Cerca nel blog

2005/12/09

Firefox 1.5 fallato, ma non gravemente come sembrava

Falla in FireFox. Non è critica ma sempre meglio aggiornare


Questo articolo vi arriva grazie alle gentili donazioni di "eversordvl", "gennies" e "paolo.bon****".

Packetstorm Security ha annunciato una falla nella nuova versione, la 1.5, del popolare browser alternativo gratuito Firefox (disponibile per Linux, Mac e Windows in inglese e molte altre lingue, italiano compreso). La notizia è stata riportata inizialmente con molto allarme da parte di CNet.com. Tuttavia la falla è meno grave di quanto sembrasse inizialmente, e per molti utenti semplicemente non esiste. CNet.com ha pubblicato una rettifica.

La reputazione di sicurezza di Firefox rimane quindi piuttosto solida, specialmente se confrontata con le numerose falle devastanti che persistono in Internet Explorer. È per questo che consiglio da anni di usare Firefox o Opera al posto di Internet Explorer e pubblico il pulsante di invito a Firefox in questo blog.

A proposito: se usate già Firefox, vi consiglio vivamente di aggiornarlo alla versione 1.5, che ha migliorato nettamente le proprie prestazioni. Per esempio, adesso è attivo l'aggiornamento automatico; quando chiudete e riavviate Firefox, riapre automaticamente le pagine Web che stavate consultando. Ci vuole però una piccola cautela: se usate le estensioni di Firefox (piccole applicazioni aggiuntive che ne estendono le funzioni, come la Netcraft Toolbar, utile per rivelare i siti-trappola), verificate che siano già uscite le versioni aggiornate di queste estensioni. Firefox 1.5, infatti, disabilita per sicurezza le estensioni non aggiornate, per cui potreste trovarvi con un Firefox limitato rispetto al solito. Firefox 1.5, fra l'altro, cerca automaticamente gli aggiornamenti delle estensioni. Se non sapete cosa sono le estensioni e non le usate, aggiornate Firefox senza preoccupazioni.

Tornando alla presunta falla, si tratta di un errore nel modo in cui Firefox gestisce i titoli delle pagine Web se sono estremamente lunghi. Se Firefox si imbatte in una pagina che ha un titolo (quello che compare nella barra del browser) lunghissimo, creato con questo trucchetto, può piantarsi e rifiutarsi di ripartire. Il problema riguarda soltanto la versione Windows, e non si verifica sempre. Anzi, la Mozilla Foundation, che produce Firefox, non è riuscita a ricreare il problema nonostante numerosi tentativi, e lo stesso è successo a molti utenti.

Per quanto risulta finora, il difetto (se si presenta) non causa danni all'integrità e alla stabilità del sistema operativo e quindi non dovrebbe consentire attacchi o penetrazioni del computer dell'utente. Semplicemente, Firefox si pianta. Questo non è comunque un bene, ed è opportuno che la falla venga corretta al più presto.

Se vi imbattete in questo problema, potete rimediare in vari modi, descritti dal Sans Institute:
  • Impostate Firefox in modo che non conservi la cronologia dei siti visitati: scegliete Strumenti - Opzioni - Privacy - Cronologia, poi cliccate su Svuota e impostate a zero il numero di giorni per il quale Firefox ricorda le pagine visitate.
  • Trovate e cancellate manualmente il file history.dat, nel quale viene memorizzato il titolo ostile, e riavviate Firefox; Firefox ricreerà automaticamente il file.
  • Dopo aver chiuso Firefox, modificate il file prefs.js aggiungendo questa riga:
    user_pref("capability.policy.default.HTMLDocument.title.set","noAccess");
  • Usate l'estensione Noscript.
Se vi imbattete in questo problema, segnalatelo (insieme alla vostra soluzione) nei commenti.

Ciao da Paolo.

17 commenti:

Gacattos ha detto...

