Archivio mensile per Novembre, 2006

Usare un server DNS sicuro (OpenDNS)

pubblicato
da
gialloporpora
il 29 Novembre 2006
in software
. Commenti

Di recente sono stati pubblicati i risultati di uno studio commissionato da Mozilla che mette a confronto le capacità di anti phishing di IE 7 e Firefox 2.0. Dai risultati di questo studio sembra leggermente migliore il filtro anti-phishing di Firefox,, anche se comunque non arriva alla perfezione.

Questo è un bel articolo in italiano sui risultati del test e questo un report (file PDF) completo dei risultati ottenuti.

Il test è stato fatto su 1040 siti phishing inseriti nel database di PhishTank, su cui si basa OpenDNS. Se vogliamo un ulteriore strumento di antiphishing, dunque, una strada è quella di sostituire il DNS offerto dal provider con OpenDNS.

Vediamo inanzitutto a cosa serve il DNS e come è possibile che usando OpenDNS si venga avvisati di eventuali siti truffa.
Il DNS (Domain Name System) è un servizio che associa ad ogni host l'esatto indirizzo IP. Tutti i siti sono identificati con un indirizzo IP unico composto da un otteto numerico che però è molto difficile da ricordare e quindi si è pensato bene di associare ad ogni sito un host (es www.google.it corrisponde all'indirizzo IP 72.14.221.147), il DNS ha per l'appunto il compito di associare all'host l'esatto indirizzo IP. Se questa associazione non avviene in modo corretto (problemi sul server o aggiornamento del database) il sito risulterà irraggiungibile.

OpenDNS è un servizio che associa ai soli siti fidati l'indirizzo IP rendendo impossibile l'accesso a quelli presenti nel database di Phishtank. E' molto semplice configurare il DNS e sul sito di OpenDNS trovate tutte le istruzioni per ogni sistema operativo in uso e per molti rooter (se state usando un rooter per la connessione dovete impostare il DNS nel rooter). Su Windows XP, si accede alle Proprietà della connessione (Pannello di controllo -> Connessioni di rete) e successivamente alle proprietà del Protocollo TCP/IP:

dns in windows xp

se qualcuno sa già dove si imposta il DNS questi sono gli indirizzi IP dei server OpenDNS:

DNS primario: 208.67.222.222
DNS secondario: 208.67.220.220

Mi raccomando prima di fare le modifiche salvatevi le vecchie impostazioni nel caso vogliate ritornare ad usare il DNS predefinito.

Per testare il corretto funzionamento di OpenDNS potete andare sulla pagina di benvenuto. Quando un sito verrà riconosciuto come phishing e bloccato da OpenDNS invece della solita pagina di connessione fallita avrete una cosa del genere:

Not Found

Not Found

The requested URL /~upload/www.sears.com/index.jsp.htm was not found on this server.
Apache/2.0.52 (Unix) mod_ssl/2.0.52 OpenSSL/0.9.7d DAV/2 PHP/4.4.3 Server at 217.12.241.9 Port 80

Se volete fare dei test basta andiate su PhishTank apriate l'archivio e facciate qualche click :-).

Salvare video da Youtube e Google Video

pubblicato
da
gialloporpora
il 27 Novembre 2006
in video
. Commenti

Ho già postato un breve articoletto su come scaricare i video che troviamo in rete: Scaricare video dal Web, consigliando di usare Videodownloader o Greasemonkey con l'apposito script Download Video, dalla scrittura di quel post molte cose sono cambiate e in peggio purtroppo :-(.

Inanzitutto Youtube è stata acquisita da Google e la pioggia di euro ha spinto taluni artisti a chiedere i diritti d'autore persino per una semplice musichetta di sottofondo,, con la conseguenza che alcuni filmati sono stati rimossi. Fresca è la diffida ufficiale di Youtube al download dei filmati. E' sicuro che nessuno ci presterà attenzione è però altrettanto sicuro che si ingegneranno per trovare un modo per non far scaricare i video agli utenti, come faranno non ne ho la più pallida idea :-P ma sono sicuro che ci proveranno.

