Questo articolo vi arriva grazie alle gentili donazioni di "fulvioro*****" e "giodi".
Come molti, anch'io sconsiglio da anni l'uso di Internet Explorer per motivi di sicurezza, e uno di questi motivi è da sempre la sua profonda integrazione in Windows: la buona progettazione, infatti, esige che il browser sia separato dal sistema operativo e sia un'applicazione come tutte le altre. L'altro motivo, come testimoniato da quello che sto per raccontarvi, è che per via di quest'integrazione IE è pieno di magagne e comportamenti imprevedibili che creano trappole assolutamente inattese, contro le quali la semplice competenza informatica non basta.
Infoworld, infatti, segnala un comportamento che ha stupito anche gli esperti di Microsoft: digitando un indirizzo in Internet Explorer 6 (e anche in IE 7 beta), può succedere che invece di visitare il sito corrispondente all'indirizzo, IE lanci un programma (magari ostile) presente nel computer.
Esempio pratico:
- Cliccate col pulsante destro sul desktop di Windows e scegliete Nuovo > Collegamento.
- Impostate il collegamento in modo che lanci la Calcolatrice (calc.exe).
- Come nome del collegamento, scegliete www.microsoft.com.
- Lanciate Internet Explorer e digitate www.microsoft.com nella barra dell'indirizzo.
- Invece di andare al sito Microsoft, viene lanciata la Calcolatrice.
Infoworld ne ha discusso con gli esperti Microsoft, che sono rimasti in maggioranza sorpresi di questo comportamento. Si è notato che si manifesta soltanto quando non viene digitato http:// prima del nome del sito, e questo fa pensare che IE faccia vari tentativi d'interpretare la digitazione dell'utente: uno di questi tentativi guarderebbe il Desktop per vedere se contiene un collegamento corrispondente alla digitazione. Se non lo trova sul Desktop, allora lo va a cercare su Internet. Ma se lo trova, lo esegue, scavalcando completamente il funzionamento atteso del browser.
Di per sé non è un pericolo grave (l'aggressore deve comunque avere già accesso al computer della vittima con qualche altro metodo), ma è un sintomo di una filosofia di progettazione che nonostante tutto non è ancora orientata realmente alla sicurezza; il fatto che questo comportamento sia presente anche nella prossima versione di IE (la 7, attualmente disponibile come beta) non promette bene per il futuro. Ogni comportamento non documentato è una possibile trappola per l'utente.
Nessun commento:
Posta un commento
Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.