Tag Archive for 'bug'

Grave bug in Firefox ? Forse no…

Pubblicato da gialloporpora il 11 febbraio 2008 in firefox con 0 Comments

E’ stato segnalato un nuovo “Traversal Path” in Firefox 2.0.0.12. Il bug permette, mediante l’uso del meccanismo per la visualizzazione dei sorgenti delle pagine, di utilizzare il protocollo resource://, in parole più semplici, è possibile visualizzare i file situati nella cartella di installazione di Firefox (di solito C:\Programmi\Mozilla Firefox). Qui trovate un proof of concept (sono due righe di codice Javascript :-P ).

Nonostante da più parti sia stato consigliato un rilascio immediato della patch per questo bug, Mozilla non sembra intenzionata a dare troppa importanza a questo problema. Ecco il pensiero di a riguardo:

In this case, it appears to me as though Ronald is simply mistaken. The files to which Ronald demonstrates access do not have the user’s settings, though he claims otherwise. Those files (the user’s data) are not stored in the Program Files hierarchy on Windows, or the equivalent on other operating systems. Instead, the preference files that he is showing in his “exploit” are ones that are defaults that are shipped with Firefox, and made freely available on the web. Again, these are not user settings, but defaults that are shipped with all copies of Firefox and contain no personal information.

(NB: this issue should not be confused with the recent “flat chrome” directory traversal vulnerability that affected users of some extensions, and which 2.0.0.12

In breve: «Quanto provato da Ronald è che Firefox permette l’accesso ai file situati nella cartella del programma, questi file non contengono informazioni o dati personali ed il loro contenuto è liberamente reperibile sul Web. Ben diverso il bug, risolto dalla versione 2.0.0.12, che permetteva di accedere ad informazioni personali.»

In altre parole, anche se la cosa è fastidiosa, sembrerebbe, secondo Mozilla, molto meno grave del previsto. Consiglio di leggere la discussione sul blog di Mike Shaver, io personalmente spero venga risolto comunque, non è mai bello che un sito abbia accesso in lettura ai file su disco. In ogni caso, non sembrerebbe un bug a cui verrà data una grossa priorità, in accordo con il commento di Boris:

take, I didn’t miss the point at all. Reading this file tells the site absolutely nothing they didn’t already know. They could just as easily get this file by getting it via http from bonsai, pulling it directly from the CVS repository.

I agree that it’s not great that even this completely safe read is allowed, because it makes a trifle harder to prove that unsafe ones are not allowed, and the added complication in the proof confuses people at tomes. So we’re working on disallowing it at some point. But since it is completely safe, this is a low priority endeavour.

Quindi, a meno che Ronald van den Heetkamp, come lascia intendere sul suo post, non proponga un attacco ben più serio che sfrutti tale vulnerabilità, non ci si deve aspettare che venga rilasciata a breve una nuova versione di Firefox.

Link di approfondimento:
Segnalazione del bug da parte di Ronald van den Heetkamp,
Mike Shaver: sourceresource vulnerability does-not expose personal-information
via Foxiewire

Technorati Tags: , , ,

Sage e Firefox 3

Pubblicato da gialloporpora il 5 febbraio 2008 in firefox con 0 Comments

Sage è un’ottima estensione per gestire i feed RSS in Firefox, assolutamente non un feed reader adatto per leggere migliaia di feed, ma un buon metodo per gestire pochi feed che non abbiano aggiornamenti troppo frequenti (insomma non quello dell’Ansa).

Nonostante utilizzi Bloglines per leggere le notizie, sono innamorato di questa estensione che mi mette nella sidebar i blog a cui sono più affezionato, i nuovi Topic dei forum che seguo e i segnalibri di del.icio.us (io ho tolto tutti i segnalibri statici, ci sono praticamente solo feed e bookmarklet, ed avendo segato via il menu “Segnalibri” uso praticamente solo la barra laterale per accedervi). Purtroppo però, l’estensione non è compatibile con Firefox 3.0 a causa della nuova gestione dei segnalibri di questa versione. Premesso che è un po’ presto per aspettarsi una versione funzionante (Firefox 3 uscirà fra più di un mese e mezzo) è strano non ci sia nemmeno una beta da provare. Gli indizi sembravano presagire un blocco dello sviluppo di questa ottima estensione, in breve:

  • il blog dell’estensione non è più stato aggiornato dal rilascio della versione 3.10 (scorso febbraio);
  • sul sito ufficiale l’ultima nightly è relativa alla versione 3.10;
  • sulla mailing list alla quale mi sono iscritto ad un utente che chiedeva notizie sul futuro di Sage è stato risposto di installare Brief :-P .

Ormai scoraggiato, stavo quasi quasi per arrendermi, quando è sbucato questo bel bug: Bug. 411777. Quindi consiglio tutti coloro,che come me sono affezionati a questa estensione, di votarlo :-) .

NOTA: non preoccupatevi questo voto non farà danni

Technorati Tags: , ,

Usare un editor di testo per il codice HTML

Pubblicato da gialloporpora il 3 ottobre 2006 in software con 10 Comments

Mi sono appena accorto che Firefox 2.0 offre la possibilità di utilizzare un editor esterno per visualizzare l’HTML di una pagina web, cosa che nelle versioni precedenti era possibile solo mediante l’installazione di ViewSourceWith. Per attivare questa funzione bisogna digitare about:config nella barra degli indirizzi e modificare queste due chiavi come segue:
view_source.editor.external a true
view_source.editor.path, al percorso dell’eseguibile dell’editor di testo, io ad esempio ho messo C:\Programmi\Crimson Editor\cedt.exe.

Che equivale ad aggiungere al file user.js il seguente codice:

user_pref("view_source.editor.external", true);
user_pref("view_source.editor.path", "C:\\Programmi\\Crimson Editor\\cedt.exe");

:
NOTA: Nel file user.js i cammini vanno riportarti usando la doppia \\ e non la \ singola.

AGGIORNAMENTO: A dir la verità funziona su tutte le pagine che ho provato meno che quella principale del Blog !! Sinceramente non ne capisco il motivo visto che la pagina di Login viene aperta con l’editor selezionato mentre quella principale dall’editor di default di Firefox. Boh !!

AGGIORNAMENTO: Dopo aver aperto un Topic su MozillaZine sembra che il motivo per cui in alcune pagine non viene utilizzato l’editor esterno sia dovuto ad un problema di encoding, Bug: 347047. Per una strana ironia della sorte il comportamento erroneo si verifica sul permalink di questa notizia :-S.

AGGIORNAMENTO: Anche sostituendo il contenuto QuickTime con un video in Flash non cambia nulla.
AGGIORNAMENTO: probabilmente se si prova ad applicare quanto detto in questo post sulla pagina di questo blog si otterà l’apertura del programma selezionato, ma si avrà un errore di file non trovato. Credo che sia un bug di Firefox che devo accertare e magari segnalare su Bugzilla. Il problema è legato alla nuova codifica utilizzata (UTF-8) e al carattere ‘è’ presente nel titolo della pagina.