A questo si aggiunge il fatto che da più parti hanno accusato l'estensione Videodownloader di raccogliere informazioni su cosa noi scarichiamo dalla rete. L'estensione infatti per rendere disponibile il link per il download si collega al sito dell'autore e produce una pagina da cui è possibile accedere al file. Se qualcuno pensa che sia un'intromissione nella propria privacy può sempre utilizzare (come faccio io per altri motivi) Greasemonkey e lo script Download Video. Ci sono anche altre estensioni che si possono usare (mai provate):

Un altro approccio, potrebbe essere quello di utilizzare Zamzar, un sito Web che prende come input il link al video su Youtube e vi manda via email il link diretto al download. L'utilizzo di Zamzar ha poi il vantaggio di poter scegliere il formato del video, Zamzar infatti può essere utilizzato per convertire i file scaricati da flv ad avi (o qualunque altro formato video supportato).

Infine segnalo questo articolo sull'argomento dove trovate i parametri ottimali per la conversione da FLV ad AVI /vedi anche Zamzar più sotto). Faccio notare che se scaricate da Google Video invece che da Youtube potete scaricare direttamente il file AVI evitando di perdere tempo nella conversione.
Anche senza nessuna estensione i file AVI di Google Video possono essere scaricati grazie ad un bookmarklet che trovate in questa pagina

Altri post che potrebbero interessare:

Nuovi parametri per utilizzare smtp.tele2.it

pubblicato
da
gialloporpora
il 27 Novembre 2006
in thunderbird
. 46 Commenti


Da sabato non riuscivo più a spedire email tramite il server SMTP di Tele2, dopo una breve ricerca ho scoperto che dal 30 settembre Tele2 ha cambiato i parametri di connessione al server SMTP:

MPORTANTE PER CHI USA UN PROGRAMMA DI POSTA: il 30 settembre verrà bloccata la porta 25 che è utilizzata per la posta in uscita. Per continuare ad inviare la posta attraverso i server TELE2, è necessario modificare un’impostazione. Leggi come fare »

la cosa davvero strana che non riesco a spiegarmi è per quale strano motivo io abbia continuato a mandare email con la vecchia configurazione fino a sabato scorso !!

Questa è la nuova configurazione dell’SMTP di Tele2:

Parametri Smtp Tele2.it

Nonostante si usi la porta 587 (solitamente utilizzata per il protocollo TLS) non bisogna utilizzare nessun protocollo di connessione sicura :-S.
Fra l’altro ho notato che finalmente Tele2 mette a disposizione della clientela un news server:News server: nntpserver.tele2.it che comunque non ho provato perché preferisco continuare ad utilizzare quello di diesel con cui mi sono sempre trovato bene :-D.

Alcuni test sulla vulnerabilità di Firefox

pubblicato
da
gialloporpora
il 24 Novembre 2006
in software
. Commenti

Facendo riferimento a questo proof of concept realizzato da Capin information Services (CIS) per testare la vulnerabilità del Password Manager di Firefox ho fatto alcuni test.

Ho prima installato la toolbar di Netcraft per vedere se segnala il tentativo di furto delle credenziali, sul loro sito viene riportato quanto segue:

During October, alert members of the Netcraft Toolbar community discovered a clever attack against the popular social networking site MySpace. Other users of the Netcraft Toolbar were promptly protected against this convincing attack, which used MySpace's own servers to present a spoof login form.

che è l'attacco che ha messo in luce le vulnerabilità di Firefox (e in questo caso anche dello stesso IE). Fatto il test ma Netcraft non mi avvisa di nulla cliccando sul video vengo rimandato alla pagina di Google e nell'URL appare:

http://…&loginuser=pippo&loginpass=passwordreale&x=484&y=485

che significa che l'attacco ha avuto esito positivo :-(.

A questo punto faccio un esperimento registro un altro utente stavolta invece di chiamarlo pippo chiamo pippofalso e una volta registrato un secondo utente Firefox non sa più autocompletare il form perché non sa decidere quale dei due utenti scegliere, cliccando sul video questo è il risultato:

http://…s&loginuser=&loginpass=&x=337&y=561
:-D :-D :-D :-D. Come si può notare l'attacco non ha avuto l'effetto sperato dall'hacker.
Se poi vado a rifare il login questo non si autocompleta ma inserendo il solo username Firefox suggerisce automaticamente la password:

Password hack

in questo modo non è necessario fare uno sforzo di memoria per ricordare la password.

