L’insostenibile leggerezza dell’open source

So già che questo provocherà una certa quantità di vaccate scritte nei vari commenti, ma tant’è… Certi personaggi sono disposti a cancellare le pagine che fanno scandalo, io no. Parlerò anche di questo, ma non oggi.

Oggi voglio fare una capatina nel mondo del magico Open Source. Quello della “sicurezza perchè tutti posssono guardare il codice” e del “rilascio delle patch di sicurezza rapido perchè ci lavora un sacco di gente”.

Basta una ricerca su internet per vedere che questo è un po’ il leit motiv di un sacco di pagine. Ok, ora prendiamo uno dei progetti più famosi in ambito open source, e cioè il Panda Rosso (si, Firefox è una specie di panda minore dal pelo rosso, anche piuttosto rara).

Orbene, ieri è stata rilasciata la versione 2.0.0.12 che corregge 12 bug di sicurezza, cosa anche piacevole. Sorprendentemente, però, manca la correzione di un piccolissimo bug, noto da tempo che del quale potete trovare una pagina demo su heise-security: attivate i javascript, seguite leistruzioni e godetevela.

O forse ripensandoci non è molto strano, visto che heise securitiy ha reso noto il bug il 22 Novembre 2006, la bellezza di 15 mesi fa.
Sono stupito sinceramente che un bug del genere non sia ancora stato corretto.

Secondo le dichiarazioni presenti a questa pagina, Mozilla Foundation ha dichiarato:

Mozilla developer Gavin Sharp confirmed that the developers are aware of that problem. Indeed, there were controversial discussions of the issue in the bug database, but further measures were discarded. Automatically entering passwords in other pages increases the user-friendliness on sites with several login pages. And even if this functionality is removed, this does not mean that passwords cannot be stolen.

Ossia: chissenefrega, tanto le password possono essere rubate lo stesso, se un attaccante modifica la pagina del server.

Certo, però ricordiamo che smepre secondo la ricerca di heise, il bug in questione fornisce le pwd memorizzate di qualsiasi pagina che abbia un form simile a quello nel quale vengono memorizzate le password dal manager.

Uno dice: eh, ma c’è noscript e una tonnellata di estensioni. Si, ma l’utente medio, di default, quella roba non la installa.

Ritengo che in questo caso si sarebbe dovuto fare qualcosa di più. Il bug esiste ed è grave. E la maggior parte degli attacchi di phishing si basano proprio su form simili a quelli di siti affidabili. Facilitare così la vita di un phisher, mi pare una mossa un tantino azzardata… Faster, Safer, Better? Chissà.

-Miauz!

Pubblicato il febbraio 11, 2008 su Informatica, Sicurezza, Software. Aggiungi ai preferiti il collegamento . 3 commenti.

  1. Molto interessante. Non ho capito bene cosa fa il bug… La pagina di proof of concept continua a caricare apparentemente entrando in loop, in ogni caso è chiaro che c’è qualcosa che non va. Leggendo il bug relativo, sembra che il problema sia il solito URI handler, che a questo punto devo supporre non ancora risolto dalla 2.0.0.10.

    Mi sembra di assistere un po’ alla storia di ubuntu: la 7.04 aveva seri problemi, tant’è che in molti hanno perso dati in fase di aggiornamento… Credo che le patch vengnao rilasciate un po’ all’acqua di rose, facendo leva sul fatto che FF 3 è in dirittura di arrivo. Personalmente penso che se fosse davvero così, vorrebbe dire che la professionalità di firefox sta calando visibilmente. Non esiste che vengnao rilasciate patch incomplete per star dietro alla nuova versione di un browser. Lo trovo estremamente scorretto.

  2. Quelli di FF hanno il brutto vizio di non guardare mai oltre il naso:

    http://it.slashdot.org/article.pl?sid=08/02/09/2215205&from=rss

    Incredibile che la .12 sia vulnerabile ad un baco similissimo a quello sistemato nella .12. Verrebbe da chiedersi chi fa le code review, chi testa, ecc.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: