Roma – L’Autorità Garante della Concorrenza e del Mercato (Agcm) ha aperto un’ istruttoria nei confronti degli operatori telefonici mobile italiani dopo la denuncia ricevuta dal Codacons . Al centro dell’indagine di Agcm, l’accusa dell’associazione dei consumatori secondo cui gli operatori avrebbero fornito agli utenti servizi a pagamento (definiti premium) non chiaramente specificati .
In pratica, secondo Codacons ai consumatori sarebbero stati addebitati sul proprio credito telefonico importi relativi ad abbonamenti e servizi non richiesti o non adeguatamente spiegati nei loro costi e modalità.
Coinvolti nell’indagine dell’antitrust sono H3G, Telecom Italia, Vodafone e Wind .
Nel dettaglio – secondo quanto si legge nel bollettino del 21 luglio dell’Agcm – a queste ultime due vengono contestate “l’omissione di informazioni rilevanti e/o la diffusione di informazioni non rispondenti al vero circa l’oggetto del contratto di telefonia mobile (cioè per quanto riguarda le caratteristiche essenziali, le modalità di fornitura e di pagamento dei suddetti servizi, nonché circa l’esistenza del c.d. blocco selettivo e la necessità per l’utente di doversi attivare mediante una richiesta esplicita di adesione alla procedura di blocco), nonché l’implementazione di un sistema automatico per trasferire il numero di telefono dell’utente “dal gestore ai Content Service Provider (CSP) che editano i contenuti digitali a pagamento e il successivo automatico addebito del servizio sul credito telefonico dell’utente senza che quest’ultimo abbia mai inserito il proprio numero telefonico o si sia, in altro modo consapevole, reso riconoscibile”.
Nei confronti di Telecom Italia e H3G, ad essere contestato è invece l’utilizzo di “modalità di presentazione dei messaggi volti a promuovere i servizi a pagamento (link, pop up e banner presenti nelle app o sui siti web) contenenti informazioni non rispondenti al vero e/o omissioni informative circa gli elementi principali dell’offerta (caratteristiche, prezzo ecc.) e i diritti dei consumatori nella contrattazione a distanza (recesso ecc.), nonché caratterizzate da meccanismi che determinano l’accesso ai predetti servizi e la loro attivazione con conseguente relativo addebito sul credito telefonico, in modo accidentale o, comunque, in assenza di una espressa manifestazione di volontà del consumatore”: basta per esempio pensare agli sfioramenti accidentali di uno schermo touch screen che possono portare l’utente ad aprire inavvertitamente una finestra o alla difficoltà nel cliccare il comando di chiusura di un banner innescando invece l’apertura di un link.
Le aziende interessate potranno intervenire nel procedimento inviando le relative osservazioni e appunti all’Autorità.
Claudio Tamburrino
-
Re: La profilazione è una tigre di carta.
- Scritto da: thinshadow
1) Tor e NoScript (e, meglio ancora, Javascript
disattivato), in prima battuta. Probabilmente
basterebbe.
Ma se non bastasse ecco che si passa a
2) in seconda battuta: Tor e NoScript usati in
una macchina virtuale, crittografata dentro uno
hidden volume di TrueCrypt: anche se riuscissero
a "profilare" la VM a cosa gli servirebbe? E'
invisibile e introvabile, possono esaminare
finchè vogliono il PC ma la famigerata "impronta
digitale" della profilazione (oltre ad ogni altra
informazione significativa!) non la troverebbero
mai.3) Far saltare la scheda di rete con 2kg di C-4 -
non ho capito..
.. come funziona il gioco.Il browser visualizza una immagine, su questa si sovrappone un qualcosa.Poi ti scaricano l'immagine dal pc e la analizzano?unaDuraLezione, mi puoi chiarire meglio la cosa?-
Re: non ho capito..
contenuto non disponibile-
Re: non ho capito..
Leggendo l'articolo (e la classifica), sembra che le sottili differenze di renter siano più evidenti nel render dei font.Aggiungerei che IE sembra renderizzare senza usare il cleartype, mentre firefox sembra utilizzarlo: secondo me proprio il cleartype rende più evidente le differenze tra una configurazione e l'altra...-
Re: non ho capito..
contenuto non disponibile
-
-
Re: non ho capito..
Ok. Chiaro.Comunque, ho fatto una capatina alla tua pagina di test, ma a parte il rettangolo con le 2 curve, non é comparso nulla, ne la scritta ne l'alert.Una capatina anche su http://www.browserleaks.com/canvas che dovrebbe fare anche lui un test, mi da risultati negativi.Non avrei mai immaginato fosse possibile creare immagini ed analizzare il risultato ottenuto.Grazie.
-
-
-
Re: La profilazione è una tigre di carta.
- Scritto da: thinshadow
E se invece non avete bisogno di tanto anonimato,
probabilmente possono pure profilarvi senza
causarvi danni, anche perchè probabilmente non
verranno mai a cercarvi.Motivo per cui la paura della profilazione è più paranoia che una reale paura giustificata dai fatti.-
Re: La profilazione è una tigre di carta.
- Scritto da: ...
Motivo per cui la paura della profilazione è più
paranoia che una reale paura giustificata dai
fatti.Esatto.Ed è per questo che trovo grave la cocciutaggine degli sviluppatori di Tor, che perfino dopo i noti fatti continuano a lasciare Javascript attivato di default "per ridurre la profilazione".Occorrerebbe invece sensibilizzare gli utenti e far loro capire che ogni elemento eseguibile controllato dal server web è potenzialmente un pericolo e che anche senza Javascript molti siti sono utilizzabili.L'attivarlo dovrebbe essere l'eccezione (come ha sempre fatto chi ne capisce un minimo) e, comunque, non dovrebbe essere il default.
-
-
sanno che siamo sempre noi, ma non chi è
sanno che siamo sempre noi, ma non sanno chi siamo noi -
less is more....
vecchia lezione, sempre valida.Nello specifico si puo' vedere che il 99% degli spammatori indicati sono del tutto inutili (aka il js che iniettano nella tua pagina non serve alla fruizione del servizio), ergo un uso banale di no-script li tiene fuori dal collioni.Peggio sono i flash cookie (+ subdoli.. spesso parte del servizio... aka se mi vuoi vedere devi attivare flash ,se mi attivi potrei paciugarti & co)Cmq, come sempre, resta un tema preoccupante... gli spammer aumentano, si piazzano come parte integrante del servizio (il malvezzo di far ogni sternuto in html riempiendolo di API terze non aiuta) e, ovviamente, rimane la questione mobile browser. di default + limitati e proni a fastidi.-
Re: less is more....
- Scritto da: bubba
vecchia lezione, sempre valida.
Nello specifico si puo' vedere che il 99% degli
spammatori indicati sono del tutto inutili (aka
il js che iniettano nella tua pagina non serve
alla fruizione del servizio), ergo un uso banale
di no-script li tiene fuori dal
collioni.io sono uscito dal tunnel di no-script: mi ero rotto di aggiungere eccezioni. Ci vorrebbe una lista di eccezioni predefinite come le liste di adblock.Esistono?-
Re: less is more....
- Scritto da: domanda
- Scritto da: bubba
vecchia lezione, sempre valida.
Nello specifico si puo' vedere che il 99%
degli
spammatori indicati sono del tutto inutili
(aka
il js che iniettano nella tua pagina non
serve
alla fruizione del servizio), ergo un uso
banale
di no-script li tiene fuori dal
collioni.
io sono uscito dal tunnel di no-script: mi ero
rotto di aggiungere eccezioni. Ci vorrebbe una
lista di eccezioni predefinite come le liste di
adblock.
Esistono?mhh non comprendo la domanda... nel senso ..noscript -alla grossa- ha 2 liste, gli fqdn fidati e i non fidati. sono fqdn salvabili/caricabili. ma di default GIUSTAMENTE la lista dei fidati e' MOLTO corta (e anzi c'e' troppa gente ). Cio' di cui reputa di fidarsi Caio, non e' cio' di cui mi fido io, quindi .. a che pro avere delle liste predefinite da un estraneo (tantopiu' che varia anche sull'ampiezza del dominio... 1,2'liv, host..)? E in seconda istanza... cio' di cui mi fido oggi, magari non e' cio di cui mi fido domani (es: lo spam di facebook sparpagliato nei -mila siti deve stare a cuccia di default... ma se domani mi devo loggare proprio su FB, me lo abilito)Il tutto e' -come dicevo- detto grossolanamente, xche si possono fare setup piu' "fini" e/o integrati tra le due categorie (con ABE, il clickjacking ecc). noscript cmq ha effettivamente 2-3 cose noiose nel setup (non granulare e/o trooopo hackish) che mi piacerebbe mettessero, ma cmq...-
Re: less is more....
