Browser: Configurazioni di sicurezza

[Kohai]

Quote:

Originariamente inviato da Draven94

In risposta a quanti hanno problemi di login in hotmail con opera, ho appena provato e non ho riscontrato niente di tutto ciò. Poi una mia considerazione personale: reputo che l'utilizzo di opera non sia strettamente legato alle "condizioni" della "macchina" nel senso che anche su un PC di ultima generazione può essere usato in modo costante
Alla fine come browser fa quello che deve fare e se guardiamo al lato sicurezza c'è da dire che offre buone garanzie

Per quanto riguarda il login in hotmail la stessa cosa me la confermava un altro utente nel thread di opera, ma io provato e riprovato, nulla
Per la velocita' di opera... sai cosa significa attendere 7, 8 o anche 10 secondi prima che si avvii il browser? O aspettare 5, 6 secondi per andare da una pagina all'altra (nel senso che si sia caricata del tutto)?... Questo era quello che mi accadeva prima di opera.... sicuramente con i nuovi processori questa differenza si notera' mooooolto di meno, ma credimi, il mio computer con opera e' rinato Che poi per scelte personali si usi opera anche su computer di nuova generazione ben venga Quindi giusto anche il tuo pensiero

Quote:

Originariamente inviato da Romagnolo1973

Non metto dubbio che sia una mia qualche impostazione ma ho davvero provato di tutto, anche mascherandomi, dando al sito ogni tipo di ok, cookie, java ecc... ma io mai vi sono entrato e non sono il solo.
Per esempio l'ultima versione riesce a entrare nei social network, cosa che fino a questa ultima non era possibile (orkut, facebook ecc..) quindi loro fanno di tutto per migliorarlo.
Le garanzie di sicurezza non sono buone ma ottime, ma in un pc datato è secondo me non una possibilità ma una scelta fortunatamente obbligata quella di usarlo, mentre su un pc di oggi Opera è una opzione fruibile in luogo di un FF con Noscript e sicuramente preferibile a un FF nudo e crudo.
Almeno a mio modestissimo parere, ne sono stato un grande fan e ancora lo supporto e consiglio agli amici poco esperti (che quindi mal supportano FF e i plugin) sperando di sdoganarlo dal quasi anonimato in cui vive purtroppo

Quoto

[Kohai]

Quote:

Originariamente inviato da sampei.nihira

Perchè non provi allora Safari 4 e ci dici le tue impressioni ?

Piu' in la, perche' no?
Ciao sampei!!

[Romagnolo1973]

Quote:

Originariamente inviato da Milliondollar

scusa se mi permetto di fare un'osservazione sui settaggi di Firefox 3 ma una volta settato per cancellare i cookies alla chiusura di Firefox cosi' come configurata l''eliminazione della cache alla chisura di Firefox 3 , il resto ovvero il controllo antisiti malware e anti siti phishing incorporato in Firefox cosi' come l'autoaggiornamento di Firefox 3 e dei plug-in e' gia' tutto impostato in automatico attivo di default

come estensione fondamentale Noscript credo basta ed avanza ( anche perche' sovente bisogna poi necessariamente acconsentire agli javascript altrimenti non si vedono i siti )

Poi si settano i DNS sulla scehda di rete di OpenDNS che sono antipshishing pure quelli ed anti Dns Pharming e che si aggiungono gia' alla protezione embedded di Firefox 3 che blocca anche i siti segnalati come malware e si sta' apposto

Il resto delle estensioni che hai indicato sono puntiglioserie maniacali che non vedo necessarie .Non vorrei che si passase alla pura fobia maniacale, solo quello

ciao grazie

I settaggi sono per inesperti o medio esperti (tu sei un utente già esperto) e quindi per loro settare openDNS è già qualcosa di particolarmente complicato, se poi ci aggiungi che a volte alcuni siti risultano irraggiungibili sebbene legittimi (tra cui questo con cadenza mensile ) e che se i propri dns vanno bene non è necessario modificarli, ho inteso fare una guida per tutti gli utenti e tutti i livelli di maniacalità che ci si possa incontrare. Inoltre il pivellino è proprio quello a cui è il caso di fare in modo che sia maniacale visto che spesso si espone a pericoli che l'utente esperto non avrebbe (come tu hai scritto giustamente nel post sopra si infilano in luoghi della rete che non è il caso visitare e cliccano su ogni sorta di banner) ecco perchè ADBLOCK PLUS è necessario (ma a dire il vero serve anche a te, provalo con le liste che ho segnalato escludendo di installare quella antimalware che appesantisce, vedrai la navigazione ben più veloce tra le altre cose) , poi ti consiglio anche BetterPrivacy e vedrai che nonostante si cancellino i cookie alla fine sessione qualcosa rimane. Fiekeeper anche (senza aggiungere liste ma solo lui nudo e crudo) è ugualmente molto utile andando a coprire aree che Noscript non copre.
Wot serve molto ai novellini per evitare che si infilino sul primo sito della ricerca con google che spesso è farlocco, usarlo magari evita che vadano lì credendo sia un sito legittimo a scaricare il flash che dicevi.
Per la gestione dei cookie poi io stesso uso solo le impostazioni di cancellazione che tu hai detto, non li reputo pericolosissimi ma è perchè io chiudo e riapro spesso, c'è gente invece che la sessione la tiene aperta 24 ore, in quel caso un controllo dei cookie è necessario.
Io personalmente , utente mediamente esperto utilizzo noscript - adbloclplus (con le liste segnalate ma senza lista antimalware) - firekeeper (senza liste aggiunte) - betterprivacy - refcontrol
Non sono maniacale, ma voglio solo che quei "geni" che tu hai elencato sopa possano avere qualche dubbio su quello che stanno per fare e magari si redimano e non scarichino schifezze indiscriminatamente, è impresa quasi impossibile ma io sono testone e ci provo

@ riazzi

ho riletto gli ultimi post, c'è un punto sul quale secondo me non ci siamo capiti
ti spiego, sta modalità protetta confina IE a scrivere in una zona sicura, inoltre il meccanismo degli IL fa si che non possa fare determinate cose con un processo che abbia IL più elevati (alla fine è questo no?)

quindi quando io leggo di un ricercatore che riesce a bypassare la modalità protetta immagino che questo affermi di riuscire a far si che IE riesca a "comunicare" un azione vietata ad un processo che abbia un IL più elevato, oppure che riesca a far uscire IE dalla zona in cui è confinato ...

per questo ti dicevo che all'inizio del test prospettavamo altre modalità .. cioè io mi aspettavo una cosa tipo questa (che è il compito della modalità protetta)..per questo non capivo il test html
io mi aspettavo un test dove entravano in gioco gli IL o altri aspetti delle mod protetta attraverso il test html (senza per questo scrediitare il test che mostravi, che anzi ho trovato interessante come modalità)
ovvero il test html dovrebbe chiamare in causa la modalità protetta

se per esempio il sistema è stato concepito per far si che IE non possa dialogare con un processo che abbia un IL alto (quindi un azione espressamente vietata senza eccezioni ) il ricercatore riesce a farli comunicare..questo intendevo quando parlavo di bypassare

se poi microsoft ammette che in determinate circostanze questo meccanismo può essere superato (esempio perché è necessario ad un applicazione ) e il ricercatore sfrutta questo aspetto per "evadere" la modalità protetta allora più che bypassare lui sfrutta una funzionalità espressamente accettata

edit: aggiungo una cosa su quest'ultimo punto per farmi capire meglio ...quando il ricercatore parla di bypassare la mod protetta con un file html in uno zip questo ricercatore sfrutta una falla oppure sfrutta una funzionalità concessa?

[Romagnolo1973]

Quote:

Originariamente inviato da Milliondollar

Ok posso condividere cio' che hai detto per i piu' niubbi ..sappiamo comunque pero' che se e' l'utente stesso che scarica ed installa warez, finti codec e/o plug-ins per il browser da siti farlocchi e non tiene poi il browser web aggiornato come il sistema operativo , clicca dappertutto ed acconsente anche agli Acitve X ( se usa IE) piu' usa un antivirus del menga e che rileva poco niente non c'e' soluzione che tenga purtroppo e si torna sempre al punto da capo

i coockies io li vedo piu' come prezzemolino maniacale ..le cose serie malware IMHo sono ben altre

condividi?

