Pwn2Own 2010 ed i browser cadono come mosche

Nella giornata di ieri ha preso il via la classica edizione annuale del CanSecWest che, per chi non ne fosse a conoscenza, si prospetta come una manifestazione pululante di esperti di sicurezza che ogni hanno mettono alla prova la sicurezza dei browser più noti.

Anche in questa edizione la partecipazione è stata folta è nutrita con esperti provenienti da tutto il mondo tra nomi emergenti ed i mostri sacri della manifestazione come ad esempio Charlie Miller.

Le indiscrezioni sulle vulnerabilità dei browser erano in realtà iniziate qualche tempo fa e vedeva protagonisti i sistemi MacOSX duramente criticati proprio da Miller che li definisce insicuri e pieni di potenziali falle da sfruttare.

Alla prova dei fatti Miller aveva ragione, già nella prima giornata il sistema di navigazione della mela morsicata è caduto sotto i colpi degli esperti che, grazie ad una pagina web appositamente costruita, sono riusciti a violare da remoto un computer Apple attraverso il proprio browser Safari.

Leggi il resto del post »

Nel nuovo OS di Google lo zampino della Canonical

Personalmente non ritengo Chrome OS in grado di minacciare il mondo dei sistemi operativi come lo conosciamo oggi almeno per ora, troppi vincoli ed un prodotto Google centrico fanno dell’OS una scelta poco appetibili soprattutto in parti del mondo, come l’Italia, dove ci sono evidenti problemi circa la rete internet; sicuramente è difficile non ammettere che finalmente con questo OS il concetto di cloud computing prende una piega molto diversa accostandosi sempre di più al mondo dell’utente finale.

Se Chrome non avrà il successo sperato sarà sicuramente in grado di gettare luci su quello che molto probabilmente sarà computer 2.0 con tutti i suoi limiti ed i suoi problemi, a tal proposito un mio pensiero più approfondito è disponibile al seguente link:

http://www.camminandoscalzi.it/wordpress/google-chrome-os-l%CA%BCos-si-trasferisce-in-nuvola.html

Significativo invece l’accordo tra Google e Canonical, secondo i termini di contratto gli sviluppatori della famosa Ubuntu saranno impegnati nella nuova distro del gigante del web.

Le conoscenze di alcuni e il brand di altri potrebbero portare enormi benefici per le due aziende non tanto in vendite o assistenza quando in visibilità guadagnando nel contempo un ruolo da innovatori del mercato.

Link

Ciao a tutti.

Google integra nel suo browser Chrome Native Client ed il desktop si trasferisce sul web

Operare direttamente sul web senza nessun programma installato e con solo un client, in questo caso browser, ad interfacciare la nostra macchina al web in modo da avere a disposizione tutti quegli applicativi necessari a svolgere il nostro lavoro quotidiano.

Sembra una realtà ancora molto lontana anche se pronosticata più volte negli ultimi anni, la tecnologia necessari a questo tipo di sviluppo della rete web non è poi così lontana e si potrebbe dire che molto è stato già fatto.

Altra componente fondamentale in questo processo è la disponibilità di una copertura capillare del territorio nazionale con linee degne di nota e dalla grande velocità.

Tralasciando però questi due, anche se fondamentali, dettagli possiamo affermare che il futuro citato in apertura del post non è così lontano, forse è più vicino di quanto crediamo e, come al solito, sembra che l’artefice di tali prodigi sia un colosso del web molto interessato a questo genere di innovazioni, chiaramente sto parlando di Google.

Leggi il resto del post »

Chrome si avvicina sempre di più, disponibile la versione Alpha del porting per i sistemi Mac e Linux

Lo scorso hanno fu il tempo del grande debutto di Chrome ovvero il browser come Google intende, interfaccia grafica minimale per avere maggiore superficie da dedicare al web e concetti di sicurezza rivoluzionari; purtroppo per noi e per i Mac user il software non era disponibile per le piattaforme in questione con grande dispiacere di chi avevano già messo in deposito il glorioso, ma sempre più problematico, Firefox.

Quasi da subito vari gruppi di programmatori hanno iniziato ad effettuare porting del progetto partendo dal codice sorgente prontamente rilasciato da Google vista la natura Open del software.

In questi giorni, a distanza di molto tempo, sono state presentate le versioni Alpha del browser per i rispettivi sistemi operativi mancanti, ritengo che molta strada è ancora da fare ma la via intrapresa sembra essere quella giusta visto che ci ha restituito un browser decurtato da molte delle funzionalità previste in Windows ma completamente funzionante.

Leggi il resto del post »

Firefox è stato da sempre il mio browser preferito fin dalla sua comparsa sul web, nel frattempo si sono palesati sulla rete altri concorrenti degni di rivaleggiare con il panda rosso (o volpe che dir si voglia) in modo eccellente.

Questa situazione si è venuta a creare pur una serie di circostanze che hanno visto un lento ma inesorabile e progressivo degradamento del codice sorgente del noto browser di casa Mozilla.

Consumi di ram spropositati su tutte le piattaforme siano esse Unix like o Windows, crash improvvisi di alcune versioni, aumento dei bug e aumento dei problemi legati alla sicurezza non danno certamente una immagine idilliaca di quello che è rimasto del browser in grado di mettere in crisi il monopolio Explorer e di macina record su record.

Personalmente mi trovo davanti alla quasi totale dipendenza di alcune estensioni che mi permettono di sopravvivere all’interno della giungla internettiana e per di più le mie due piattaforme utilizzate (GNU/Linux e MacOSX) non permettono l’installazione di quello che per adesso sembra l’alternativa più convincente al momento disponibile, ovviamente sto parlando di Chrome.

La voglia di cambiare software per la navigazione è tanta e azzarderei pure a dire ben motivata ma cerco di resistere sulla vecchia via maestra dato che in fondo, forse, sto scorgendo una luce di rinnovamento.

Tutti sappiamo che Chrome ha una particolare gestione delle tab che all’interno del sistema vengono identificate ognuna come un singolo processo a se in modo da non mettere la rischio la sicurezza della macchina e del browser stesso se malauguratamente si incappa in una pagina che contiene codice maligno.

Firefox sembra voler prendere spunto da questa innovazione portata sul campo da Google e quindi dividere ogni tab e la stessa interfaccia in più processi; i benefici si avranno sul fronte della stabilità, con un browser che non si chiuderà totalmente per ogni singolo crash di una sola scheda, e dal punto di vista dello sfruttamento della potenza di calcolo delle cpu dual core ormai ritenuto lo standard del mercato.

Non si sa molto del ramo di sviluppo in questione ma sicuramente sono noti i nomi dei curatori: Benjamin Smedberg (coordinatore dei lavori), Joe Drew, Jason Duell, Ben Turner e Boris Zbarsky.

Se per i primi risultati basterà aspettare la metà di Luglio la seconda fase del lavoro, sicuramente più importante e corposa, dovrebbe essere pronta per Novembre, sicuramente si avranno delle fasi successive ma per ora non sono disponibili altri dettagli che potrebbe lasciar trapelare un probabile range di tempo nel quale aspettarsi l’uscita per il grande pubblico di queste novità.

Link

Pwn2Own è un concorso interno che si svolge ogni anno in occasione del CanSecWest.

Più in particolare il concorso è un contest per hacker che, controllati da appositi giudici e limitati da un rigido regolamento, tentano di bucare le macchine a disposizione semplicemente sfruttando le vulnerabilità dei browser installati su di esse.

I partecipanti hanno diritto in caso di vittoria a prendere possesso della macchina ed a ricevere un premio in denaro.

Come ogni hanno i browser a disposizione sono Firefox, Safari ed Explorer nelle loro versioni più aggiornate.

In questa edizione partecipa anche il browser di Google che fino ad ora si è dimostrato il più sicuro ed affidabile di tutti visto che il concorso, iniziato proprio oggi, ha subito lasciato dietro di se molte vittime illustri.

Nils, colui che ha fatto fuori Explorer 8 e Firefox

Il primo a cadere è stato Safari, il browser era installato su di un MacBook e dopo pochi secondi, ed un singolo click su di un link già creato in precedenza da uno dei partecipanti, il sistema è caduto.

A creare la magia è stato il solito Miller che già nella scorsa edizione aveva scardinato i criteri di sicurezza del programma di navigazione creato a Cupertino.

Il secondo a cadere è stato Internet explorer 8, software rilasciato proprio nella giornata odierna, installato su di un Sony Vaio P con sistema operativo Windows 7.

Nils, così si fa chiamare il ricercatore che non ha voluto rilasciare le proprie generalità, ha bucato il sistema attraverso un attacco del tipo drive-by download.

Sempre lo stesso ricercatore qualche tempo più tardi a sfoggiato la sua maestria mettendo al palo anche Firefox sftuttando una falla zero-day.

Il risultato della prima sessione di lavori quindi è palese, visto che Opera non partecipa possiamo ritenerci al sicuro solo con il browser della Google per ora……..io comunque mi sento di dire che questi bravi ragazzi non ci daranno delle delusioni e, tempo qualche ora, faranno fuori anche l’ultimo dei partecipanti.