CONCLUSIONI
1) Le password importanti come quelle relative a conti bancari non vanno mai memorizzate nei browser
2) Inserendo due utenti user e userfalso Firefox non riesce ad autocompletare i form e quindi non è possibile sfruttare la vulnerabilità nascondendo in un immagine un "Submit" per i form.
3) Firefox come anche IE7 non sono ancora capaci di fare dei controlli sui form per stabilire la loro autenticità , l'unica possibile soluzione, per quanto riportato sul sito di Netcraft, è usare la loro toolbar (nel test sul sito di Capin Information Services non ha funzionato ma forse perché non è un dominio in cui ci si aspetta venga eseguito un tale attacco non ospitando al suo interno sottodomini di altri utenti).

La mia prima segnalazione a Google

pubblicato
da
gialloporpora
il 23 Novembre 2006
in software
. Commenti

Ho appena ricevuto questa email:

take me to Sears

*Alerting Service*

*Security Notification*

Because of several failed Log In attempts to your online account, your Sears
card account
features have been restricted as of the time of this notification. For more
account information,
to change your password, to request a Credit Line Incrase, or make an online
payment,
contact us at www.SearsCard.com

This message is for information purposes only.

Please understand that we cannot repond to individual messages throught this email
address. It is not secure and should not be used for credit card account related
questions.

To restoure your Sears credit card features, please follow these steps:

1. Contact Us at LINK_RIMOSSO
2. Log In to your online account and change your password

After you have submitted your message, check for a response within 48 hours.
Just return to
the Write to Customer Care section and select the Update/View Messages link.

2006 Citibank (South Dakota), N.A. Member FDIC All rights reserved. Citi and
Citibank are registered
service marks of Citigroup, Inc.

Naturalmente io non ho nessun conto su quella banca (e se anche ce l'avessi non mi fiderei mai di una notifica via email :-P ) comunque per pura curiosità ho cliccato sul link per vedere se veniva segnalato come tentativo di truffa dall'anti-phishing di Firefox che invece non segnala nulla sia usando il database locale sia utilizzando quello di Google.

Ho quindi fatto la mia prima segnalazione di sito truffa a Google e ora sono curioso di vedere quanto ci mettono ad aggiornare il database inserendo quel sito fra quelli truffaldini.

Cambiare il layout dei siti a nostro piacimento

pubblicato
da
gialloporpora
il 23 Novembre 2006
in Senza categoria
. Commenti

Stylish è proprio una simpatica estensione !! Avete mai desiderato cambiare l'aspetto di un sito modificando, ad esempio, i colori dello sfondo e del testo ? Con questa estensione è possibile farlo. Praticamente utilizzando il linguaggio delle proporzioni:

Stilysh : CSS = Greasemonkey : Javascript

Potete definire per ogni sito il vostro stile preferito che sarà applicato al posto di quello di default creato dal webmaster :-D.
Si può ottenere la stessa cosa con script per Greasemonkey ma la cosa è molto più complicata perché bisogna utilizzare Javascript, mentre con Stylish basta (si fa per dire) utilizzare i fogli di stile CSS ed è molto ma molto più facile :-D.

Naturalmente ci sono già degli stili preconfezionati che potete trovare su userstyles.org, inoltre se state visitando un determinato sito è possibile reperire tutti gli stili disponibili nel database semplicemente cliccando nell'icona di Stylish sulla barra di stato e scegliere : "Trova stili per questo URL".
E' inoltre possibile applicare anche stili all'interfaccia di Firefox come quando si modifica il file userChrome.css.

Ecco qui un esempio, magari non bellissimo, ma molto significativo:

The Dark Sight of Google

Ascoltare Yahoo Music senza ActiveX

pubblicato
da
gialloporpora
il 23 Novembre 2006
in Senza categoria
. Commenti

Per accedere ai contenuti multimediali di Yahoo Music purtroppo si deve installare un controllo ActiveX, per chi giustamente non ha nessuna intenzione di farlo può provare con pkLaunch, un utile script per Greasemonkey. Ho appena provato e funziona, se in futuro smette di funzionare tenete d'occhio la pagina dello script per eventuali aggiornamenti o iscrivetevi alla mailing list di Greasemonkey.
Yahoo Music Italia

Grave falla in Firefox 2.0

pubblicato
da
gialloporpora
il 23 Novembre 2006
in Senza categoria
. Commenti

E' stata riscontrata una vulnerabilità in Firefox 2.0 mediante cui è possibile accedere ai dati personali (username e password). Ora provo a spiegare quello che sono riuscito a capire di questo attacco.

Supponiamo di essere all'interno di uno spazio altervista (esempio questo sito) io potrei riprodurre la pagina di login originale e senza accorgervene potreste compilarla coi vostri dati personali (username e password) e Firefox non vi avvertirebbe che in realtà quella non è la pagina originale del login ma solo una brutta copia creata per impossessarsi delle vostre credenziali. Questo attacco è stato denominato Reverse Cross-Site Request e interessa anche Internet Explorer. L'unica soluzione è controllare l'URL dove è ospitato il form di login, io personalmente ho inserito l'indirizzo del login fra i segnalibri e ogni volta che devo loggarmi accedo sempre all'url tramite il segnalibro che rimanda alla pagina autentica.

L'aggravante che rende la vulnerabilità di Firefox molto più grave è che possedendo l'autocompletamento potrei addirittura nascondere il form con un'immagine (senza dover riprodurre la pagina di login di altervista) e quando cliccherete sull'immagine invierete i dati personali che sono stati inseriti dall'autocompletamento.

Da quello che ho capito non è comunque possibile accedere ad altri dati personali relativi ad altri domini (ad esempio le password di una banca non sono accessibili tramite questo BUG, a meno che qualcuno non riesca a inserire del codice HTML nel sito della banca stessa ma sarebbe da preoccuparsi se ciò fosse possibile).

Dunque la vulnerabilità colpisce sopratutto chi ha dei siti Web o dei Blog ospitati su domini come altervista o Myspace e sono questi i dati personali ad essere a rischio. Probabilmente se consultate la posta sul Web è possibile riprodurre l'attacco per le password di accesso all'account con una mail creata per l'occasione.
Mozilla ha riconosciuto la vulnerabilità e pensa di risolverla con le prossime versioni 2.0.01 o 2.0.0.2, nel frattempo si consiglia di non far ricordare a Firefox le password: Strumenti -> Opzioni -> Sicurezza e togliere la spunta da "Ricorda le password dei siti". Altra possibilità è utilizzare Master Password Timeout (per impostare la Master Password leggere qui) che vi avvisa ogni volta che state sottoscrivendo un form di login.
Se come nel caso di MySpace era stato riprodotto il form di login autentico di Myspace all'interno di un Blog ospitato e non ci si accorge che si tratta di un tentativo di phishing nè Firefox nè IE vi avviseranno della truffa, praticamente sono gli unici due browser che vantano un controllo anti-phishing ma, non riescono a riconoscere le truffe se ospitate all'interno di un sottodominio.
Come detto sopra le uniche password potenzialmente a rischio sono quelle di accesso ad aree in cui è possibile da parte degli utenti inserire codice HTML come Forum (ma sono pochi quelli che consentono di inserire HTML e, comunità che offrono spazi Web o di blogging.
Se volete eliminare tutti o qualcuno dei dati personali memorizzati nel Password Manager di Firefox vi consiglio di usare Password Exporter per esportare i dati ed eventualmente recuperarli in tempi migliori.

Se cercate un buon programma per salvare le vostre password proteggendole con un'unica master password scaricate Keypass Password Safe.

Qui uno dei migliori articoli (in italiano) sull'argomento, trovate anche il link ad un proof of concept per toccare con mano la vulnerabilità e questo è il BUG da controllare su Bugzilla sperando venga risolto al più presto.

Ma IE7 è peggio di IE6 ?

pubblicato
da
gialloporpora
il 16 Novembre 2006
in software
. 17 Commenti

Dopo cinque reboot sono finalmente riuscito ad avere la meglio su IE7 che non ne voleva sapere di installarsi (forse gli sto antipatico :-P ). Comunque durante l'installazione cercava di scrivere delle chiavi di registro e non riuscendoci si disinstallava e riavviava :-P. Per risolvere:
- aprire il file updspapi.log, cercare la voce "accesso negato" e quale sia la chiave che produce l'errore, nel mio caso era:
HKCR\.application\bootstrap
notare quel punto infame che all'inizio non avevo notato cercando disperatamente una chiave "application" che non c'era !!
L'errore che mi veniva restituito era:

#E008 Setting registry value HKCR\.application\bootstrap
#E033 Error 5: Accesso negato.

- aprire l'editor di registro cercare la chiave e assicurarsi di avere tutti i permessi di scrittura

Comunque alla fine tutto è bene quel che finisce bene (beh forse in questo caso è esagerato visto che è finita con l'installazione di IE7 :-D.

A me non piace, comunque, è molto migliore del suo predecessore:
- finalmente a le tab
- una grafica più essenziale
- gestisce i feed RSS (e lo fa molto bene a dire il vero)

comunque dopo dieci minuti l'ho spento e non ho testato tutte le funzioni.

Una cosa mi ha incuriosito, ho fatto il test per verificare la velocità di esecuzione di Javascript e mi sono stupito del risultato: 3000 ms. Per la cronaca IE6 eseguiva lo stesso benkmark in circa 1700 ms. Allora mi son detto: "avranno aggiunto del codice" e ho provato con Firefox, e sorpresa Firefox continua a dare i soliti risultati, circa 1900-2000 con estensioni, 1700 su un profilo pulito.
Allora forse è IE che è peggiorato o è colpa dei miei problemi in fase di installazione che ne hanno inficiato l'ottimale funzionamento ? (oppure gli sto antipatico .-P )
Se qualcuno vuole provare il test è QUI.
Fatelo due tre volte e se volete riportate i risultati di IE e Firefox coì vedo se è il mio ad avere problemi o se è una cosa che accade a tutti.

Impacchettare più estensioni in un unico file XPI

pubblicato
da
gialloporpora
il 15 Novembre 2006
in Senza categoria
. Commenti

Questo trucchetto è stato postato da miki64 (che ringrazio moltissimo :-D ) in questo commento. Vi invito a visitare il suo personale spazio su eXtenzilla, è davvero molto divertente :-D.

Hai messo come risparmiare tempo installando un’estensione per tutti i profili.
Se mi permetti, io indico come Creare un’estensione con più estensioni dentro!

1) creare un file install.rdf così fatto

<?xml version="1.0"?>

<RDF xmlns="http://www.w3.org/1999/02/22-rdf-syntax-ns#"
xmlns:NC="http://home.netscape.com/NC-rdf#"
xmlns:em="http://www.mozilla.org/2004/em-rdf#">

<Description about="urn:mozilla:install-manifest">
<em:type NC:parseType="Integer">32</em:type>

<em:id>multixpi@extenzilla.org</em:id>
<em:name>MultiXPI</em:name>
<em:version>0.1</em:version>

<!-- Firefox -->
<em:targetApplication>
<Description>
<em:id>{ec8030f7-c20a-464f-9b0e-13a3a9e97384}</em:id>
<em:minVersion>1.0</em:minVersion>
<em:maxVersion>3.1</em:maxVersion>
</Description>
</em:targetApplication>

<!-- Thunderbird -->
<em:targetApplication>
<Description>
  <em:id>{3550f703-e582-4d05-9a08-453d09bdfdc6}</em:id>
      <em:minVersion>1.0</em:minVersion>
      <em:maxVersion>1.5.0.*</em:maxVersion>
</Description>
</em:targetApplication>

</Description>

</RDF>
</RDF>

2) mettere il file install.rdf in una directory in cui ci sono tutte le estensioni che si vogliono conglobare (in formato .xpi, non si deve scompattare niente),

3) creare un file zip con tutti i file che sono nella directory;

4) cambiare l’estensione del file .zip in .xpi.