Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > News - AV e sicurezza
Ricarica la Pagina Nuovo attacco: Clickjacking

ASUS Vivobook S15: è tempo di Qualcomm Snapdragon X Elite
ASUS Vivobook S15: è tempo di Qualcomm Snapdragon X Elite
Il primo notebook Windows con SoC Qualcomm Snapdragon X Elite giunge in redazione per i nostri consueti test: le novità architetturali di questa piattaforma sono numerose ma a interessare è soprattutto la ventata di novità che questa porta all'interno dell'ecosistema dei sistemi notebook. Windows per ARM sarà però in grado di assicurare la compatibilità con tutte le applicazioni?
SAP cambia pelle: cloud, intelligenza artificiale e clean core al centro della nuova strategia
SAP cambia pelle: cloud, intelligenza artificiale e clean core al centro della nuova strategia
SAP Sapphire 2024 Barcellona, l’evento annuale dell’azienda, ci ha dato l’occasione per approfondire i punti principali della strategia di SAP: cloud, intelligenza artificiale e clean core. Cambia profondamente il modo di interpretare tecnologie e processi, con al centro l’IA
Recensione HUAWEI MatePad 11.5''S, con il display PaperMatte si scrive come sulla carta
Recensione HUAWEI MatePad 11.5''S, con il display PaperMatte si scrive come sulla carta
HUAWEI MatePad 11,5''S è il nuovo tablet tuttofare di Huawei. Un device che adotta un display PaperMatte offrendo un'esperienza di scrittura e lettura simile alla carta, e vantando al contempo funzionalità pensate per la produttività come due accessori dedicati fra pennino e tastiera magnetica. Lo abbiamo provato e vi raccontiamo tutto quello che c'è da sapere nella nostra recensione completa.
Occhio ai prezzi del Nothing Phone (2a), oggi a meno di 310€ nella versione 8/128 GB
IA ipermodale, affidabilità dei risultati e osservabilità: ne parliamo con il CEO di Dynatrace
AMD risponde a Intel sul caso EPYC Turin: la vostra libreria pubblicata dopo i nostri test
ASUS svela un nuovo colore per Zenfone 11 Ultra: Verdure Green è un tributo alla natura
Ecco un ottimo aspirapolvere robot da Imou con specifiche top (4500Pa e Navigazione LiDAR) a meno di 150 euro
Inside Out 2: il ritorno nella mente di Riley tra nuove emozioni e adolescenza. Recensione
Kobo Clara Colour, uno dei migliori ebook reader in assoluto, scende a 139€ (costava 159€)
Logitech Keys-To-Go 2 ufficiale: l'essenza della mobilità digitale in una tastiera
Apple Intelligence, alcune feature IA non arriveranno al lancio di iOS 18
Fai da te, il low cost che merita (tipo un trapano avvitatore con 2 batterie 20V a 35€!): vanno benissimo e si spende veramente poco!
Supermicro si espande nella Silicon Valley sulla spinta dei datacenter raffreddati a liquido
Tutti gli articoli Tutte le news

Vai al Forum
Pagina 3 di 3 < 1 2 3
Rispondi
 
Strumenti
Old 08-10-2008, 12:07   #41
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Quote:
Originariamente inviato da W.S. Guarda i messaggi
A questo affiancaci lo storage lato client e vedi che bel casino salta fuori

Non ci si scappa, l'architettura alla base è troppo debole, si ha pensato troppo alle funzionalità e troppo poco alla sicurezza. Ora ne hai voglia di metterci pezze.

Un hips per verificare il comportamento del codice web penso sarebbe ancora più complesso rispetto a quelli che conosciamo. Buona l'idea, ne ho sentito parlare anche un annetto fa, da qui ad implementarla... è una grande sfida.
secondo me before long si comincera' a parlare di una riscrittura del sistema
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 08-10-2008, 12:12   #42
W.S.
Senior Member
 
L'Avatar di W.S.
 
Iscritto dal: Nov 2005
Messaggi: 1868
Quote:
Originariamente inviato da Sisupoika Guarda i messaggi
secondo me before long si comincera' a parlare di una riscrittura del sistema
Eh, sarebbe cosa buona e giusta

Ma quanti anni ci vorranno prima di realizzarla?
__________________
[ W.S. ]
W.S. è offline   Rispondi citando il messaggio o parte di esso
Old 08-10-2008, 13:58   #43
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Quote:
Originariamente inviato da W.S. Guarda i messaggi
Eh, sarebbe cosa buona e giusta

Ma quanti anni ci vorranno prima di realizzarla?
Uhm...vediamo. Se penso che IPv6 e' ancora li' ad aspettare... uhm... non la vedo bene
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 08-10-2008, 15:12   #44
riazzituoi
Bannato
 
Iscritto dal: Aug 2007
Messaggi: 3847
.
Ultima modifica di riazzituoi : 29-04-2010 alle 11:45.
riazzituoi è offline   Rispondi citando il messaggio o parte di esso
Old 08-10-2008, 16:48   #45
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Quote:
Issue #1 STATUS: Unresolved. Clickjacking allows attackers to subvert clicks and send the victim’s clicks to web-pages that allow themselves to be framed with or without JavaScript. One-click submission buttons or links are the most vulnerable. It has been known since at least 2002


Quote:
If you like Michael Zalewski’s term “UI redress attack
"UI redress attack" suona piu' figo

Quote:
Issue #2 STATUS: Unresolved. ActiveX controls are potentially susceptible to clickjacking if they don’t use traditional modal dialogs, but rather rely on on-page prompting. This requires no cross domain access, necessarily, which means iframes/frames are not a prerequisite on an attacker controlled page.
Anche questo e' noto da anni. Uhm...

Quote:
Turning off microphone access in the BIOS and unplugging/removing controls to the camera are an alternative.
Oppure, se si ha un microfono USB, si puo' impostare l'ingresso mic della scheda audio come predefinito, e attivare quello usato soltanto nelle applicazioni che lo usano

La webcam? La giri contro la parete quando non la usi

Quote:
Issue #2c STATUS: To be fixed in Flash 10 release. All versions of Flash on IE7.0 and IE8.0 can be overlayed by opaque div tags. Using an onmousedown event handler the object click registers as long as the divs are removed by the onmousdown event handler function. Demo here of stealing access to the microphone.
Come dicevo in un altro post, questo e' un esempio di come si possono sfruttare tecniche vecchie, in modalita' del tutto nuove. Geniale, cmq.

Quote:
Issue #3 STATUS: To be fixed in the final release candidate. Flash on IE8.0 Beta is persistent across domains (think “ghost in the browser”). This would be a much worse vulnerability except for the fact that it beta and almost no one is using it.
LOL

Quote:
Issue #4 STATUS: Unresolved. Framebusting code does not appear to work well on some sites on IE8.0 Beta. Instead it is marked as a popup which is blocked by the browser - disallowing the frame busting code from executing.
Azz, IE8 sembra iniziare bene
Ma dico, neanche le basi?

Quote:
Issue #5 STATUS: Unresolved. State of clicks on other domains can be monitored with JavaScript (works best in Internet Explorer but other browsers are vulnerable too) which is cross domain leakage and can allow for more complex multi-click attacks. For example a page that has a check box and a submit button could be subverted upon two successful clickjacks. Additionally, this can make the attack completely seemless to a user by surrendering control of the mouse back to the user once the attack has completed.
Questa suona figa..uhm... bisogna fare delle prove


Quote:
Issue #6 STATUS: Unresolved. “Unlikely” XSS vulnerabilities that require onmouseover or onmousedown events on other parts of pages on other domains are suddenly more likely. For example if a webpage has a XSS vulnerability where the only successful attacks are things like onmouseover or onmousedown, etc… on unlikely parts of the page, an attacker can promote those exploits by framing them and placing the mouse cursor directly above the target XSS area. Therefore, otherwise typically uninteresting or unlikely XSS exploits can be made more dangerous.
Questa e' una altra conseguenza del trick datato, non vedo perche' considerarla a parte

Quote:
ecurity=restricted as a way to break frame busting code, and that is true, although it also fails to send cookies, which might break any significant attacks against most sites that check credentials.
Infatti, ma non si e' parlato per niente di P3P.
Vado a lasciare un commento. A dopo
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 08-10-2008, 17:14   #46
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Ho lasciato un commento. Sono curioso di capire se c'e' un motivo per cui P3P (e cio' che avrebbe dovuto essere) non e' stato neanche menzionato in occasione di questa "scoperta".
Forse mi sono perso qualcosa...
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 09-10-2008, 15:08   #47
riazzituoi
Bannato
 
Iscritto dal: Aug 2007
Messaggi: 3847
.
Ultima modifica di riazzituoi : 29-04-2010 alle 11:46.
riazzituoi è offline   Rispondi citando il messaggio o parte di esso
Old 20-12-2008, 16:04   #48
riazzituoi
Bannato
 
Iscritto dal: Aug 2007
Messaggi: 3847
.
Ultima modifica di riazzituoi : 29-04-2010 alle 11:46.
riazzituoi è offline   Rispondi citando il messaggio o parte di esso
Pagina 3 di 3 < 1 2 3
 Rispondi

« Discussione precedente | Discussione successiva »

ASUS Vivobook S15: è tempo di Qualcomm Snapdragon X Elite ASUS Vivobook S15: è tempo di Qualcomm Sn...
SAP cambia pelle: cloud, intelligenza artificiale e clean core al centro della nuova strategia SAP cambia pelle: cloud, intelligenza artificial...
Recensione HUAWEI MatePad 11.5''S, con il display PaperMatte si scrive come sulla carta Recensione HUAWEI MatePad 11.5''S, con il displa...
Recensione HONOR 200 Pro: potrete fare ritratti da fotografo professionista!  Recensione HONOR 200 Pro: potrete fare ritratti ...
I robot tagliaerba che nascono in Italia: visita nella sede (e nella fabbrica) di Stiga I robot tagliaerba che nascono in Italia: visita...
Occhio ai prezzi del Nothing Phone (2a),...
IA ipermodale, affidabilità dei r...
AMD risponde a Intel sul caso EPYC Turin...
ASUS svela un nuovo colore per Zenfone 1...
Ecco un ottimo aspirapolvere robot da Im...
Inside Out 2: il ritorno nella mente di ...
Kobo Clara Colour, uno dei migliori eboo...
Logitech Keys-To-Go 2 ufficiale: l'essen...
Apple Intelligence, alcune feature IA no...
Fai da te, il low cost che merita (tipo ...
Supermicro si espande nella Silicon Vall...
La Federal Trade Commission contro Adobe...
Le Beats Studio3 Wireless con chip Apple...
Samsung SAINT-D, entro l'anno pronta la ...
Tornano in offerta per utenti Prime gli ...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi
Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 10:13.

Contattaci - Hardware Upgrade - Archivio - Note sulla Privacy - Su

Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Served by www1v