Quasi quasi stacco l’adsl…….

Link

Ciao a tutti.

Desiderate, attese, promesse e considerate il punto di svolta per un progetto che già ora ha in se del buono.

Sto parlando delle estensioni per il browser, made in Google, Chrome; la stessa azienda produttrice aveva più volte detto che nella roadmap del progetto prevedeva l’inserimento di estensioni in grado di ampliare le potenzialità e la personalizzazione del programma stesso, anche gli utenti più affezionati, che lo hanno adottato dalla prima versione, lamentavano la presenza di questi componenti aggiuntivi ormai essenziali per una navigazione più dinamica ed adatta alle esigenze di ogni utente della grande rete.

Inutile dire come da tutti, Google compresa, le estensioni vengano considerate come il vero e più importante tallone d’Achille del progetto, il diretto rivale Firefox infatti ha mantenuto moltissimi utenti proprio perchè gli stessi sono incapaci di rinunciare alle piccole comodità che il piccolo pannello “componenti aggiuntivi” offre.

La situazione però sta rapidamente evolvendo e proprio oggi ecco la notizia secondo la quale nel prossimo convegno Google Developer Day, previsto per il 27 Maggio, vi sarà un talk dal titolo intrigante ma allo stesso tempo tanto chiaro da lasciare pochi dubbi, “Developing extensions for Google Chrome“.

Più esplicitamente:

Learn how Google Chrome makes it easy to write extensions using the web technologies you already know. This talk will cover the basics of the extension system (distribution/packaging, installation, updates), as well as the different APIs to enhance with the browser.

Probabilmente il supporto alle estensioni sarà abilitato/rilasciato prima della conferenza in concomitanza delle nuove versioni per Mac e GNU/Linux.

Una mossa che potrebbe portare molti nuovi utenti, me compreso, tra le file degli utilizzatori del browser Google mettendo in crisi la fetta di mercato duramente guadagnata dal Panda rosso di Firefox.

Personalmente penso che il passaggio al browser di Google vada attentamente considerato sotto molti aspetti come ad esempio quello della sicurezza visto che si possono registrare delle gravissime mancanze in questo settore.

Link

Ciao a tutti.

Analizzare la sicurezza di un prodotto Open come il browser di Google prevede una analisi del codice sorgente in tutte le sue parti.

Un compito difficile e molto lungo che sicuramente viene eseguito in modo scrupoloso dai programmatori Google ma che, grazie al modello di sviluppo open del progetto, può essere eseguito da qualsiasi esperto di sicurezza che vuole dare una mano al progetto del browser targato BigG.

Una prima valutazione della sicurezza del browser può però essere data attraverso uno studio concettuale, e non solo, del software.

Chrome è stato concepito per ottenere un browser veloce, sicuro e multi piattaforma; il modello concettuale di sicurezza applicato al progetto è sicuramente vincente, ogni singola pagina web è un processo separato all’interno del programma quindi rendering, spazio di memoria, strutture dati globali, token di accesso, scheda URL e tutto il resto sono separati per ogni singola pagina visualizzata.

Questo limita il campo di azione di un possibile codice maligno alla sola tab riguardante il processo stesso la quale può essere considerata come una istanza di sistema del browser stesso infatti lo stesso software presenta una propria utility per la gestione dei processi interni allo  stesso.

Volendo fare una paragone estremo, ma ovviamente non corretto, possiamo dire che il browser si comporta come una macchina reale dove ad ogni sito aperto corrisponde una macchina virtuale che ne garantisce il corretto accesso ed il suo funzionamento.

Non mancano comunque delle riserve sul software; potrebbe essere discutibile la scelta di Google di produrre un browser che per essere installato non richiede privilegi di amministratore, in questo caso il controllo da parte dei gestori di grandi reti è sicuramente molto difficile.

Con l’installazione del prodotto viene installato anche un programma per la gestione degli update di tutti quei software prodotti da Google, l’applicazione è totalmente trasparente all’utente e si prende in carico la gestione degli aggiornamenti del browser e di tutti gli altri prodotti.

Leggi il resto del post »

Uno dei software a portare delle novità in questo periodo natalizio è Chrome l’ormai noto, discusso e chiacchierato browser di Google.

Anche se da subito non disponibile per piattaforme che fossero diverse da quelle Windows, questione che almeno inizialmente ha creato il mal contento negli utenti di altri sistemi operativi, adesso sembra che gli sviluppatori si vogliano far perdonare con il rilascio di una prima documentazione per lo sviluppo di estensioni direttamente sulle pagine di Chromium e cioè il corrispettivo del software Chrome per sistemi operativi diversi da quelli di casa Microsoft.

