Cerca nel blog

2010/05/28

Nuova tecnica di furto password: tabnabbing

L'attacco della scheda mutaforma


Questo articolo vi arriva grazie alle gentili donazioni di "veronicalareina" e "maurimds".

Aza Raskin, esperto di interfacce e figlio d'arte (il padre era il celebre Jef Raskin che avviò il progetto Macintosh per Apple), ha annunciato una nuova forma di attacco informatico particolarmente subdola.

La maggior parte degli attacchi di phishing (furto di password tramite false pagine Web di autenticazione simili a quelle effettive) funziona secondo un meccanismo standard: la vittima riceve una mail che contiene un link, clicca sul link, viene quindi portata a una pagina Web gestita dall'aggressore ma identica a quella di autenticazione di un servizio usato dalla vittima (per esempio la posta di Gmail), immette il proprio nome utente e la propria password e così le regala all'aggressore.

La sequenza degli eventi è diretta e piuttosto ben conosciuta, per cui molti utenti ormai non si fanno più gabbare. Raskin, però, ha trovato una maniera per renderla molto meno evidente e l'ha chiamata tabnabbing (letteralmente, "catturare la scheda di un browser"). Funziona molto bene sugli utenti che tengono aperte molte pagine nel proprio browser, in modo che ciascuna sia in una scheda (tab).

Nel tabnabbing, la vittima clicca su un link trovato su Internet e finisce su una pagina dall'aria del tutto innocua che non gli chiede password o altro e quindi non lo mette sul chi vive, ma ha un contenuto interessante (immagini osé o altro). Così la vittima non la chiude ma passa a un'altra scheda del browser. Quello che l'utente non si aspetta è che la pagina-trappola a questo punto aspetta che nessuno la stia guardando e si trasforma: cambia la propria icona (favicon) e il proprio contenuto, diventando una pagina che richiede l'autenticazione per un servizio adoperato dall'utente: per esempio, la login di Gmail.

La vittima penserà molto probabilmente di aver lasciato aperta una scheda del servizio e crederà di essere stato scollegato dal servizio per mancato utilizzo, come avviene periodicamente, e quindi immetterà nella pagina-trappola le proprie credenziali nel tentativo di fare login, regalando così all'aggressore i propri codici. Per completare il furto con destrezza, l'aggressore può poi trasferire l'utente e le sue credenziali alla pagina vera del servizio, così l'utente farà effettivamente login e non si accorgerà che gli è stata sottratta la password di accesso.

La trappola, come nota Raskin, si basa sull'idea sbagliata che una scheda sia immutabile e usa il forte richiamo visivo di un'icona. Per dimostrarne l'efficacia, ha predisposto una dimostrazione innocua: andate qui nel sito di Raskin e poi aprite un'altra scheda del browser, restando sulla nuova scheda per qualche secondo. Vedrete che la scheda nascosta, che prima ospitava la pagina di Raskin, cambierà icona e contenuto, diventando la pagina di login di Gmail. Il trucco funziona con quasi tutti i browser più diffusi. Raskin lo dimostra in un video:



In questa dimostrazione volutamente blanda, l'utente può accorgersi dell'inganno notando che l'URL nella barra dell'indirizzo non è quello giusto. Ma quanti lo faranno? Oltretutto esistono vari modi per mascherare anche l'URL.

La soluzione migliore contro questo tipo di trappola è aprire sempre una scheda nuova per fare login a qualunque servizio e immettere manualmente l'indirizzo oppure prenderlo dai Preferiti.

82 commenti:

Vanna ha detto...

Cavoli, molto molto furbesco. Ne inventano sempre di nuove :o

Rodri ha detto...

Stupendo.

Però se io apro Gmail, mi esce automaticamente lo username. Niente username = puzza di bruciato = verifica dell'URL.

Però il sistema è fighissimo.

Hanmar ha detto...

'zzarola... :|

Saluti
Michele

Anonimo ha detto...

Apparentemente non funziona se si installa l'estensione noscript di Firefox e disabilitando di default l'esecuzione degli script: il link alla pagina di Aza Raskin "funziona" (cioè cambia la pagina visualizzata in quella di gmail) solo se permetto esplicitamente l'esecuzione degli scritti della sua pagina web. La soluzione quindi è molto semplice: installare noscript, che comunque è utile anche per molte altre cose. :-)

m|r ha detto...

Tecnica interessante ma funzionale solo con chi è veramente distratto!

L@rs ha detto...

Su Chrome non mi ha funzionato. Su firefox e ie8 si.

Ema ha detto...