Grande Paolo!!!
Ho aggiunto la linea di comando:
user_pref("capability.policy.default.HTMLDocument.title.set", "noAccess"); in fondo al file, (poi me la sono ritrovata sortata automaticamente),
nel file prefs.js che si trova nella cartella eseguendo:
%appdata%\Mozilla\Firefox\Profiles
Ho già fatto l'upgrade tanto dell'estensione No-Script, tanto quella di Netcraft.
Purtroppo non è ancora disponibile
SpoofStick per Firefox 1.5
Grazie per i tuoi preziosissimi consigli.

Anonimo ha detto...

Mi fugate un dubbio?

Installando noscript e cancellando il file history oltre a sistemare la falla si bloccano anche java script e/o smette di gestire la cronologia?

Anonimo ha detto...

Ho fatto due prove, sia con windows 98 che con XP (l'ultimo con tutte le patch) si pianta; è bastato modificare il file prefs.js per risolvere il problema, dopo aver cancellato il file della cronologia.

Matteo

Anonimo ha detto...

A proposito di extension: molte non hanno problemi di compatibilità da un punto di vista tecnico, ma non girano lo stesso, magari non vengono aggiornate da un po' e non c'è alcuna garanzia che lo saranno (è il caso di SuperDrag'n'Go, senza la quale non so più vivere).
Se siete disposti a rischiare l'esecuzione di una extension non testata, è possibile convincere Firefox ad accettarla. Mi raccomando di tentare solo con extension semplici, più sono complesse e più è probabile che facciano disastri.
Per capire se un'extension è compatibile, Firefox legge le proprietà minVersion e maxVersion nel relativo file .rdf (trovarlo è un mezzo guaio, si chiamano quasi tutti install.rdf e quindi tocca aprirli uno per uno)

Cercate le istruzioni riportate sotto, tenendo conto che i numeri di versione possono essere diversi e che gli apici attorno ai segni di maggiore e minore li ho inseriti perché blogger.com continuava a dirmi che questi tag non sono ammessi...:-) In realtà non ci sono apici.

'<'em:minVersion'>'0.9'<'/em:minVersion'>' '<'em:maxVersion'>'1.0'<'/em:maxVersion'>'

Modificate il valore di maxVersion portandolo, ad esempio, a 1.6

'<'em:minVersion'>'0.9'<'/em:minVersion'>' '<'em:maxVersion'>'1.6'<'/em:maxVersion'>'

Quando riaprite Firefox, se l'extension è in effetti compatibile dal punto di vista tecnico, funzionerà. Altrimenti... Auguri! :-)

Anonimo ha detto...

firefox 1.5, XP pro sp2 superaggiornato, netcraft toolbar aggiornata, prefs.js NON modificato, extension noscript nemmeno pensata, cronologia a 0 da sempre, file history.dat nemmeno cercato, NON si pianta.
evidentemente la falla e' randomica.
ottima segnalazione, comunque.
complimenti per la pubblicazione della falla. grazie Paolo

Anonimo ha detto...

A proposito di FireFox, consiglio a tutti i possessori di Mac di scaricare le versione ottimizzati per processori G4 e G5...


http://www.beatnikpad.com/firefoxG4

http://www.beatnikpad.com/firefoxG5

Sono molto piu' veloci delle versioni "generiche".

Anonimo ha detto...

Non so se il problema che ho avuto e' quello che tu segnali o meno. Fatto sta che ieri sera Firefox si avviava ma non mi permetteva di digitare l'indirizzo dei siti da visitare, ne' di aprire alcun menu. E nemmeno IE funzionava. Alla fine ho disinstallato Firefox, avviato IE, scaricato e installato di nuovo Firefox e ora sembra tutto ok.
Ciao

Gacattos ha detto...

Non so se la cosa è quella da te descritta.
Anche dopo aver messo in pratica le cose da me scritte all'inizio del thread,
Firefox ogni tanto non si apriva.
Nota che la cosa è cominciata ad accadere solo dalla versione 1.5.
Per farlo aprire bastava attivare Task Manager con Ctrl/Alt/Cancel ed in Applicazioni cancellare la stringa Firefox.exe o riavviare il computer.
Allora mi sono deciso, ho azzerato la cronologia a giorni 0 e cancallato il file history.dat
Fatto ciò il programma si è sempre velocemente aperto..............
(Sto usando WinXP-Sp.2)

Giorgio Loi ha detto...