Si intravvede benissimo quindi la strategia che Google vuole adottare per il suo browser che nel breve periodo si è guadagnato una considerevole fetta di mercato; seguire la strada che ha portato altri al successo potrebbe pagare visto i risultati fatti registrare da Firefox il quale, con l’aiuto delle estensioni, si è affermato sul mercato in modo netto e deciso.

Se volete leggervi qualche buona riga di Inglese riguardante lo sviluppo di estensioni vi lascio al link che qui riporto.

Personalmente ritengo che il browser di Google sia fin troppo essenziale ammettendo nel contempo anche gli innumerevoli pregi che porta con se come ad esempio la velocità di avvio, quella di navigazione ed il sistema di gestione dei task.

Sono quindi auspicabili delle estensioni che permettano una integrazioni delle funzioni del software le quali allo stato attuale sono proprio ridotte all’osso, ovviamente c’è anche da considerare la risposta che si registrerà da parte degli sviluppatori….saranno o no interessati alla produzione di codice per questo browser??

Penso proprio di si visto il colosso che si presenta dietro alle spalle del software e, nel caso questo non bastasse, sono sicuro che Google sia in grado di pensare ad una campagna in grado di invogliare molti.

Chiudo con una considerazione di carattere generale e magari un pochino opportunista…non è importante chi la spunterà nella guerra dei browser basta che chi vinca abbia un codice sorgente aperto (e mi sembra di aver ristretto il campo a sufficienza).

Ciao a tutti.

Per chi non se ne fosse accorto o magari non avesse ancora provveduto è il momento di scaricare/installare/aggiornare la nuova versione del browser libero per eccellenza.

Ovviamente sto parlando di Firefox che con questa ultima release si piazza a quota 3.0.4.

Più che di una nuova versione è giusto parlare di patch e correzione di alcuni bug i quali affliggevano la “vecchia” versione.

Queste le note di rilascio:

• Risolti diversi problemi di sicurezza.
• Risolti diversi problemi legati alla stabilità dell’applicazione.
• Sono disponibili i pacchetti ufficiali in lingua islandese e tailandese.
• Sono disponibili a scopo di test (in versione beta) i pacchetti in bulgaro, esperanto, estone, lettone, occitano e gallese.
• Aggiornato l’elenco dei suffissi di dominio.
• Risolto un problema con lo strumento di input IME – usato per inserire caratteri giapponesi, coreani, cinesi e indiani – che veniva nascosto dal pannello “Aggiungi segnalibro”. (bug 433340)
• Attivati nuovi certificati EV root. (bug 451305)
• Risolto un problema relativo al mancato funzionamento delle password salvate con Firefox 3.0.2. (bug 457358)
• In alcuni casi Firefox non salvava correttamente le informazioni dei proxy per protocolli diversi da HTTP. (bug 446536)

come è possibile vedere sono stati corretti ben 11 bug tra i quali ben 4 vulnerabilità dichiarate critiche dalla stessa Mozilla.

Personalmente sono ormai tre giorni che uso la nuova versione del browser e posso ritenermi molto soddisfatto del lavoro svolto, anche se con i suoi noti problemi per quel che riguarda la piattaforma MacOSX, ritengo Firefox il miglior browser sulla piazza.

Se al contrario vi siete stancati della volpe di fuoco o più semplicemente siete in preda ad uno spirito rivoluzionario dovrete attendere ancora qualche tempo per la versione di Chrome nativa per il pinguino.

Anche se ancora non ci sono date ufficiali è possibile reperire informazioni nel web circa dichiarazioni di alcuni responsabili di Google che vogliono il progetto Chromium ad un buonissimo ed avanzato stadio di sviluppo.

In realtà è necessario fare alcune precisazioni, se da un lato l’azienda sta alacremente lavorando per portare il proprio browser all’interno delle piattaforme più usate rimaste fuori dal primo rilascio (leggi Mac e GNU/Linux) c’è da segnalare che il progetto è ancora in una fase embrionale tale da non essere ancora usabile dal grande pubblico ma solo da tester selezionati.

Per ora notizie frammentarie e più o meno attendibili vogliono una V8 (macchina java) funzionante ma una incapacità del software di completare un rendering di una pagina web in modo corretto.

Personalmente sono estremamente curiosodi vedere il progetto finalmente disponibile per il pinguino anche se già so che scardinare il potere Firefox all’interno dei miei pc sarà un durissimo, se non impossibile, lavoro dopo averlo provato su piattaforma Windows.

Link

Ciao a tutti.