilitare JavaScript:
- in questo sito non vedo alcune immagini e passando sopra col mouse esce la scritta: "Questo contenuto è nascosto, ma senza JavaScript non puoi gestirlo correttamente. Passa con il mouse sopra a questo testo per visualizzarlo!;
- la mia mail (dal web) ... proprio non si apre!
- in alcuni siti di quotidiani, che avevo preliminarmente aperto, non vedo più i collegamenti: ad esempio mi ricordo di un video youtube che era stato postato e che non si vede, ecc. ecc.
Personalmente, ritengo non convenga tenere disabilitato JavaScript, e aggiungere i siti "sicuri" nelle eccezioni..... (sai che lavoro.... :) )
Se al blocco dei Pop-up impostato in Chrome scappa qualcosa, si può usare un'estensione per il controllo degli userscript.
Naturalmente per gli script maligni e per quanto citato da Hashcat, bisogna proteggersi in altro modo....
Grazie per la tua risposta e pazienza Pippo :)
Sempre! Che parola terribile. Quando la sento mi fa venire i brividi. :fiu

Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 1600
Iscritto il: lun gen 26, 2015 10:13 am

Re: Javascript e sicurezza

Messaggio da CUB3 » gio mar 26, 2015 7:42 pm

Cris ha scritto:Personalmente, ritengo non convenga tenere disabilitato JavaScript, e aggiungere i siti "sicuri" nelle eccezioni..... (sai che lavoro.... :))
La sicurezza non è un operazione da eseguire una volta per sempre, è un processo continuo in continua evoluzione.
Insomma è proprio "un lavoro"!!!
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen

Avatar utente
PippoDJ
VIP
VIP
Messaggi: 1677
Iscritto il: sab nov 01, 2014 3:50 pm

Re: Javascript e sicurezza

Messaggio da PippoDJ » ven mar 27, 2015 9:27 am

Cris ha scritto:Personalmente, ritengo non convenga tenere disabilitato JavaScript, e aggiungere i siti "sicuri" nelle eccezioni.....
Sono d'accordo. Infatti quello è l'approccio "paranoico" per chi sospetta che JavaScript sia pericoloso. Per tutti gli altri è consigliabile un comportamento inverso: tenere abilitato JavaScript e aggiungere i siti "fastidiosi" nelle eccezioni. ;)

Avatar utente
Cris
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 179
Iscritto il: mer apr 30, 2014 11:01 pm

Re: Javascript e sicurezza

Messaggio da Cris » ven mar 27, 2015 11:02 am

CUB3 ha scritto:La sicurezza non è un operazione da eseguire una volta per sempre, è un processo continuo in continua evoluzione.
Insomma è proprio "un lavoro"!!!
...hai ragione, e non solo per la sicurezza per ogni cosa: chi si ferma è perduto!
Pero' bisogna anche saper scegliere e valutare per cosa valga la pena! ;)
ciao
Sempre! Che parola terribile. Quando la sento mi fa venire i brividi. :fiu

Avatar utente
Cris
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 179
Iscritto il: mer apr 30, 2014 11:01 pm

Re: Javascript e sicurezza

Messaggio da Cris » ven mar 27, 2015 11:05 am

PippoDJ ha scritto:Sono d'accordo. Infatti quello è l'approccio "paranoico" per chi sospetta che JavaScript sia pericoloso. Per tutti gli altri è consigliabile un comportamento inverso: tenere abilitato JavaScript e aggiungere i siti "fastidiosi" nelle eccezioni. ;)
.... e funziona (non che avessi dubbi su quello che hai detto, ma ci devo sempre sbattere il naso....) ho messo nelle eccezioni due siti dove passavano i pop-up: non passano più! ;)
Ciao
Sempre! Che parola terribile. Quando la sento mi fa venire i brividi. :fiu

Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 1600
Iscritto il: lun gen 26, 2015 10:13 am

Re: Javascript e sicurezza

Messaggio da CUB3 » sab mar 28, 2015 10:12 am

Cris ha scritto:... Pero' bisogna anche saper scegliere e valutare per cosa valga la pena! ...
CUB3 ha scritto:La sicurezza ...
!!!
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen

Avatar utente
Cris
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 179
Iscritto il: mer apr 30, 2014 11:01 pm

Javascript e sicurezza

Messaggio da Cris » sab mar 28, 2015 12:38 pm

Quindi, nonostante tu abbia detto:
CUB3 ha scritto:Il veicolo per le infezioni non sono i javascript ma, casomai, gli applet java che sono due cose completamente diverse!