ciao

Certo dipende tutto da chi è davanti al pc, a quello non si può porre rimedio
Pure io mi limito ala mia gestione cookie che è la tua (ovvero eliminazione ala chiusura) poichè pure io li considero non così fondamentali ma evidentemente io e te abbiamo un uso simile del browser con sessioni corte, per chi invece lo tiene aperto sempre ,l'avere il cookie che registra la sua presenza sul suo sito bancario potrebbe portare un aggressore a farli arrivare via posta magari una bella email finta del suo gestore bancario e... insomma meglio che si proteggano un po' di più.
Ovvio che chi è esperto può fare a meno di cookiesafe, io infatti non lo ho mai usato e altro, ma Adblock plus-Noscript-Firekeeper servono a chiunque esperto o no per rendere FF decisamente sicuro e non rallentano la navigazione anzi la velocizzano

[jedy48]

avete provato Zone Alarm Forceshield? in pratica avvia il browser(se volete )in modalità virtuale, in pratica fate tutte le azioni che volete, i download ecc...(solo però che SEMBRA abbiate fatto il download, ma la cartella è VUOTA ) e se invece volte navigare normalmente cè l'opzione per farlo provatelo, accetta tutto, poi quando chiudete il browser non cè traccia di nulla, acquistate in tranquillità perchè le transazioni vengono fatte realmente, ma NON rimane nessuna traccia, nè nei file temporanei e nella cronologia

[jedy48]

Quote:

Originariamente inviato da Milliondollar

Per le connessioni Https sulle transazioni sicure etc la cache nn viene conservata almeno e' cosi' per Firefox 3 ( uso solo FF oramai e nn ho mai preso niente sul sistema anche navigando sui piu' beceri siti ) per gli altri browser mi confermer'a qualcuno che li usa se e' uguale

la cronologia del browser che problemi di sicurezza dovrebbe dare??

ciao

quel programma funziona anche per Firefox e Google Crome la cronologia di FF ti sembra che non ci sia, ma un esperto la vede e da li può risalire dove gli pare

[riazzituoi]

.

[jedy48]

quindi il programma che ho detto io è VALIDISSIMO, naviga in virtualizzazione se fai un download quando viaggi così SEMBRA che scarichi realmente, ma se vai a vedere nella cartella dove dovrebbe essere NON cè NULLA , quindi activex e roba varia script ti fanno un baffo

[Draven94]

Quote:

Originariamente inviato da jedy48

quindi il programma che ho detto io è VALIDISSIMO, naviga in virtualizzazione se fai un download quando viaggi così SEMBRA che scarichi realmente, ma se vai a vedere nella cartella dove dovrebbe essere NON cè NULLA , quindi activex e roba varia script ti fanno un baffo

Bhè, qui sul forum molti utilizzano Sandboxie per tale scopo che in sostanza può virtualizzare non solo il web browser ma anche altre applicazioni.

[Romagnolo1973]

Quote:

Originariamente inviato da Draven94

Bhè, qui sul forum molti utilizzano Sandboxie per tale scopo che in sostanza può virtualizzare non solo il web browser ma anche altre applicazioni.

e inoltre SB è free (rispetto alla versione a pagamento si deve attendere 5 secondi che parta il bowser , insomma sopportabile)
e sicuramente più "collaudato" di ForceField contro le minacce visto quanti lo usano con soddisfazione
Edit: Force field è pure a pagamento vedo ora
PS invece di editare mi sa che mi sono autosegnalato :-) se è così chiedo scusa ai mod sarà l'ora di andare a dormire vaaa

[sampei.nihira]

Vi inserisco la situazione sicurezza browser nelle versioni stabili e non di sviluppo prendendo come esempio i dati Secunia:

Internet Explorer 7
Internet Explorer 8
Firefox 3
Opera 9
Safari 3
Chrome 1

Dai link si nota come sia consigliato l'aggiornamento da I.E.7 alla nuova versione 8.

Coloro che installeranno nella versione 8 l'add-on I.E.7 Pro,come consigliato da Romagnolo1973, saranno avvisati in modo automatico,come si rileva dall'immagine sotto dell'esistenza della versione successiva che sostituisce quella attuale.

@ riazzi

sul tuo ultimo post sono d'accordo quasi su tutto (per vulnerabilità credevo intendessimo errori di programmazione )sulle parti che non quoto sono d'accordo o comunque le ritengo secondarie nel punto di vista che cerco di esprimere nel post

Quote:

Originariamente inviato da riazzituoi

il web è pieno di siti compromessi (basta anche vederi i post di Edgar) che sfruttano ogni sorta di attacco, specie quelli drive by download, (probabilmente sono più quelli compromessi che quelli buoni )

condivido il fatto che il web sia pieno di siti compromessi,spesso però a me sembra che la tendenza sia quella di colpire nel mucchio senza badare troppo alla qualità dell'attacco (questo nella stragrande maggioranza dei casi) ...ti faccio un esempio che non saprei quanto sia attinente con il thread ma è per rendere il concetto...l'utente A finisce su un sito sconosciuto, che richiede in maniera automatica il download del file attacco.exe ..l'utente accetta il download e successivamente avvia il file...qui l'utente non rispetta 4 requisiti di sicurezza
-download da sito sconosciuto-download di file non richiesto-download di un applicazione di cui non conosce le possibili implicazioni che avrà sul sistema- esecuzione di file proveniente da fonte non sicura...
in questo caso secondo me non si può dire che l'attacco sia stato ben ideato...

faccio un altro esempio...attacco via posta elettronica...e-mail proveniente da una banca qualsiasi (di cui magari l'utente non è nemmeno cliente, o magari non dispone proprio di un conto in banca...visto i tempi ) scritta in italiano dal traduttore di google l'utente apre l'e-mail e segue le istruzioni che sono riportate ...tutto possiamo dire tranne che l'attacco era portato con genialità o originalità

il malware che criptava i dati dell'utente per chiedere un riscatto ...(gpcode se non sbaglio) che già cerca di fare un qualcosa di più complesso, ma che poi sbaglio nell'operazione di cifratura dei dati

spesso alcuni malware non hanno nemmeno un meccanismo di protezione decente, (alcuni antispy ne rimuovono una decina in un colpo solo)

tutto questo per dire che secondo me la tendenza è spesso quella di colpire nel mucchio, tranne alcuni casi

Quote:

Originariamente inviato da riazzituoi

qualunque pagina html locale. Nell'esempio non vedi il protected mode disattivato perchè ho inserito un marcatore che indica che il file html risulta scaricato dalla zona Internet, questo perchè sarebbe stato più impegnativo scrivere un poc in grado di eseguire l'hack della cronologia o il keylogger in locale (quando ho un pò di tempo magari ne faccio uno più interessante)

una precisazione su questo punto...chiedevo la pagina alla quale ti riferivi, in quanto avendo fatto un giro abbastanza lungo per scaricare il file non avevo fatto attenzione al fatto se tutte erano in modalità protetta

Quote:

Originariamente inviato da riazzituoi

Il punto è che aggiro la modalità protetta, quindi non c'è uno "scontro diretto". Per bypassare il protected mode con uno "scontro diretto" serve un attacco più complesso, ad esempio sfruttando gli activex

anche l'account admin, fino ad XP era "necessario ad un applicazione", quindi il fatto che tutti i malware sfruttassero "una funzionalità espressamente accettata", non ci può far parlare di vulnerabilità?
Strano che allora abbiano cambiato politica con Vista...

Sfrutta ciò che la microsoft ha messo a disposizione implementando queste nuove funzionalità nell'archtettura di IE su Vista. E se questo può creare potenzialmente danni, senza l'intervento dell'utente, per me è una vulnerabilità.

sono d'accordo sul fatto che se la funzionalità permette un attacco troppo facilmente si tratta di un punto debole...ti dico perché faccio molta attenzione a questo aspetto...
quando viene progettato un SO un browser o qualsiasi altro software questo non deve rispondere solo al requisito sicurezza, ma anche a quello della compatibilità, della comodità ecc...se io faccio un SO blindatissimo che taglia fuori tutti i componenti di terze parti che non rispecchiano determinati requisiti di sicurezza, il rischio è quello che poi tutte le applicazioni devono essere riscritte affinché si adeguino al cambiamento, questo è già successo con vista e molti utenti se ne sono lamentati (esempio dovendo comprare nuove licenze di software)...se io sviluppo un sistema di sicurezza solidissimo ma poi è scomodo da usare l'utente disattiva la funzionalità scomoda ma sicura (perdendo la sicurezza)
quando è stato ideato UAC pensavano di far premere CTRL (se non sbaglio) e poi dare l'ok ma era scomodissimo e quindi ci hanno rinunciato (altrimenti tutti disattivavano UAC)