Su Chrome for OSX non va.... Su FireFox invece sì!! Certo che poi noi italiofoni (è il termine giusto?) siamo messi in allerta dai testi in inglese. O almeno dovremmo....
Comunque è geniale!!
Il problema è: come difendersi? A parte i soliti modi brutali di disattivare il javascript, che per me è come avere una Radeon diecimila e usarla in modalità EGA 16 colori...

Anonimo ha detto...

Per Ema

Su Chrome for OSX non va.... Su FireFox invece sì!! Certo che poi noi italiofoni (è il termine giusto?) siamo messi in allerta dai testi in inglese.

Italofoni.
Non pochi italiani, per sentirsi più internazionali, o per mostrare una competenza dell'inglese che non hanno, usano solo programmi in originale.

Maurizio Firmani ha detto...

Purtroppo sia con Safari che con Firefox questo trucco funziona non solo tra pagine in più tab, ma anche su pagine aperte in finestre diverse. Almeno partendo dal link di Rifkin.

Cracker ha detto...

La pagina cambia anche solo clickando su start.
Basta che la scheda perda il "Focus".

Replicante Cattivo ha detto...

Io utilizzo l'estensione di firefox "Secure login": quando aprite una pagina a cui corrispondono uno o più username e password, si illumina un'icona che vi permette di fare il login automatico con un click (ed eventualmente di scegliere con quale account loggarvi)

E' molto utile, ad esempio, se avete 3/4 myspace (personale/band/professionale) e dovete continuamente passare da uno all'altro.

In questo modo, se per caso capitate in una pagina di fishing, ve ne accorgerete subito perchè l'estensione non riconosce la pagina e non vi permette di fare login.

Domenico_T ha detto...

Confermo che con Chrome non funziona, la scheda non cambia.

Vanna ha detto...

Credo ormai che chi naviga con Firefox sia ultraconsigliato avere installato NoScript e Ad Block, non posso più vivere senza :)

Saverio Fulci ha detto...

HO provato con la pagina di Raskin, ma quando, ridotta a tab, muta, mi compare un avviso di "certificato di sicurezza non valido" che mi mette in guardia. Uso Firefox.

yupswing ha detto...

questo è un proof of concept, ovviamente ha i suoi difetti, ma dimostra la fattibilità e vedremo presto implementazioni di questa tecnica molto furba.

la risposta a situazioni come queste non può essere "usa una estensione" oppure "fatti furbo".
non dobbiamo dimenticare che anche se noi siamo dei navigatori attenti e scrupolosi la grande parte non lo è; il punto non è difendere noi stessi ma la massa. perché per un physher (lol) l'obiettivo non è attaccare tutti e rubare a tutti; gli basta attaccare il più possibile e rubare almeno a qualcuno.

mi permetto di dire che la risposta "blocco di javascript" sia superficiale e poco funzionale.
sono per l'accessibilità ma ormai siti come gmail, youtube, facebook (che io non ho ma che è ampliamente diffuso) fanno profondo uso di javascript.

sarebbe come dire "c'è un proof of concept maligno CSS, disattiviamo tutti i CSS".
navighiamo con Links e saremo tutti più sicuri :)

---

infine smentisco. su chrome per mac funziona eccome, l'unico difetto (segnalato anche nel post di Raskin) è che non cambia la favicon.
sono sicuro che qualcuno troverà un fix. (anche perché senza il sistema inganna molto meno)

yupswing ha detto...

ehm... eppure, prima mi funzionava. ora in ufficio non funziona più..
strano, mi sarò sbagliato io.

niente chrome.

kappe ha detto...

su safari la favicon non cambia. uso glims.

Federico ha detto...

Provato su Chrome (versione dev) per Mac, e funziona.

Vero che molti non ci cascheranno, ma questo vale anche per il phishing tradizionale... l'importante è che ogni tanto ci caschi qualcuno.
Non so se questa tecnica avrà futuro ma è certamente interessante.

Domenico_T ha detto...

Fatemi essere più preciso.

Chrome 5.0.375.55 beta, Windows 7 Ultimate. Unica estensione installata Facebook Fixer che non credo abbia influenza.

Niente di niente, non cambia né la pagina né l'icona.

Federico ha detto...

Chrome 6.0.408.1 dev per Mac, la pagina si aggiorna, l'icona anche

Slowly ha detto...

Si è vero, su Winzoz con Chrome 4.1 il giochetto funziona. Aggiornato alla 5.0 no.

Forte però!

Verzasoft ha detto...

Mah, insomma... non vedo grosse differenze col classico phishing.
il concetto è lo stesso e il modo di proteggersi anche: usare la testa.

Non mi importa poi molto se la schermata falsa mi si presenta appena aperta la pagina o quando ci torno. Se sono uno imbranato mi faccio fregare in entrambi i casi, se sono attento in nessuno dei due.

Roby ha detto...

Confermo che con Chrome 5.0.375.55 beta (su windows) non funziona. Chrome rules! ;)

delio ha detto...

aggiungo che l'attacco è particolarmente subdolo per chi lavora su un netbook, sul quale tipicamente (almeno con firefox) si preme f11 per far scomparire il centimetro di schermo che contiene i favicon e guadagnare spazio. in questo modo uno non si accorge nemmeno che la pagina viene ricaricata.

Nicola S. ha detto...

Questo metodo non funziona per chi una un sistema di single sign-on o di password bank. L'indirizzo della pagina non viene riconosciuto tra quelli memorizzati dall'utente. Particolarmente efficace contro questo risultano i sistemi biometrici.

samskeyti ha detto...

"Oltretutto esistono vari modi per mascherare anche l'URL"

cosa intendi? usare siti dal nome simile? usare indirizzi numerici?

boxbuilder ha detto...

Accidenti! Queste sono proprio le cose che ti fregano se sei un distratto come me. Il problema del testo in inglese si aggira facilmente costruendo una pagina farlocca per ogni paese.

L'unica cosa che rende poco realizzabile il pacco è che funziona giusto con gmail e pochi altri siti che l'utente usualmente parcheggia nei tab; poi quando ci si autentica e si vede che non succede niente una fiutata di truffa si dovrebbe avvertire. O no?

samskeyti ha detto...

"Non mi importa poi molto se la schermata falsa mi si presenta appena aperta la pagina o quando ci torno. Se sono uno imbranato mi faccio fregare in entrambi i casi, se sono attento in nessuno dei due."

invece fa molta differenza. un conto è cliccare su un link e trovarsi di fronte la logon di gmail. un conto è trovarsi la logon di gmail in una scheda aperta chissà quando.

tux_errante ha detto...

geniale.
Complimenti all'inventore.
Anche se una persona con un minimo di memoria, sa quali tab ha aperto e quali no, almeno finchè non si superano i dieci tab :)

Carson ha detto...

La pagina non viene ricaricata.
La pagina fake è caricata immediatamente in coda a quella precedente, ma non viene visualizzata. Appena il tab non è più in primo piano viene effettuato lo swap tra la pagina visualizzata e quella nascosta.
Mettendo in primo piano una finestra non a pieno schermo potete vedere l' effetto "in diretta".
Potete controllare che la pagina non viene ricaricata aprendo il link e staccando la rete: la pagina viene "ricaricata" senza rete.
Potete anche vedere la pagina web completa (con entrambe le schermate in contemporanea) utilizzando IE6.

Ciao

Carson

Federico ha detto...

mmm adesso ho provato anche su Windows, con Chrome 5.0.375.55 appena aggiornato ed il trucco funziona (solo non si aggiorna l'icona)

mentre con Chrome Dev 6.0.408.1 per Win funziona alla perfezione come su Mac...

il fatto che non aggiorni l'icona è un bug di Chrome, non un bug della tecnica :-)

TuKler ha detto...

Veramente astuta, e molto efficace contro le persone che non usano browser alternativi o che non sono coscienti che con questi browser sia necessario installare chissà quali estensioni. Ovvero la stragrande maggioranza delle persone.

Forse qualcuno di noi pensa di poter navigare decidendo con precisione chirurgica su quali siti va usato javascript e su quali no (mi ricorda i vecchi software firewall), qualcuno crede che avere tutti le password memorizzate e inserite automaticamente per lui ne protegga la sicurezza, qualcuno pensa che non potrebbe mai venire ingannato da una finestra di login che appare non richiesta... ma anche se noi ce ne tiriamo fuori resta il fatto che sappiamo benissimo che il mondo non è così.

Sicuramente tra le possibili vittime rientrano tutte le potenziali vittime del phishing classico, e molte di più...

Comunque, se il servizio è fatto con un minimo di attenzione alla sicurezza (protezione da csrf), non dovrebbe essere possibile per la finta pagina di login effettuare il login sul vero servizio.

Ovviamente credo che quasi nessuno (probabilmente neanch'io) si sentirebbe troppo allarmato se il login non dovesse funzionare al primo colpo... basterebbe reindirizzarlo alla vera pagina di login, dove potrebbe riprovare, questa volta con successo.

Quad ha detto...

Occavolo. Io sono una potenziale vittima. Tengo sempre tutto aperto, troppo aperto.

Slowly ha detto...

Quad:
"Occavolo. Io sono una potenziale vittima. Tengo sempre tutto aperto, troppo aperto".

Ehm... Quad... la patta dei pantaloni!

:D

Comunque tornando all'esperimento di prima, io per esempio richiamo sempre per bookmark e se inizio ad adoperare due/tre siti cerco di usarne sempre uno per volta (abitudine non dovuta a fattori di precauzione).
Difficilmente vedrete mai più di due/tre tab contemporanei sul mio PC.
Come per esempio ora, ho questo, il mio, e... la banca!?!?!? Ah si, forse l'avevo aperto prima...
Visto? basta stare attenti!

:D

Al di là tutto comunque da quando uso i DNS di Google e relativo brauser, me la viaggio di bella!

federico ha detto...

questa è geniale!

con me, che apro in media 40 tab perché "tanto le guardo dopo" questo sistema funzionerebbe alla perfezione!

Giorgio ha detto...

Grazie, comunque io uso chrome e la pagina non cambia.
Viva crhome!

yupswing ha detto...

"poi quando ci si autentica e si vede che non succede niente una fiutata di truffa si dovrebbe avvertire. O no?"

e nel frattempo gli hai fornito l'accesso...

solitamente il physhing dopo la falsa login rimanda alla pagina di login VERA. così l'utente pensa "oh, non ha funzionato, ci riprovo" ed entra, senza accorgersi di aver già regalato le proprie credenziali.

mi sembra che tutti siano un po' troppo sicuri.

trovo la tecnica una delle migliori che abbia mai visto.
non so se verrà adottata per il semplice motivo che obbliga a mostrare prima una pagina che deve essere lasciata aperta in background. perché dovrei lasciare una pagina aperta se del suo contenuto non so nulla?

la vera efficacia, posso immaginare, si base sull'infezione.
se un sito viene infettato (può essere un banner o una modifica effettiva del sito tramite una qualsiasi tecnica) e comincia a fare questo giochetto, le probabilità di abboccaggio aumentano a dismisura.

come ha detto qualcuno, l'attenzione la fa da padrone, anche in questo caso.

SicilianoEdivad ha detto...

Pfui, a me non ha funzionato e mai funzionerà grazie a NoScript.

SicilianoEdivad ha detto...

Per quelli che si rifiutano di usare noscript perchè non vogliono che js venga disabilitato anche nei siti fidati:
sappiate che ns di default blocca tutto e voi dovete decidere cosa far passare e cosa no.

Sys Req ha detto...

"L'unica cosa che rende poco realizzabile il pacco è che funziona giusto con gmail e pochi altri siti che l'utente usualmente parcheggia nei tab; poi quando
ci si autentica e si vede che non succede niente una fiutata di truffa si dovrebbe avvertire. O no?"
Si dovrebbe avvertire, dici? Bah, a parte il fatto, come è già stato detto, che ormai i dati sono stati già regalati, ci vuol poco a digitar male una password, visto che è coperta dagli asterischi...
Sul fatto poi che funzioni solo con gmail e pochi altri siti... e se la pagina riuscisse (lo dico, tanto qualcuno prima o poi ci penserà) ad accedere alla cronologia, regolandosi di conseguenza? Mi pare sia già possibile...
Oggi hai avuto accesso a Facebook, gmail o altra webmail? Ecco che la pagina si regolerà di conseguenza...
"Toh, Facebook... che strano, ero convinto di aver chiuso... va be', riloggiamoci, va'..."
ZAC!
Come si vede, veramente, terribilmente subdolo.

Sys Req ha detto...

A proposito di NoScript... ma ce l'ha una lista di siti da escludere, o bisogna autorizzare ogni javascript ogni volta? Perché in quel caso... se avesse invece la possibilità di mettere in blacklist e whitelist, quasi quasi lo installo insieme ad Adblock Plus. Oppure vado a rileggermi la descrizione di YesScript, altro add-on di Firefox.

Anonimo ha detto...

@sysreq:
A proposito di NoScript... ma ce l'ha una lista di siti da escludere, o bisogna autorizzare ogni javascript ogni volta?
Puoi scegliere su quali siti autorizzare temporaneamente (ovvero fino a che non chiudi FF) oppure permanentemente (whitelist) i javascript, ma di default blocca tutto. Nelle opzioni puoi anche selezionare se bloccare o meno globalmente altri elementi potenzialmente pericolosi (iframes, java, flash etc).

keaton ha detto...

Mah, la cosa è interessante, ma nulla di spaventoso nè geniale, IMHO. "Arguta" implementazione del phishing, ma concordo con Verzasoft.

Anche il termine "tabnabbing" mi pare piuttosto pretenzioso: tutto tranne che di un "rapimento" o "cattura" di un tab si tratta. Se il termine è del Raskin, conferma l'impressione che il tipo (Aza Raskin) sia in cerca di pubblicità spacciando per "vulnerabilità by-design dell'anno" una cosa interessante-ma-non-così-tanto.

Per curiosità, vedete la sua pagina su Wikipedia (http://en.wikipedia.org/wiki/Aza_Raskin) e, soprattutto, la discussione in merito (http://en.wikipedia.org/wiki/Talk:Aza_Raskin).

Replicante Cattivo ha detto...

Ma quindi Secure Login lo uso solo io? :(

E pensare che è l'unico caso in cui la comodità del login automatico non diventa un fastidio o un rischio: infatti grazie a quell'estensione, diventa comodissimo sloggarsi e riloggarsi ogni volta (evitando, ad esempio, di postare in un forum con l'account sbagliato perchè non ci si era disconnessi da quello precedente)

Turz ha detto...

@Accademia dei pedanti:
Non pochi italiani, per sentirsi più internazionali, o per mostrare una competenza dell'inglese che non hanno, usano solo programmi in originale.

O perché spesso la versione in lingua originale è più aggiornata e contiene più feature.
O per non installare il pacchetto con le opzioni internazionali.
O perché nelle versioni tradotte a volte ci sono errori di traduzione.
O per imparare meglio l'inglese.
O per avere la stessa versione che usa la maggior parte dei colleghi o clienti (parlo per gli italiani all'estero).

Turz ha detto...

"Toh, Facebook... che strano, ero convinto di aver chiuso... va be', riloggiamoci, va'..."

Usare Facebook anziché Gmail sarebbe tra l'altro un ottimo criterio di selezione del target di vittime.

Cioè, se voleste far apparire una finta madonna, lo fareste in una chiesa o a un raduno del CICAP?

Dora ha detto...

Anche io uso firefox, ma non mi avvisa assolutamente di nulla. Certo che ormai se ne inventano una più del diavolo...

boxbuilder ha detto...

sì, certo che si possono estrarre i siti usati dagli utenti attraverso i file temporanei. Questo è scritto anche nel blog
Using my CSS history miner you can detect which site a visitor uses and then attack that site .
Magari sta sera provo Account Manager per Firefox.

ǚşå÷₣ŗẻễ ha detto...

Forte! Io per deformazione professionale guaqrdo sempre l'URL reale, ma ammetto che questo giochetto basato sulla distrazione è geniale :)

ǚşå÷₣ŗẻễ ha detto...

OT

ci ha lasciati Gary Coleman, un piccolo omaggio sul mio blog.

Moticanus ha detto...

Chi cade in questi giochetti da quattro soldi si merita di rimanere senza email...anzi senza connessione a internet!!

bofola ha detto...

Su Google Chrome aggiornato alla versione 5 un paio di giorni fa non passa niente. Ciò non toglie.....Stiamoci attenti!

bofola ha detto...

@ǚşå÷₣ŗẻ
Ho letto su Wikipedia qualche minuto fa che anche qualche altro interprete della serie non ha avuto molta fortuna, ma tant'è......

Domenico_T ha detto...

Chi cade in questi giochetti da quattro soldi si merita di rimanere senza email...anzi senza connessione a internet!!

Che esagerazione.

Nonostante sia abbastanza smaliziato nell'uso di internet non mi sognerei mai di denigrare (se non per gioco) una persona ignorante nel suo utilizzo e dinamiche. Anzi, il primo compito di chi ne-sa-di-più dovrebbe essere quello di educare e non chiudersi in una torre d'avorio sentendosi degli eletti.

Anche perché, tanto tempo fa, ignoranti lo eravamo tutti e saremmo caduti nelle stesse trappole.

SicilianoEdivad ha detto...

@Turz, 45
Concordo. Anche io sul cellulare uso l'interfaccia in inglese perché le traduzioni sono fatte con i piedi.

theDRaKKaR ha detto...

questo è uno stratagemma molto intelligente... l'evento di perdita del focus della pagina è gestito per far cambiare alla pagina totalmente aspetto, cosa che non ha nessun senso se si programmano pagine normali... ma che diventa una fantastica possibilità se si progettano pagine truffaldine..

è un cosiddetto uovo di Colombo (che tra l'altro è un aneddoto probabilmente falso...)

Anonimo ha detto...

Per theDRaKKaR

è un cosiddetto uovo di Colombo (che tra l'altro è un aneddoto probabilmente falso...)

Ehm... perché, l'aneddoto di Colombo che scopre l'America invece è vero?

motogio ha detto...

ǚşå÷₣ŗẻễ ha commentato:

OT

ci ha lasciati Gary Coleman, un piccolo omaggio sul mio blog.


Ieri ci ha lasciato anche Dennis Hopper; un sentito, e scontato, omaggio anche per lui:

Born To Be Wild

theDRaKKaR ha detto...

perché, l'aneddoto di Colombo che scopre l'America invece è vero?

in che senso?

salvatore ha detto...

terribile, chissà quanta gente non farà caso all'URL che cambia o che si "maschera"...

in altri tempi avrei semplicemente sorriso pensando "figata, davvero furbi", ma ho appena subito un attacco su un mio portale che avevo lasciato "scoperto" per cui ho poco da ridere :(

Anna ha detto...

Mi permetto di suggerire una soluzione:
Firefox ha una estensione chiamata NoScript, attivando la quale, TUTTI gli script NON hanno effetto.
Certo, dovrete "autorizzare" di volta in volte quelli che conoscete e che avete verificato, ma è davvero efficace.
Con NoScript, quanto esposto nel Post, NON HA EFFETTO.

Fry Simpson ha detto...

Ma per disabilitare gli script in firefox non è sufficiente

Strumenti --> Opzioni --> togliere la spunta ad "Abilita Java Script"

?

L'unica differenza è che NoScript permette l'abilitazione selettiva degli script considerati "fidati" dall'utente?

O c'è altro? Tipo altri tipi di script (non Java per esempio?) che l'opzione nativa di FF non disabilita?

TIA

Turz ha detto...

@SicilianoEdivad:
Concordo. Anche io sul cellulare uso l'interfaccia in inglese perché le traduzioni sono fatte con i piedi.

Purtroppo certi committenti considerano il traduttore semplicemente un costo da tagliare (beh, un po' come il programmatore, il progettista e centinaia di altre professioni). Quindi si rivolgono, in ordine decrescente di qualità, tempi e costi:
1) allo stagista (e/o all'agenzia di traduzione che sfrutta stagisti) che almeno è madrelingua, però magari è laureato in lingue e capisce poco di informatica;
2) al traduttore indiano, che magari consegna anche in tempi record ma purtroppo, non per colpa sua, non è madrelingua italiano/francese/tedesco e quindi fa i tipici errori di chi non sa bene la lingua di arrivo;
3) ai programmi di traduzione automatica, che tirano fuori istantaneamente risultati del genere.

@Accademia dei pedanti:
Ehm... perché, l'aneddoto di Colombo che scopre l'America invece è vero?

Va meglio se diciamo "Colombo che dà il via alla colonizzazione europea dell'America"?

Turz ha detto...

@Fry Simpson:
Ma per disabilitare gli script in firefox non è sufficiente

Strumenti --> Opzioni --> togliere la spunta ad "Abilita Java Script"

?


Anche per non rischiare di rompere la macchina è sufficiente andare a piedi. Però è meno comodo.

La sicurezza pratica, fra le altre cose, è un compromesso tra facilità d'uso e sicurezza teorica.

Fry Simpson ha detto...

@ Turz:

:D

a dire il vero ho installato mezzora fa NoScript e l'ho già impostato su "Abilita gli script globalmente (Sconsigliato!)" perché non ne potevo più di abilitare pagina per pagina...

...sono imprudente, lo so, ma alla fine... o uno SA che una pagina è pericolosa, e allora fa prima a non andarci proprio, oppure... quanti di voi leggendo "devi abilitare Java Script per vedere questa pagina" non lo abilitano?

So' L'enigmista ha detto...

@Turz: O perché nelle versioni tradotte a volte ci sono errori di traduzione.

Installate la versione italiana di Ad-Aware e fatevi due risate... Anche se non sarà mai bello come il mitico randello del platino !

So' L'enigmista ha detto...

Anche per non rischiare di rompere la macchina è sufficiente andare a piedi. Però è meno comodo.


Ci vorrebbe la possibilità di disattivare solo l'evento incriminato "onblur" (al lato pratico, a che serve ad una pagina sapere di aver perso il focus?). He lives in a house, a very big house in the country...

bisonte_biscottato ha detto...

@Accademia dei pedanti:
Non pochi italiani, per sentirsi più internazionali, o per mostrare una competenza dell'inglese che non hanno, usano solo programmi in originale.

O perché spesso la versione in lingua originale è più aggiornata e contiene più feature.
O per non installare il pacchetto con le opzioni internazionali.
O perché nelle versioni tradotte a volte ci sono errori di traduzione.
O per imparare meglio l'inglese.
O per avere la stessa versione che usa la maggior parte dei colleghi o clienti (parlo per gli italiani all'estero).

Concordo, la maggior parte del software e dei siti web sono scritti nativamente in Inglese, da persone che parlano Inglese e che documentano il prodotto in Inglese. Ostinarsi a usarlo in una lingua diversa è come voler guidare una auto con guida a destra in un paese dove si guida a sinistra...

A mio avviso, specialmente su software professionali, la traduzioni sono inutili se non dannose. Si finisce per dare 20 nomi per ogni funzione e a generare un gran casino. Non posso seguire un tutorial in Francese perchè non riesco nemmeno a scoprire come si chiama il Timbro Clone.

Così come è giusto che tutto l'ambiente informatico abbia la stessa lingua, avere il sistema operativo in italiano e gli applicativi in inglese genera una confusione mentale che stanca e rende poco produttivi. E' bene fare una scelta e perseguirla.

Turz ha detto...

@bisonte_biscottato:
Ostinarsi a usarlo in una lingua diversa è come voler guidare una auto con guida a destra in un paese dove si guida a sinistra...

Concordo che l'utente che deve imparare termini nuovi faccia bene a impararli direttamente in lingua originale. Però:
1) Il manuale è giusto che sia nella lingua madre dell'utente finale (non solo per dar lavoro a noi poveri traduttori di manuali :-))
2) Ha anche senso che i software di largo uso (tipo i browser, gli elaboratori testi e persino i sistemi operativi) abbiano come lingua di default quella dell'utente finale (e non solo per dare lavoro a noi poveri traduttori di software :-)) perché la casalinga di Voghera e il meno noto pensionato di Ladispoli capiscono molto meglio.

I software usati da 4 gatti altamente qualificati invece non hanno motivo di essere localizzati, se scritti in inglese. Se scritti in giapponese però sarebbe meglio se fossero tradotti almeno in inglese :-)

Anonimo ha detto...

Per bisonte_biscottato

Concordo, la maggior parte del software e dei siti web sono scritti nativamente in Inglese, da persone che parlano Inglese e che documentano il prodotto in Inglese.

...E che dimenticano l'italiano: ti informo che i nomi di lingua si scrivono minuscoli: quindi inglese, non Inglese.
Il mio K-Multimedia Player (The KMPlayer), un lettore di file video ancora più flessibile di VLC Media Player, perché in grado di leggere da tutti i formati, è notoriamente scritto da persone che parlano inglese e documentano il prodotto in inglese. E si vede.

A mio avviso, specialmente su software professionali, la traduzioni sono inutili se non dannose.

Professionali? Ma qui si parlava del semplice browser! In realtà, rispondendo ad Ema, volevo sottolineare che molti impostano come lingua preferita inglese, in modo che per i siti in più lingue, come appunto gmail, compaia la versione inglese: la lingua del phishing. Raramente le traduzioni di truffe, quando esistono, sono fatte bene.
È vero, i programmi davvero di uso professionale spesso non hanno nemmeno la versione in italiano. Ma non sono molti.

Così come è giusto che tutto l'ambiente informatico abbia la stessa lingua, avere il sistema operativo in italiano e gli applicativi in inglese genera una confusione mentale che stanca e rende poco produttivi. E' bene fare una scelta e perseguirla.

Se poi a usare il programma è l'italiano medio che pensa che autostop sia un parola inglese e che il termine footing abbia a che fare col podismo, i risultati saranno produttivi al massimo.

Gianluca ha detto...

Basta, per favore, col dire che su Chrome non funziona. Non vorrete mica farlo diventare un browser diffuso?! Rimaniamo nella nicchia al sicuro, grazie!! :-)

Turz ha detto...

Il mio K-Multimedia Player (The KMPlayer), un lettore di file video ancora più flessibile di VLC Media Player, perché in grado di leggere da tutti i formati, è notoriamente scritto da persone che parlano inglese e documentano il prodotto in inglese.

Ma come, il creatore di KMPlayer non è inglese? Si chiama pure Young, che significa "giovane" :-)

Raramente le traduzioni di truffe, quando esistono, sono fatte bene.

Come la lettera di Valentin, soprattutto la nuova versione riveduta e corretta :-D

Anonimo ha detto...

Per Turz

Ma come, il creatore di KMPlayer non è inglese? Si chiama pure Young, che significa "giovane" :-)

A me risulta Kang Yong-Huee, ma non esiste un sistema univoco per la traslitterazione dal coreano, i cui fonemi vocalici sono complicatissimi.

Riccardo Russo ha detto...

Mancava soltanto questa!
La prossima cosa si inventeranno? haha
Stupendo!

So' L'enigmista ha detto...

Ha anche senso che i software di largo uso (tipo i browser, gli elaboratori testi e persino i sistemi operativi) abbiano come lingua di default quella dell'utente finale (e non solo per dare lavoro a noi poveri traduttori di software :-)) perché la casalinga di Voghera e il meno noto pensionato di Ladispoli capiscono molto meglio

Già, ma i traduttori italiani di Internet Explorer potevano inventarsi qualcosa di meglio di terminologie come "Avviso di protezione"... forse neanche l'originale inglese "Security Warning" è il massimo, ma lo trovo più incisivo. Io avrei scritto qualcosa tipo "Attenzione! sicurezza a rischio", che è indubbiamente più lungo ma forse avrebbe fatto capire meglio a molti sfortunati utonti quello che stava per accadere loro se installavano il "programmino gratuito" di turno... Poi magari mi sbaglio e per l'utonto-utonto non c'è messaggio che tenga...

Turz ha detto...

@So' L'enigmista:
Io avrei scritto qualcosa tipo "Attenzione! sicurezza a rischio", che è indubbiamente più lungo ma forse avrebbe fatto capire meglio a molti sfortunati utonti quello che stava per accadere loro se installavano il "programmino gratuito" di turno...

Ecco perché le traduzioni di informatica in teoria andrebbero lasciate agli esperti di informatica (e quelle di chimica agli esperti di chimica, quelle di legge agli esperti di legge, ecc.).

Infatti, anche per tornare in tema, gli autori delle trappole sono quelli che lo traducono meglio (quando lo traducono), perché cercano di essere più allarmisti che si può, in modo da indurre l'utonto a scaricare il finto antivirus che in realtà è un virus.
"ATTENZIONE! La sicurezza del tuo PC è minacciata! Installa subito l'Antivirus Superpippo: C L I C C A Q U I ! ! ! ! !"
E l'utonto clicca su OK senza chiedersi perché.

Anonimo ha detto...

Per Turz

...La sicurezza del tuo PC è minacciata! Installa subito l'Antivirus Superpippo: C L I C C A Q U I ! ! ! ! !"
E l'utonto clicca su OK senza chiedersi perché.


So bene che il forum pullula di giochi di parole e di allusioni a mondi esterni non comprensibili a tutti, ma il nesso fra cliccare su OK e il video di Rick Astley mi sfugge. C'è di mezzo il rickrolling?

Turz ha detto...

@Accademia dei pedanti:
C'è di mezzo il rickrolling?

Sì. Mi sembrava il modo più istruttivo (e innocuo) per spiegare che non bisogna cliccare a casaccio :-)

mubumba ha detto...

Il giochetto su Firefox funziona ma se una persona tiene alla propria sicurezza dovrebbe come minimo tenere disabilitati gli script delle pagine Web (questo è solo un caso eccezione ma con gli script puoi fare delle cose molto peggiori) e quindi io consiglio di installare sempre un add-on per Firefox come NoScript (penso che ce ne siano anche molti altri ma io conosco questo). Provato sulla pagina di test non si fa gabbolare e tu devi dare l'autorizzazione. Poi vedrai che incomincerà a cambiare la pagina o non cambiare (che è altamente improbabile quando dai l'autorizzazione ad uno script di essere eseguito che non cambi nulla)

Guzman70 ha detto...

Testato su Win7 64bit con Opera 10.51 32bit , eseguito in un contesto di Utente standard senza privilegi, funziona senza problemi ovviamente... che dire, meno male che ho la mia chiavetta RSA per l'accesso e la conferma delle varie operazioni con l'internet banking... :|
G.

DaNieL..! ha detto...

Ragazzi, la soluzione NON è disabilitare il javascript; Ormai la metà dei siti non vanno senza js e più si và avanti e più sarà utilizzato.

Come spesso capita, anche qui il problema non è nel browser ma tra il monitor e la sedia: bisognerà solo fare più attenzione, controllando SEMPRE l'url che appare nella barra degli indirizzi prima di inserire user/password

Fez Vrasta ha detto...

su google chrome non funziona. lol