I javascript vengono gestiti nativamente dalla maggior parte dei browser mentre gli applet java, dei veri e proprio programmi, richiedono l'installazione del plugin Java per essere eseguiti.

Poiché attualmente i siti che hanno applet java sono pochissimi (nei miei preferiti non ce n'è nemmeno uno) è consigliabile disattivare il plugin Java. Se invece si visita spesso un sito che richiede questo plugin (sarei curioso di sapere qual'è... ) le opzioni di difesa sono 2: assicurarsi di avere sempre l'ultima versione disponibile del plugin e attivare la funzione click-to-play ormai presente in quasi tutti i browser.
Stesso discorso vale per il plugin flashplayer (anch'esso posibile veicolo di infezioni): meglio disinstallarlo, se non se ne può fare a meno tenerlo sempre aggiornato e attivare il click-to-play.

Considerato il fatto che nella maggior parte dei siti l'apertura di una scheda non voluta é più un fastidio che non un vero pericolo, ritieni veramente corretto disabilitare JavaScript e gestire i siti sicuri nelle eccezioni? Questo é il tuo comportamento e/o consiglio?

Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 1600
Iscritto il: lun gen 26, 2015 10:13 am

Re: Javascript e sicurezza

Messaggio da CUB3 » sab mar 28, 2015 4:20 pm

Cris ha scritto:Quindi, nonostante tu abbia detto:
CUB3 ha scritto:Il veicolo per le infezioni non sono i javascript ma, casomai, gli applet java che sono due cose completamente diverse!

I javascript vengono gestiti nativamente dalla maggior parte dei browser mentre gli applet java, dei veri e proprio programmi, richiedono l'installazione del plugin Java per essere eseguiti.

Poiché attualmente i siti che hanno applet java sono pochissimi (nei miei preferiti non ce n'è nemmeno uno) è consigliabile disattivare il plugin Java. Se invece si visita spesso un sito che richiede questo plugin (sarei curioso di sapere qual'è... ) le opzioni di difesa sono 2: assicurarsi di avere sempre l'ultima versione disponibile del plugin e attivare la funzione click-to-play ormai presente in quasi tutti i browser.
Stesso discorso vale per il plugin flashplayer (anch'esso posibile veicolo di infezioni): meglio disinstallarlo, se non se ne può fare a meno tenerlo sempre aggiornato e attivare il click-to-play.

Considerato il fatto che nella maggior parte dei siti l'apertura di una scheda non voluta é più un fastidio che non un vero pericolo, ritieni veramente corretto disabilitare JavaScript e gestire i siti sicuri nelle eccezioni? Questo é il tuo comportamento e/o consiglio?
Confermo tutto quello che ho detto fin qui ma forse è meglio se puntualizzo alcune cose:

- nel primo post si parlava di veicolo per infezioni di virus e quindi ribadisco che il veicolo per l'infezione di virus sono gli applet java e non i javascript;
- i javascript possono essere causa di altri problemi ben più seri dell'apertura di un pop-up o di banner pubblicitari in genere.

I javascript, per esempio, possono essere utilizzati per tracciare l'utente "meglio" (leggi: meglio per i tracciatori, peggio per l'utente attento alla sua privacy) dei cookie.
Oppure possono essere utilizzati per reindirizzare il click di un utente su un link lecito su un'altro link meno lecito oppure per manipolare i dati inseriti in una pagina web e indirizzarli ad un'altro sito (se ti interessa l'argomento: Clickjacking e Cross Site Scripting?).

Quando si parla di sicurezza, non si può sottovalutare nessuno aspetto.

Per rispondere alla tua domanda, poiché in informatica la sicurezza si fa più con le Whitelist che con le Blacklist, si ritengo corretto disabilitare i javascritp e gestire i siti sicuri nelle eccezioni.

Firmato:
uno-che-PippoDJ-chiamerebbe-paranoico :-P
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen

Giampy
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 129
Iscritto il: gio giu 12, 2014 11:08 am

Re: Javascript e sicurezza

Messaggio da Giampy » sab mar 28, 2015 5:06 pm

CUB3 ha scritto:nel primo post si parlava di veicolo per infezioni di virus
Nel primo messaggio non compare la parola virus... Ho parlato di infezioni senza specificare, quindi intendevo tutti i tipi di infezione.

Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 1600
Iscritto il: lun gen 26, 2015 10:13 am

Re: Javascript e sicurezza

Messaggio da CUB3 » dom mar 29, 2015 12:05 pm

Giampy ha scritto:
CUB3 ha scritto:nel primo post si parlava di veicolo per infezioni di virus
Nel primo messaggio non compare la parola virus... Ho parlato di infezioni senza specificare, quindi intendevo tutti i tipi di infezione.
È vero: errorre mio! :muro
Ho inconsciamente associato la parola "infezione" a "virus". Meglio fare chiarezza anche su questo punto:

Se per infezione intendiamo l'installazione di un software illecito o malevolo (detto malware) non necessariamente a carattere virale (cioè che può riprodursi e diffondersi in maniera analoga ai virus), il discorso fin qui è comunque valido: possono esserne causa gli applet java ma non i javascript.
Aggiungerei, giusto per fare ulteriore chiarezza, che quello che ho detto è vero salvo problemi riguardanti il browser: se il browser utilizzato ha un qualche bug nella gestione dei javascript, allora il discorso potrebbe cambiare in base alla gravità del bug. Ma questo è un'altro discorso...
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen

Avatar utente
Cris
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 179
Iscritto il: mer apr 30, 2014 11:01 pm

Re: Javascript e sicurezza

Messaggio da Cris » lun mar 30, 2015 1:29 pm

Grazie per avere condiviso il tuo pensiero CUB3.
CUB3 ha scritto: Per rispondere alla tua domanda, poiché in informatica la sicurezza si fa più con le Whitelist che con le Blacklist, si ritengo corretto disabilitare i javascritp e gestire i siti sicuri nelle eccezioni.
... ed ha anche un suo senso logico: meglio prevenire che curare.....
CUB3 ha scritto:
...(leggi: meglio per i tracciatori, peggio per l'utente attento alla sua privacy)
potresti postare il link per favore? :imbarazzo:
CUB3 ha scritto:
Quando si parla di sicurezza, non si può sottovalutare nessuno aspetto.
... però a questo punto mi si pongono altre domande.....

Se volessi generare la mia Whitelist, quali parametri ho a disposizione per ritenere un sito sicuro?
Mi spiego meglio: se mi affido ad estensioni (es. mi viene in mente Trafficlight di bitdefender) mi avvalgo dell'esperienza e dello studio di persone competenti.
Ma io, comune home user, come posso valutare un sito?
Ogni volta prima di cliccare devo analizzare il link su Virustotal? Ma è sufficiente?

Impostare il browser (parlo sempre di Chrome) così:

Immagine

non dovrebbe evitarmi i tracking cookie?
Sempre! Che parola terribile. Quando la sento mi fa venire i brividi. :fiu

Giampy
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 129
Iscritto il: gio giu 12, 2014 11:08 am

Re: Javascript e sicurezza

Messaggio da Giampy » lun mar 30, 2015 2:38 pm

Cris ha scritto:
CUB3 ha scritto:
...(leggi: meglio per i tracciatori, peggio per l'utente attento alla sua privacy)
potresti postare il link per favore? :imbarazzo:
Cris (Cristina?) mia, ma quello non è un articolo da leggere su un sito: è una precisazione che ha fatto CUB3! :)

Avatar utente
Cris
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 179
Iscritto il: mer apr 30, 2014 11:01 pm

Re: Javascript e sicurezza

Messaggio da Cris » lun mar 30, 2015 2:50 pm

Giampy ha scritto:Cris (Cristina?) mia, ma quello non è un articolo da leggere su un sito: è una precisazione che ha fatto CUB3! :)
Si Cristina!
:uops errore di interpretazione... ho inteso "leggi" come affermazione e non come precisazione!
:grazie
Sempre! Che parola terribile. Quando la sento mi fa venire i brividi. :fiu

Avatar utente
PippoDJ
VIP
VIP
Messaggi: 1677
Iscritto il: sab nov 01, 2014 3:50 pm

Re: Javascript e sicurezza

Messaggio da PippoDJ » lun mar 30, 2015 6:52 pm

CUB3 ha scritto:I javascript, per esempio, possono essere utilizzati per tracciare l'utente "meglio" (leggi: meglio per i tracciatori, peggio per l'utente attento alla sua privacy) dei cookie.
E' vero: JavaScript rende più semplice "farcire" i cookie di informazioni utili ai tracciatori.