Segnalo anch'io un'anomalia, anche se apparentemente c'entra poco con quella descritta da Paolo.

Ho Firefox 1.5 scaricato la scorsa settimana. Ebbene, è già un paio di volte che mi si pianta (senza rimedio) quando tento di salvare immagini jpg con il tasto destro del mouse ("Salva immagine..."). Non sono immagini protette, perché Explorer non ha alcun problema.

In generale, anche se non si pianta, è parecchio più lento di Explorer nel salvare le immagini. Ossia, forse non tanto nel salvare, ma tutto rallenta: le finestre ci mettono una vita a chiudersi, come se la CPU fosse impegnata al 110%.

Va bene la sicurezza, ma se la contropartita dev'essere questo lentume io torno a Explorer!

Gacattos ha detto...

Suggerirei al sig. Loi di risolvere il problema inerente lo scaricamento dei files.jpg conettendosi al forum di Mozilla Italia:
http://forum.mozillaitalia.org/
Mi pare di aver già intravisto dei post anche circa la lentezza nell'esecuzione del programma.
Basta usare la funzione "Cerca sul forum (Ricerca)" limitatamente a Firefox ed usando come parola chiave "Lentezza".
A me, come la stragrande maggioranza degli utenti Firefox 1.5 gira più fluido rispetto alle versioni precedenti ed allo stesso IExplorer.

Matty ha detto...

Sempre e poi sempre FIREFOX!

Gacattos ha detto...

Correggo quanto da me postato all'inizio del thread.
Da stamattina la toolbar SpoofStick è stata aggiornata alla versione 1.06
e funziona perfettamente con Firefox 1.5

Anonimo ha detto...

Ho problemi con Firefox 1.5 e Shockwave 10.1 per visualizzare foto panoramiche a 360° gradi. Invece con Firefox 1.0 funziona sul mio computer....Invece per altri utenti funziona, non so piu dove cercare il bug.
Potete mica verificare su http://www.panoviews.com/java/pano2.html ??

Gacattos ha detto...

Thomas ho provato a connettermi al sito e tutto funziona bene
fino a quando mi viene richiesto di aggiornare un plugin (32MB e spiccioli).
Non ho fatto l'aggiornamento ma penso che se lo facessi funzionerebbe.
Per la lista dei plugins installati digita: about:plugins in alto sull'indirizzo e poi Enter.
Secondo me dipende proprio da un plugin da aggiornare ma sarebbe meglio sentire cosa dicono gli esperti sul forum di Mozilla Italia.

Giorgio Loi ha detto...
Questo commento è stato eliminato da un amministratore del blog.
Giorgio Loi ha detto...

Ho seguito il suggerimento di Gacattos, che ringrazio ancora, ed effettivamente le cose sono migliorate di parecchio sul fronte velocità.

Rimane una diversità di comportamento tra Firefox ed Explorer sul salvataggio delle immagini. A quanto pare Firefox resta, per così dire, "in sospeso" fino a quando l'immagine non è completamente scaricata, e a quel punto compare una finestrella che avverte del download completato. Explorer, invece, appena inserito il nome con il quale l'immagine va salvata ritorna, sempre per così dire, completamente operativo, e probabilmente prosegue lo scaricamento in background.

Mi chiedo se anche questa cosa possa essere corretta. Speriamo che il forum di Mozilla possa essermi nuovamente d'aiuto.

Gacattos ha detto...

Ringrazio circa i ringraziamenti.
Ricordo che esiste la guida di Firefox premendo il tasto F1
Aggiungo, circa la velocità, che io ho installato l'estensione Fasterfox la quale, se utilizzata in modalità "Turbo" dà l'effetto di bloccare gli scaricamenti ma velocizza di molto gli scaricamenti stessi.
Esistono comunque altre opzioni più blande.
Basta settare Fasterfox come lo si gradisce.
Eventualmente sono contattabile via PM sul forum di Mozilla Italia, ho lo stesso nickname Gacattos.