se per esempio la scansione di antivir può essere terminata da task manager(che magari è utile quando si blocca la scansione ) e qualcuno sfrutta questo aspetto per bloccare la scansione io non parlerei di vulnerabilità ma di una funzionalità usata impropriamente

ps: questi sono alcuni aspetti sui quali volevo aggiungere queste cose, ma sono sostanzialmente d'accordo con il tuo ultimo post
ps2: una curiosità sulle estensioni di firefox nel 3d per aumentare l'anonimato\sicurezza... puoi riportare un immagine delle estensioni /script di greasymonkey che usi? (anche quelle non di sicurezza, se possibile?)

[riazzituoi]

.

Quote:

Originariamente inviato da riazzituoi

E' vero che usabilità e sicurezza spesso non vanno d'accordo, ma se c'è un problema di fondo nell'architettura (in questo caso facilemnte risolvibile, ad esempio abilitando il protected mode anche per la zona locale), non ci si può nascondere dietro alla comodità. Altrimnti si rischia di fare come in Windows 7, dove hanno reso meno aggressivo, ma anche meno sicuro, l'UAC

condivido che in una situazione in cui aggiungere una funzionalità di sicurezza non avrebbe conseguenze su altri fattori, questa va aggiunta...

diciamo che sottolineo il fatto che in generale per aziende non di nicchia è più difficile, perché i fattori che entrano in gioco sono di più, anche legati al feedback degli utenti...

Quote:

Originariamente inviato da riazzituoi

Ho 2 "installazioni" di firefox, una normale e una da usare con Tor.
In quella normale uso NoScript, Adblock plus, Adblock Plus Element Hiding Helper, UnMHT, Hyperwords, Useragent switcher, SafeCache, SafeHistory, RefControl, PwdHash, CookieSafe

grazie, credevo ne avessi una trentina come me per questo ti dicevo che andava bene anche l'immagine (se le scrivo io non finisco più)

ps: ho provato seamonkey sempre di mozilla se non sbaglio..devo dire che ci sono alcune opzioni molto comode, esempio per nascondere le varie barre del browser oppure la gestione avanzata dei cookie (che su firefox non ricordo) ...sarebbe ottimo un solo browser con tutte le migliorie (oppure un estensione che aggiunge le funzioni mancanti)

[Ignorante Informatico]

@Romagnolo1973:

riguardo a NoScript, penso sarebbe il caso di includere taluni domini nella funzione Avanzate > HTTPS > Comportamento > Costringi i seguenti siti....

In particolare, inserirei i domini di servizi e-mail ed altri il cui uso sarebbe consigliabile con l'HTTPS (in pratica, molti già inclusi in whitelist ).

[sampei.nihira]

Uscito FF 3.0.9:

http://download.mozilla.org/?product...os=win&lang=it

p.s. Controllate visto che la pagina ufficiale ancora riporta la vecchia versione.

[Kohai]

Ragazzi sicuramente gia' lo saprete, comunque mi andava di sottolineare che il browser test effettuato su pcflank con Opera, e' stato brillantemente superato, cosa che invece non era riuscito con firefox.... Con questo non voglio dire che opera sia migliore, pero' con la configurazione base e mettendo in atto i consigli posti in prima pagina il test lo ha superato agevolmente. Un salutone a tutti quanti, ciaooooooo

[jedy48]

Quote:

Originariamente inviato da sampei.nihira

Uscito FF 3.0.9:

http://download.mozilla.org/?product...os=win&lang=it

p.s. Controllate visto che la pagina ufficiale ancora riporta la vecchia versione.

io uso la versione 3.1 beta3 e và alla grande

[Romagnolo1973]

Quote:

Originariamente inviato da sampei.nihira

Uscito FF 3.0.9:

http://download.mozilla.org/?product...os=win&lang=it

p.s. Controllate visto che la pagina ufficiale ancora riporta la vecchia versione.

Si è installato da solo ovviamente come suggerito anche in pagina 1 è fondamentale avere i programmi fixati e magari se lo fanno in automatico meglio
Ecco le novità della versione
http://it.www.mozilla.com/it/firefox/3.0.9/whatsnew/

ed in particolare i fix a livello di sicurezza
http://www.mozilla.org/security/know...l#firefox3.0.9