Personalmente la cosa non mi disturba più di tanto: se qualcuno ha voglia di perdere tempo per scoprire quali siti visito e quali sono i prodotti che mi interessano, per me non ci sono problemi. Anzi... visto che i banner pubblicitari ci devono essere comunque, quasi quasi preferisco che forniscano consigli più adatti alle mie esigenze. :-P
Si tratta di tecniche discutibili, ma lecite... e confinate al browser. Sarai d'accordo con me che ci sia molta differenza tra questo e gli adware che infettano i PC.

Purtroppo, anche per i cookie, vale lo stesso discorso fatto per JavaScript: disabilitarli limita l'esperienza di navigazione in quei siti che ne fanno un uso corretto.
Oppure possono essere utilizzati per reindirizzare il click di un utente su un link lecito su un'altro link meno lecito oppure per manipolare i dati inseriti in una pagina web e indirizzarli ad un'altro sito (se ti interessa l'argomento: Clickjacking e Cross Site Scripting?).
Questo è un problema più serio. Però, in questo caso, ci sarebbero due considerazioni da fare:
  • Il metodo della whitelist diventa inutile: i siti bersaglio di Clickjacking e Cross Site Scripting sono proprio quelli "fidati", cioè quelli "che non ti aspetti", che vengono alterati sfruttando le vulnerabilità del loro codice lato server.
  • JavaScript, in questo caso, è un accessorio: non è la "causa", ma il "mezzo". Voglio dire: se JavaScript mostra un avviso in cui si afferma che il mio PC è infetto, che devo assolutamente installare il software consigliato e se poi io clicco il "pulsante magico", il problema non è JavaScript: i malintenzionati potrebbero ottenere lo stesso risultato con un link banalissimo.
In questi casi l'unica soluzione è di affidarsi al componente web del proprio antivirus.
Quando si parla di sicurezza, non si può sottovalutare nessuno aspetto.
Assolutamente d'accordo, però è anche importante capire l'entità dei rischi per trovare un giusto equilibrio.
Altrimenti si arriva sempre a:
Eugene H. Spafford ha scritto:The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards - and even then I have my doubts. Eugene "Gene" Howard Spafford
:)
Firmato:
uno-che-PippoDJ-chiamerebbe-paranoico :-P
Ops... veramente io mi riferivo al tipo di approccio... non alla persona che lo mette in pratica. Però ammetto di aver usato un termine infelice: avrei dovuto usare "prudente". :imbarazzo:

Ciao, Pippo.

Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 1600
Iscritto il: lun gen 26, 2015 10:13 am

Re: Javascript e sicurezza

Messaggio da CUB3 » lun mar 30, 2015 11:32 pm

Cris ha scritto:Se volessi generare la mia Whitelist, quali parametri ho a disposizione per ritenere un sito sicuro?
Mi spiego meglio: se mi affido ad estensioni (es. mi viene in mente Trafficlight di bitdefender) mi avvalgo dell'esperienza e dello studio di persone competenti.
Ma io, comune home user, come posso valutare un sito?
Ogni volta prima di cliccare devo analizzare il link su Virustotal? Ma è sufficiente?
Diciamo che far analizzare il sito da almeno 2-3 servizi come virustotal e compagnia bella, per me è sufficiente ed è che quello che io (paranoico :D ) ritengo un giusto compresso.
Per essere assolutamente sicuri si dovrebbe analizzare il codice di ogni singolo script caricato da una sito (un solo sito può caricare anche "n" script senza contare quelli di terze parti) ma questo non è alla portata di tutti.
Cris ha scritto:Impostare il browser (parlo sempre di Chrome) così:

Immagine

non dovrebbe evitarmi i tracking cookie?
Ti evita il tracciamento da cookie tra le sessioni di navigazione, ma consente il tracciamento di una sessione alla volta.
PippoDJ ha scritto:E' vero: JavaScript rende più semplice "farcire" i cookie di informazioni utili ai tracciatori.