- Scritto da: bubba
- Scritto da: domanda
- Scritto da: bubba
vecchia lezione, sempre valida.
Nello specifico si puo' vedere che il 99%
degli
spammatori indicati sono del tutto inutili
(aka
il js che iniettano nella tua pagina non
serve
alla fruizione del servizio), ergo un uso
banale
di no-script li tiene fuori dal
collioni.
io sono uscito dal tunnel di no-script: mi ero
rotto di aggiungere eccezioni. Ci vorrebbe una
lista di eccezioni predefinite come le liste di
adblock.
Esistono?
mhh non comprendo la domanda... nel senso
..noscript -alla grossa- ha 2 liste, gli fqdn
fidati e i non fidati. sono fqdn
salvabili/caricabili. ma di default GIUSTAMENTE
la lista dei fidati e' MOLTO corta (e anzi c'e'
troppa gente ).
Cio' di cui reputa di fidarsi Caio, non e' cio'
di cui mi fido io, quindi .. a che pro avere
delle liste predefinite da un estraneo (tantopiu'
che varia anche sull'ampiezza del dominio...
1,2'liv, host..)?
E in seconda istanza... cio' di cui mi fido oggi,
magari non e' cio di cui mi fido domani (es: lo
spam di facebook sparpagliato nei -mila siti deve
stare a cuccia di default... ma se domani mi devo
loggare proprio su FB, me lo
abilito)
Il tutto e' -come dicevo- detto grossolanamente,
xche si possono fare setup piu' "fini" e/o
integrati tra le due categorie (con ABE, il
clickjacking ecc). noscript cmq ha
effettivamente 2-3 cose noiose nel setup (non
granulare e/o trooopo hackish) che mi piacerebbe
mettessero, ma
cmq...forse è cambiato un po' dall'ultima volta che l'ho usato, non c'era niente di default.tuttavia star lì ad indovinare quale script abilitare per far funzionare un sito non è mai stata una mia passione. Meglio rendere il brower più anonimo possibile e cancellare tutti i dati di navigazione ad ogni sessione.Ah si c'era un'altra cosa che mi dava fastidio: si aggiornava due o tre volte al giorno.
-
-
-
-
HTML5
L'inizio di HTML5 malware...-
Re: HTML5
contenuto non disponibile-
Re: HTML5
- Scritto da: unaDuraLezione
- Scritto da: Etype
L'inizio di HTML5 malware...
e non hai idea di quanta roba si possa fare
sfruttandone le
caratteristiche.raccontaci... che sia plain html5 pero'... senza js..per es websocket, e piu' webgl e webrtc sono 'bestie' notevoli... cmq.. raccontaci..-
Re: HTML5
contenuto non disponibile-
Re: HTML5
- Scritto da: unaDuraLezione
- Scritto da: bubba
per es websocket
Esatto. Già con queste puoi trasformare un
browser in un
bot.
Non possono non averlo pensato e devono prevedere
un meccanismo di whitelist con pop-up per ogni
sito, così come avviene già con certe
funzionalità. Nativo, non deve essere gestito da
add.ons.Mah, non vedo affatto questo rischio: cosa te ne fai di un bot che resta attivo per una manciata di secondi?Non è un programma che si installa in locale e viene eseguito in autonomia ma piuttosto una pagina web in un browser gestito dall'utente quindi al massimo la si può usare per inviare dati (come quelli per la profilazione, ma ci sono metodi più easy come le care vecchie immagini finte).
webgl
Anche se fossero implementate alla perfezione,
lavorare direttamente con gli shaders implica una
certa dose di rischio, visto il bassissimo
livello a cui si
trovano.
In ogni caso, se fossi l'ENEL/A2A/... farei in
modo che tutte la pagine utilizzino
intensivamente webgl
;)Anche questo punto è piuttosto discutibile, sei sempre dentro una pagina web quindi quello che puoi fare con uno shader è limitato a quello che il compilatore e la runtime ti permettono di fare (lo shader non lo carichi già compilato, ne carichi il sorgente)Certamente ci possono essere bug (ma le runtime di base sono le directx e le opengl quindi comunque non sono spuntate ieri), ma stai comunque girando sulla scheda video quindi quello che puoi fare è abbastanza limitato (calcoli ... o farla riscaldare fino a far spegnere il pc se ha problemi di raffreddaemento)
raccontaci..
in generale quasi tutte le caratteristiche di
HTML5 mettono a disposizione risorse quali cpu,
gpu, spazio su disco, connettività, esecuzione
diretta di audio e video,
....
alcune (poche) sono gestite da permessi che
l'utente deve esplicitamente accordare, la
maggior parte
no.
abusare di ognuno di questi aspetti per dossare,
infastidire, identificare ed altro è solo
questione di fantasia e gli spammer, i
malintenzionati e gli spioni (FB/google/..) non
hanno limiti quanto a
fantasiasi ma tutto questo ... è dentro un browser ... e mi basta cliccare una X per risolvere il problema (un pallino rosso su mac) -
Re: HTML5
contenuto non disponibile -
Re: HTML5
- Scritto da: unaDuraLezione
facciamo che defacciano l'homepage di un
quotidiano molto diffuso e fanno eseguire a tutti
i visitatori un bel DDOS contr un
bersaglio?In Javascript c'è sempre e comunque la SOP, che non ti permette di conetterti (via AJAX o websocket) a domini diversi da quelli da cui hai scaricato lo script.Quindi per attaccare un bersaglio dovrebbero prima hackerare il bersaglio e iniettargli lo script che poi servirà per fare il DDoS. E poi anche hackerare il quotidiano per iniettargli uno script che vada a scaricare lo script dal server della vittima.Non la vedi molto pratica come cosa... -
Re: HTML5
- Scritto da: Shu
- Scritto da: unaDuraLezione
facciamo che defacciano l'homepage di un
quotidiano molto diffuso e fanno eseguire a
tutti
i visitatori un bel DDOS contr un
bersaglio?
In Javascript c'è sempre e comunque la SOP, che
non ti permette di conetterti (via AJAX o
websocket) a domini diversi da quelli da cui hai
scaricato lo
script.
Quindi per attaccare un bersaglio dovrebbero
prima hackerare il bersaglio e iniettargli lo
script che poi servirà per fare il DDoS. E poi
anche hackerare il quotidiano per iniettargli uno
script che vada a scaricare lo script dal server
della
vittima.
Non la vedi molto pratica come cosa...Basta acquistare la pubblicità, non è così difficile -
Re: HTML5
- Scritto da: Shu
In Javascript c'è sempre e comunque la SOP, che
non ti permette di conetterti (via AJAX o
websocket) a domini diversi da quelli da cui hai
scaricato lo
script.Della SOP te ne fai niente visto che alla male peggio attende comunque la risposta del server per assicurarsene ("Access-Control-Allow-Origin: *" nell'header di risposta dal server - su differente dominio).Ergo una richiesta HTTP parte sempre, anche su domini differenti (non ti evita il rischio DDOS). -
Re: HTML5
- Scritto da: daniele_dll _rosica
- Scritto da: unaDuraLezione
- Scritto da: bubba
per es websocket
Esatto. Già con queste puoi trasformare un
browser in un
bot.
Non possono non averlo pensato e devono
prevedere
un meccanismo di whitelist con pop-up per
ogni
sito, così come avviene già con certe
funzionalità. Nativo, non deve essere
gestito
da
add.ons.
Mah, non vedo affatto questo rischio: cosa te ne
fai di un bot che resta attivo per una manciata
di
secondi?
minatore di bitcoin? -
Re: HTML5
- Scritto da: unaDuraLezione
- Scritto da: bubba
per es websocket
Esatto. Già con queste puoi trasformare un
browser in un
bot.(cut)si... quello che dici lo sapevo e concordo... ovviamente coi websocket (e anche altro in generale) c'e' da lottare con la same origin policy ecc, ma ci saranno sempre clever hack o veri bug (molti dei quali non li ho neanche mai sentiti nominare probabilmente :P)Ma ero curioso di vedere se avevi qualche hack senza js... (in astratto anche , per dire, esiste senza js ... ma poi cosa ci fai?)ps: per daniele_dll .. via opengl hanno exploitato virtualbox, per dire.. non e' roba sana ... (ok, webgl non e' proprio opengl, ma le libs quelle sono) -
Re: HTML5
contenuto non disponibile
-
-
-
-