Personalmente la cosa non mi disturba più di tanto: se qualcuno ha voglia di perdere tempo per scoprire quali siti visito e quali sono i prodotti che mi interessano, per me non ci sono problemi. Anzi... visto che i banner pubblicitari ci devono essere comunque, quasi quasi preferisco che forniscano consigli più adatti alle mie esigenze. :-P
Si tratta di tecniche discutibili, ma lecite... e confinate al browser. Sarai d'accordo con me che ci sia molta differenza tra questo e gli adware che infettano i PC.
Sono daccordo con te che gli adaware siano peggiori del tracciamento da cookie, posso anche capire che possa interessare o meno essere tracciati. Mi trovi un po' meno daccordo sul fatto che i banner pubblicitari ci debbano essere (su tutti i siti, almeno), soprattutto se consideri che la maggior parte degli attacchi di Clickjacking e XSS non viene direttamente dal sito visitato ma dai banner pubblicitari o frame ospitati dal sito visitato ma "hostati" su un'altro sito!!
PippoDJ ha scritto:Purtroppo, anche per i cookie, vale lo stesso discorso fatto per JavaScript: disabilitarli limita l'esperienza di navigazione in quei siti che ne fanno un uso corretto.
Ecco perché anche per i cookie si dovrebbe avere una Whitelist...
PippoDJ ha scritto:
Oppure possono essere utilizzati per reindirizzare il click di un utente su un link lecito su un'altro link meno lecito oppure per manipolare i dati inseriti in una pagina web e indirizzarli ad un'altro sito (se ti interessa l'argomento: Clickjacking e Cross Site Scripting?).
Questo è un problema più serio. Però, in questo caso, ci sarebbero due considerazioni da fare:
  • Il metodo della whitelist diventa inutile: i siti bersaglio di Clickjacking e Cross Site Scripting sono proprio quelli "fidati", cioè quelli "che non ti aspetti", che vengono alterati sfruttando le vulnerabilità del loro codice lato server.
  • JavaScript, in questo caso, è un accessorio: non è la "causa", ma il "mezzo". Voglio dire: se JavaScript mostra un avviso in cui si afferma che il mio PC è infetto, che devo assolutamente installare il software consigliato e se poi io clicco il "pulsante magico", il problema non è JavaScript: i malintenzionati potrebbero ottenere lo stesso risultato con un link banalissimo.
In questi casi l'unica soluzione è di affidarsi al componente web del proprio antivirus.
Quando si parla di sicurezza, non si può sottovalutare nessuno aspetto.
Assolutamente d'accordo, però è anche importante capire l'entità dei rischi per trovare un giusto equilibrio.
Altrimenti si arriva sempre a:
Eugene H. Spafford ha scritto:The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards - and even then I have my doubts. Eugene "Gene" Howard Spafford
:)
Come ho già scritto sopra, solitamente non è tanto il sito fidato quanto i contenuti "terzi".
Se poi mi parli di siti fidati che vengono compromessi, potrei parlarti di falle 0day non rilevabili dall'antivirus... Ci sarà sempre qualcosa che, alla fine, mi porterà alla situazione descritta da Spafford!!
Proprio per non arrivare fino a quel punto ma limitandoci per cercare di avere un sistema utilizzabile e "sicuro", si dovrebbe cercare di ridurre il più possibile quella che viene chiamata "superficie di attacco", limitando (con whitelist, possibilmente) tutti i punti su cui si può avere un controllo agevole.
Per me uno di questi punti è il controllo dei javascript che può essere fatto in diversi modi (per esempio come faccio io in maniera più o meno capillare oppure utilizzando singoli addons che offrono protezione specifica contro gli attacchi descritti [Clickjacking e XSS] come per esempio Noscript su Firefox [per Cris: no, per chrome non ne conosco nessuno, mi dispiace :( .]

Benissimo se abbiamo anche un antivirus che controlla la navigazione, ma perché fare affidamento solo su quello quando posso agevolmente limitargli il lavoro?
La sicurezza viene fatta anche a diversi livelli.... giusto per chiarire il concetto: sono un trapezzista del circo, perché devo fare affidamento solo sulla rete di protezione, quando posso avere anche un cavo di sicurezza e polvere di magnesio per le mani? Se qualcosa va storto ho sempre una sicurezza in più!
PippoDJ ha scritto:
Firmato:
uno-che-PippoDJ-chiamerebbe-paranoico :-P
Ops... veramente io mi riferivo al tipo di approccio... non alla persona che lo mette in pratica. Però ammetto di aver usato un termine infelice: avrei dovuto usare "prudente". :imbarazzo:

Ciao, Pippo.
:rotolo:rotolo:rotolo
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Javascript e sicurezza

Messaggio da System » lun mar 30, 2015 11:32 pm


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio