Blue Gene accenderà la ricerca saudita

L'Arabia Saudita è senza dubbio più famosa per i suoi giacimenti petroliferi che per l'industria hi-tech, ma i suoi monarchi stanno guardando avanti, investendo sempre più denaro nel settore scientifico e tecnologico. Una visione che presto porterà questo paese a dotarsi di uno dei supercomputer più potenti del pianeta.

Il calcolatore si chiamerà Shaheen , nome arabo del falco pellegrino, e sarà realizzato da IBM in collaborazione con l'università King Abdullah University , che diverrà anche la sede del monster di calcolo. Il supercomputer poggerà sull'infrastruttura tecnologica di Blue Gene/P , e sarà pertanto capace di scalare a potenze di calcolo nell'ordine dei petafLOPS. La prima versione di Shaheen “volerà” tuttavia più basso, superando di poco i 220 teraFLOPS: una velocità che oggi collocherebbe il sistema al quinto posto della classifica stilata da Top500.org .

La prima incarnazione del supercomputer arabo sarà costituita da 16 unità rack per un totale di 65536 core, ma nella stanza che ospiterà Shaheen c'è posto per 500 rack: sebbene difficilmente verrà mai raggiunto questo numero, la King Abdullah University ha in piano di potenziare il supercomputer già nel corso del prossimo anno, portandone eventualmente la capacità di calcolo oltre il petaFLOPS.

Shaheen verrà utilizzato per la ricerca petrolifera, ma la monarchia araba spera che il proprio super calcolatore possa anche fungere da richiamo per scienziati di ogni parte del mondo, Europa inclusa. L'Arabia Saudita culla l'ambizione di divenire un centro mondiale d'eccellenza per la ricerca scientifica, e per raggiungere questa meta ha intenzione di mettere a disposizione dei ricercatori stranieri strumenti e servizi di prim'ordine, a partire da alloggi, mense, sale conferenza, mezzi di trasporto ecc.

vedere e non guardare
se quando si clicca si desse una occhiata alla barra di stato che dice cosa si sta veramente facendo...se quando si passa il mouse sul "link" il cursore non cambia in manina(o in ogni caso non si comporta come farebbe con un link vero)...se si usa il pc come se fosse un elettrodomestico...se si usa un browser poco sicuro(magari perchè è una beta e non si è consci fino in fondo della cosa)...normale che capitano cose del genere

tuba

Rispondi
Re: vedere e non guardare
Comunque si possono camuffare i link anche cambiando quello che appare nella barra di stato...Quindi se il "truffatore" fa le cose per bene, è inutile guardare li...

braincrash.it

Quote
Re: vedere e non guardare
Beh, se tutti i browser sono tarati non so fino a che punto hai ragione!Pure firefox ha bisogno di no script e io non la metterò mai!Preferisco la libertà visto i pochi danni che può provocare questo danno al non poter usare internet come mi pare e piace....

filosofo

Quote
Re: vedere e non guardare
- Scritto da: filosofo> Pure firefox ha bisogno di no script e io non la> metterò> mai!Fai male, soprattutto su Punto Informatico(anonimo)

loose

Quote
Re: vedere e non guardare
Lo so...Ma mi scoccia dover configurare no script ogni volta che visito un sito nuovo!

filosofo

Quote
Re: vedere e non guardare
- Scritto da: loose> - Scritto da: filosofo> > Pure firefox ha bisogno di no script e io non la> > metterò> > mai!> > Fai male, soprattutto su Punto> Informatico(anonimo)[img]http://punto-informatico.it/images/emo/13.gif ' style="border: 0px none; height: 20px; width: 20px" onload="alert('QUOTO ABBESTIA AMICO MIO!!!')"[/img]

anonimo

Quote
Re: vedere e non guardare
- Scritto da: tuba> se quando si clicca si desse una occhiata alla> barra di stato che dice cosa si sta veramente> facendo...Potrei darti una bella dimostrazione qui, seduta stante, del fatto che non è proprio così scontato come dici ma poi ho paura che Paolo non mi ami più :'( e mi si spezzerebbe il cuoricino (nolove) Inoltre ho appena incominciato una relazione segreta con Lamberto e Luca e non vorrei mandare a donnine pure quelle. Senza contare che il mio nick è troppo giovane per morire. O)

Rin Kobayashi

Quote
Non capisco...
Mi sembra un allarme ingiustificato...Non c'è furto di denaro, non c'è frode...Certo c'è chi se ne approfitterà per far aumentare il suo rank pubblicitario ma l'utente non avrà danno diretto!Sicuro che tra un paio di giorni uscirà un bel software a pagamento per risolvere il problema.PS no script è un ottima estensione ma se configurata male addio web!E il consiglio di "non indulgere in attività "interattive" su siti sconosciuti" equivale a dire non usate internet!Bolla di sapone?Mah....

filosofo

Rispondi
Re: Non capisco...
Per la verita' sembra roba sensata... gh (anonimo)

styx

Quote
prova

andrea io

Rispondi
Re: prova
- Scritto da: andrea io> “ ” FAIL 8)

anonimo

Quote
Re: prova
- Scritto da: andrea io> ma non funziona più il tuo script ??

marto tortio

Quote
Ma ci fate o ci siete?
Posso capire che fare una selezione fra le notizie è cosa assai difficile.Posso capire che non tutti hanno le compentenze per valutare certi advisory.MA QUESTA TECNICA E' VECCHIA ALMENO QUANTO LO STESSO JAVASCRIPT!!! Ci sono migliaia di siti poco ortodossi che la usano da tempo immemorabile. Molti la usano per farsi votare in qualche top list.Se una notizia del genere posso accettarla dal Corriere della Sera mi aspetto un maggiore rigore da parte di punto-informatico.

Il_Castigat ore

Rispondi
Re: Ma ci fate o ci siete?
- Scritto da: Il_Castigat ore> Posso capire che fare una selezione fra le> notizie è cosa assai> difficile.> > Posso capire che non tutti hanno le compentenze> per valutare certi> advisory.> > MA QUESTA TECNICA E' VECCHIA ALMENO QUANTO LO> STESSO JAVASCRIPT!!! Ci sono migliaia di siti> poco ortodossi che la usano da tempo> immemorabile. Molti la usano per farsi votare in> qualche top> list.> > Se una notizia del genere posso accettarla dal> Corriere della Sera mi aspetto un maggiore rigore> da parte di> punto-informatico.il corriere che dice che di virus che attaccano computer spenti......!!!!!qui ci sono un po di link almeno ma... non è così vecchia come dici, il clickjacking è una tecnica di cui si parla da un annetto ma ora evidentemente comincia a farsi strada tra chi non ha una donna forse troppo allarme ma di sicurezza più se ne parla meglio stiamo http://ha.ckers.org/blog/20080915/clickjacking/

bradipone

Quote
Re: Ma ci fate o ci siete?
Quoto in pieno

Anonimo

Quote
Re: Ma ci fate o ci siete?
- Scritto da: Il_Castigat ore> Posso capire che fare una selezione fra le> notizie è cosa assai> difficile.> > Posso capire che non tutti hanno le compentenze> per valutare certi> advisory.> > MA QUESTA TECNICA E' VECCHIA ALMENO QUANTO LO> STESSO JAVASCRIPT!!! Ci sono migliaia di siti> poco ortodossi che la usano da tempo> immemorabile. Molti la usano per farsi votare in> qualche top> list.> > Se una notizia del genere posso accettarla dal> Corriere della Sera mi aspetto un maggiore rigore> da parte di> punto-informatico.mi piacerebbe dimostrati quanto poco ci vuole, ma i capoccia di PI non gradirebbero :)

anonymous

Quote
Re: Ma ci fate o ci siete?
- Scritto da: Il_Castigat ore> MA QUESTA TECNICA E' VECCHIA ALMENO QUANTO LO> STESSO JAVASCRIPT!!! Ci sono migliaia di siti> poco ortodossi che la usano da tempo> immemorabile. Molti la usano per farsi votare in> qualche top list.A parte che c'è anche la componente iframe, che mi potrai dire che è vecchia quanto le iframe, ma resta il fatto che a più queste tecniche erano sconosciute fino a pochi giorni fa, quando i principali siti di informatica hanno iniziato a parlarne. Mi pare giusto che anche PI la riporti al grosso pubblico e compiendo la sua missione di informazione.

iframed

Quote
Re: Ma ci fate o ci siete?
Concordo sul fatto che non sia una notiziona da mettere si PI...In fondo per ottere lo stesso risultato sarebbe sufficiente cambiare l'HREF dell'link...sai quante persone cadrebbero nel tranello???

Omer Simpson

Quote
Re: Ma ci fate o ci siete?
- Scritto da: Il_Castigat ore> Se una notizia del genere posso accettarla dal> Corriere della Sera mi aspetto un maggiore rigore> da parte di> punto-informatico.vecchio uguale falso?il fatto che adobe RECENTEMENTE abbia chiesto di tacere per un po' la rende allineata a quello che tu dici essere "l'arretrato punto informatico" ?hai letto l'articolo?a me non pare.quanto meno DOPO che l'avrai letto e notato che si dice che la tecnica è vecchia, spero apprezzerai l'istruzione nell'utilizzare quel plugin, utile a molti.avrai però forse anche notato che PI stesso ha qualche iframe ;)

lettore modesto

Quote
scusate
scusate sono andato fuori a morire dalla vergogna!

andrea io

Rispondi
Re: scusate
cmq era una prova

andrea io

Quote
ci riprovo

andrea io

Rispondi
Hanno bloccato le risposte
[img]http://punto-informatico.it/images/emo/rotfl.gif ' onload="alert('Uffa, era così divertente!')"[/img]

rotfl

Rispondi
Re: Hanno bloccato le risposte
- Scritto da: rotfl> [ img]http://punto-informatico.it/images/emo/rotfl.Giovanotto! :@Veda di finirla con codesti tentativi di rubare l'anima ai qui presenti, o domani mattina... no... spetta... domani mattina sto a dormire... domani pomeriggio io... no spetta, anche domani pomeriggio sto a dormire... vabbé via, sono troppo pigro per fare qualsiasi cosa. :s

Rin Kobayashi

Quote
Non cliccate qui o morirete tutti!
[img]http://punto-informatico.it/images/emo/diavoletto.gif' 'style="border: 0px none ; height: 40px; width: 40px;" onload="alert('VIRUS IN ARRIVO PREMERE CTRL ALT CANC')" target="_blank" rel="nofollow"[/img]

achero

Rispondi
La redazione
non ha il senso dell'umorismo. :'( Che cattivi :'( Vado a piagnucolare da mamma! :(

Rin Kobayashi

Rispondi
Bravi ... ennesima scoperta dell'acqua..
CALDA !

Marco Marcoaldi

Rispondi
Re: Bravi ... ennesima scoperta dell'acqua..
- Scritto da: Marco Marcoaldi> CALDA !probabilmente gironzolate qui perché è l'unico posto dove sapete qualcosa più degli altri allora?

lettore modesto

Quote
Re: Bravi ... ennesima scoperta dell'acqua..
poverello... lascialo vivere nel suo mondo fatto di complotti,scie chimiche,cure a base di bicarbonato per i tumori,11 settembre fatto dalla cia,rettiliani, e chi più ne ha più ne metta.

nonimo

Quote
Re: Bravi ... ennesima scoperta dell'acqua..
Ma crepa !!!! e firmati con nome e cognome !

Marco Marcoaldi

Quote
Sveglia

Anonimo

Rispondi
Per l'autore
Grande, grande ,grande.Che tutta la redazione di PI prenda esempio da te, che riporti chiaramente (e all'inizio dell'articolo) la fonte originale.Grazie

Olmo

Rispondi
Re: Per l'autore
Anche, se, per dirla tutta, la notizia non è così originale ed aggiornata ;)

Olmo

Quote
Re: Per l'autore
Complimenti per l'articolo. Non condivido la pioggia di lamentele sulla notorieta' del problema (magari non tutti lo sapevano) e trovo che l'articolo sia scritto bene: taglio perfetto per una platea tecnica (con tanto di snippet di codice ed esempi nei commenti ;) ).

Dani

Quote
Re: Per l'autore
- Scritto da: Dani> Complimenti per l'articolo. Non condivido la> pioggia di lamentele sulla notorieta' del> problema (magari non tutti lo sapevano) e trovo> che l'articolo sia scritto bene: taglio perfetto> per una platea tecnica (con tanto di snippet di> codice ed esempi nei commenti ;)> ).completamente d'accordo.

lettore modesto

Quote
hacker?!?!?!?
che vuoi, sarò io ottimista, ma a volte si spera che almeno su un sito come pi non si veda chiamare "hacker" quelli che hacker non sono.

paolino paperino

Rispondi
Re: hacker?!?!?!?
E infatti nell'articolo si usavano argutamente le "virgolette" per sottolineare in maniera "ironica" il fatto che sarà così che i giornali chiameranno quelli che ci proveranno... ;)

Joliet Jake

Quote
Re: hacker?!?!?!?
allora forse sono io che penso male, mah...

paolino paperino

Quote
Re: hacker?!?!?!?
- Scritto da: paolino paperino> allora forse sono io che penso male, mah...eh si.però prima parli e poi pensi, e solo dopo che te l'hanno fatto notare.inoltre ignori l'utilizzo dei segni di base che esprimono la lingua scritta.

lettore modesto

Quote
Re: hacker?!?!?!?
- Scritto da: paolino paperino> che vuoi, sarò io ottimista, ma a volte si spera> che almeno su un sito come pi non si veda> chiamare "hacker" quelli che hacker non> sono.vi credete dei tiger o dei black/white hat ... ma siete più lamerazzi di tutti quanti.in primo luogo ci sono virgolette o italic a dirvela tutta.Secondariamente sono stati usati e correttamente dove serviva i termini cracker o intruder.negli altri casi, sempre correttamente, si è virgolettato o usato come serviva: hacker, smanettone, persona che si inventa un sistema alternativo di utilizzare qualcosa che è nata per un certo scopo.quindi tornatevene a fare i fichetti con i vostri crackwarez e reimparate i terminiio queste cose non le sapevo, ma l'articolo è ECCELLENTE.

lettore modesto

Quote
Pure Punto Informatico...
Se si fa doppio click su una parola qualsiasi di P.I. si apre in automatico Wikipedia per quella parola... ;)Ah ah ah... trattasi di benevolo clickjacking???Ciao

Cristian Viarisio

Rispondi
Re: Pure Punto Informatico...
- Scritto da: Cristian Viarisio> Se si fa doppio click su una parola qualsiasi di> P.I. si apre in automatico Wikipedia per quella> parola...> ;)> Ah ah ah... trattasi di benevolo clickjacking???> Ciaono quella è una caratteristica di firefox non c'entra PI

pabloski

Quote
Re: Pure Punto Informatico...
No, lo fai pure con Opera e col Konqueror e SeaMonkey.Insomma penso qualunque browser.bye

freefred

Quote
Re: Pure Punto Informatico...
- Scritto da: freefred> No, lo fai pure con Opera e col Konqueror e> SeaMonkey.> Insomma penso qualunque browser.> > byeexplorer no

pabloski

Quote
Re: Pure Punto Informatico...
Sarà... A me non apre un bel nulla.Firefox 3.0.3 su Win2000.

scorpioprise

Quote
Forse forse...
È una [img]http://punto-informatico.it/images/emo/idea.gif ' style="border: 0px none; height: 20px; width: 20px" onload="alert('Complimenti all'autore dello script!')"' target='_blank' rel='nofollow[/img] geniale!

Daniele

Rispondi
Re: Forse forse...
interessante il popup... spero che PI provveda quanto prima a sistemare la vulnerabilità dato che può essere sfruttata in malomodo...

RabSide

Quote
Re: Forse forse...
tipo?

Marvho

Quote
Re: Forse forse...
- Scritto da: Marvho> tipo?Ad esempio, se passi con il mouse sulla faccina (e hai il blocco popup disabilitato per questo sito), ti si apre Google.[img]http://punto-informatico.it/images/emo/1.gif ' style="border: 0px none; height: 20px; width: 20px" onmouseover="window.open('http://www.google.it')"[/img]Potevo anche farlo aprire direttamente, senza chiederti di far passare il mouse sull'immagine, e poteva anche essere un sito poco raccomandabile anziché il sito di Google...

Daniele

Quote
Re: Forse forse...
- Scritto da: RabSide> interessante il popup... spero che PI provveda> quanto prima a sistemare la vulnerabilità dato> che può essere sfruttata in> malomodo...A me piace anche così com'è :$

Rin Kobayashi

Quote
Re: Forse forse...
codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta a questo punto ci vuole

anonymous

Quote
Re: Forse forse...
???In che senso "codice di condotta"?Se vuoi, posso postare il "codice HTML" utilizzato... DanieleP.S.: il ripetersi dell'alert è un effetto collaterale parzialmente non voluto, dipende dal fatto che l'immagine è animata e viene ricaricata ogni volta (con conseguente esecuzione del codice)

Daniele

Quote
Re: Forse forse...
- Scritto da: Daniele> ???> > In che senso "codice di condotta"?> > Se vuoi, posso postare il "codice HTML"> utilizzato...> > Daniele> > P.S.: il ripetersi dell'alert è un effetto> collaterale parzialmente non voluto, dipende dal> fatto che l'immagine è animata e viene ricaricata> ogni volta (con conseguente esecuzione del> codice)i Manovali del Forum usano questo bug da mercoledì, ora stanno cercando di darsi un codice di condotta...ti avevo scambiato per uno degli Illustrissimi :)

anonymous

Quote
Re: Forse forse...
pubblica il codice html appena pi risolve il problema. pero' pubblicalo che è davvero interessante...

ultimo_test

Quote
Re: Forse forse...
TI SI DOVREBBE BANNARE ALL'ISTANTE!NON HAI PENSATO A CHI USA UN TOUCHPAD???

Portavoce universale

Quote
Re: Forse forse...
Complimenti.Ehi! Ma non ho piu' soldi sul mio conto online! ;)

Dani

Quote
Re: Forse forse...

Anonimo

Quote
Re: Forse forse...
il codice per inserire javascript su PI era questo:[img]http://punto-informatico.it/images/emo/rotfl.gif' style="border: 0px none ; height: 20px; width: 20px;" onload="alert('alert')"[/img]da notare l'apice ' subito dopo l'URL dell'immagine. O almeno così l'ho trovato io, magari gli altri ragazzi del forum avevano trovato un bug diverso.. :)fino a stanotte funzionava, adesso non funziona più, devono averlo corretto stamattina. io l'ho provato solo usando l'anteprima, non mi andava di fare lo splendido ghghgh.

HomoSapiens

Quote
test

test

Rispondi
test2
:)onload="alert('Complimenti all'autore dello script!')"

test

Rispondi
Re: test2
- Scritto da: test> :)onload="alert('Complimenti all'autore dello> script!')"FAIL 8)

anonymous

Quote
test
[img]http://geekplace.org/img/news/401_google-phone.jpg[/img](idea)onload="alert('Complimenti all'autore dello script!')"(idea onload="alert('Complimenti all'autore dello script!')")((idea)onload="alert('Complimenti all'autore dello script!')")(idea%20onload="alert('Complimenti all'autore dello script!')"(idea)%20onload="alert('Complimenti all'autore dello script!')"

ultimo_test

Rispondi
Re: test
- Scritto da: ultimo_test> [img]http://geekplace.org/img/news/401_google-phon> > (idea)onload="alert('Complimenti all'autore> dello> script!')"> > (idea onload="alert('Complimenti all'autore> dello> script!')")> > ((idea)onload="alert('Complimenti all'autore> dello> script!')")> > (idea%20onload="alert('Complimenti all'autore> dello> script!')"> > (idea)%20onload="alert('Complimenti all'autore> dello> script!')"FAIL 8)

anonymous

Quote
Allarmismi controproducenti
In realtà... non si può rischiare l'iscrizione a una newsletter finché non si digita un indirizzo email... così come non si rischia il furto di nessun dato, finché questo dato non viene inserito da qualche parte.Insomma non si rischia un bel nulla.Naturalmente i lettori spaventati sono andati subito a disabilitare l'iframe (senza aver capito niente), ottenendo solo di sottrarre funzionalità al web.Complimenti, davvero bravi.

Critico amatoriale

Rispondi
Re: Allarmismi controproducenti
Concordo pienamente,non solleviamo polveroni inutili.

Ale

Quote
Re: Allarmismi controproducenti
Se fai un piccolo sforzo di fantasia puoi capire che i possibili effetti sono molto peggiori di quello che pensi.Senza entrare nei dettagli della vulnerabilità specifica di Flash, che richiede esclusivamente un click indipendentemente dal tuo stato di autenticazione o da altri parametri e per questo ha indotto Adobe a chiedere di posticipare la disclosure (ne sono a conoscenza in quanto membro del Mozilla Security Group), ti dò un aiutino sul caso generale: tutte le transazioni che ripresentano la scheda se non è correttamente compilata o se non contiene un nonce anti-CSRF valido, cioé la maggior parte, possono essere precompilati con una semplice richiesta GET o POST [b]effettuata dal sito ostile[/b]. Se esistono misure anti-CSRF, questa prima richiesta, che può essere completamente automatizzata, fallisce, ed è a questo punto che il clickjacking torna utile...

Giorgio Maone

Quote
Re: Allarmismi controproducenti
- Scritto da: Giorgio Maone> Se fai un piccolo sforzo di fantasia puoi capire> che i possibili effetti sono molto peggiori di> quello che> pensi.C'è una cosa che non capisco... si tratta di "attacchi" che possono essere effettuati da pagine preparate ad hoc, quindi diciamo che, come al solito, vale la regola di stare attenti ai siti sui quali si naviga, di controllare che non vi siano tentativi di phishing, etc... Da una lettura, forse distratta vista l'ora tarda, dell'articolo mi sembra quasi di capire che uno mentre sta facendo home banking può rischiare che qualcuno gli rubi username e password. Ragionando un po' sulla dinamica, con quelle poche conoscenze che ho, credo che occorra comunque che ci siano pagine non fidate aperte che cerchino di intercettare i click... ovvio che la possibilità di queste intercettazioni è fastidiosa, ma la portata del problema è comunque ridotta rispetto a quel che sembrerebbe a prima vista, per fortuna.Domani leggerò meglio, grazie per l'attenzione.

Giusto o no

Quote
Re: Allarmismi controproducenti
- Scritto da: Giorgio Maone> Se fai un piccolo sforzo di fantasia puoi capire> che i possibili effetti sono molto peggiori di> quello che> pensi.> Senza entrare nei dettagli della vulnerabilità> specifica di Flash, che richiede esclusivamente> un click indipendentemente dal tuo stato di> autenticazione o da altri parametri e per questo> ha indotto Adobe a chiedere di posticipare la> disclosure (ne sono a conoscenza in quanto membro> del Mozilla Security Group), ti dò un aiutino sul> caso generale: tutte le transazioni che> ripresentano la scheda se non è correttamente> compilata o se non contiene un nonce anti-CSRFChe cos'é un "nonce anti-CSRF"? Sembrerebbe un meccanismo per evitare richieste da siti terzi. Cross Site Reference Qualcosa?> valido, cioé la maggior parte, possono essere> precompilati con una semplice richiesta GET o> POST [b]effettuata dal sito ostile[/b].Quindi il sito ostile deve giá conoscere i tuoi dati, giusto?> Se> esistono misure anti-CSRF, questa prima> richiesta, che può essere completamente> automatizzata, fallisce, ed è a questo punto che> il clickjacking torna> utile...Qua non mi tornano i conti. Come fa a ridirigere il click su un'altra scheda?!?!? O si parla di IFrame? Ma puoi redirigere un click VERSO un elemento specifico di un IFrame?

Fiamel

Quote
Re: Allarmismi controproducenti
- Scritto da: Fiamel> Che cos'é un "nonce anti-CSRF"? Sembrerebbe un> meccanismo per evitare richieste da siti terzi.> Cross Site Reference> Qualcosa?Cross-site Request Forgery, http://en.wikipedia.org/wiki/Cross-site_request_forgery> Quindi il sito ostile deve giá conoscere i tuoi> dati,> giusto?Non necessariamente. Se sei già loggato in un servizio di cui sei utente, es. la tua banca o un gateway di pagamento, i dati più importanti (le tue credenziali) sono già disponibili. Per il sito ostile è sufficiente aprire un form precompilato (da lui, non da te) con una transazione arbitraria e indurti semplicemente a cliccare sul pulsante "OK". > Qua non mi tornano i conti. Come fa a ridirigere> il click su un'altra scheda?!?!? O si parla di> IFrame? Esattamente, si parla di IFRAME> Ma puoi redirigere un click VERSO un> elemento specifico di un> IFrame?Certamente, è molto facile. Io l'ho fatto per un sacco di tempo col pulsante di installazione di NoScript, che non è quello che sembra.Inoltre, ci sono situazioni in cui non è necessario neppure che tu sia loggato da qualche parte o utilizzare un IFRAME, come nel caso dello specifico attacco avente come oggetto l'applet di configurazione di Flash, proprio quello per cui Macromedia aveva chiesto a RSnake e Jeremiah di ritirare la loro presentazione OWASP, che consentiva di attivare la webcam o il microfono per spiarti senza che tu te ne accorgessi.Ad ogni modo, i particolari sono stati resi noti "a tradimento" martedì scorso da un russo, quindi puoi leggere i dettagli sia sull'attacco che sulle contromisure qui:http://hackademix.net/2008/10/08/hello-clearclick-goodbye-clickjacking/

Giorgio Maone

Quote
Re: Allarmismi controproducenti
- Scritto da: Critico amatoriale> In realtà... non si può rischiare l'iscrizione a> una newsletter finché non si digita un indirizzo> email... così come non si rischia il furto di> nessun dato, finché questo dato non viene> inserito da qualche> parte.> Insomma non si rischia un bel nulla.> > Naturalmente i lettori spaventati sono andati> subito a disabilitare l'iframe (senza aver capito> niente), ottenendo solo di sottrarre funzionalità> al> web.> Complimenti, davvero bravi.a dire il vero ricordavo che iframe era deprecato da anni... o la storia è cambiata?

lettore modesto

Quote
io ho apprezzato moltissimo
Bottoni, io ho apprezzato.Hai descritto bene, hai virgolettato o "corsivato" dove serviva, hai linkato, hai citato, hai moderatamente consigliato, sei stato addirittura politically correct.Garbato ma deciso, divulgativo ma non semplicistico, allertante ma non allarmista.Grazie.

lettore modesto

Rispondi
Furto di click? Precisiamo
Gli allarmismi sono la parte furba della stessa idiozia che governa chi casca nelle truffe...La tecnica del clickjacking, in realtà, è nuova solo per "CONCEZIONE" e "NOME".Utilizzando Javascript si può modificare qualiasi elemento e comportamento.L'uso di IFRAME permette l'esecuzione di redirect "invisibili".Embè? La scoperta dell'acqua calda!Era solo questione di tempo prima che qualcuno cominciasse ad ipotizzarne un uso improprio.Sì, perchè io non parlerei di bug, ma di uso improprio paragonabile a quei POPUP descritti nell'articolo precedente qui citato.Il popup come la "riscrittura" di un URL non sono di per sè "il male", ma è l'uso che se ne fa.La cura? Il cervello.Perchè, penso, che limitare una feature non è una soluzione.

H5N1

Rispondi
Re: Furto di click? Precisiamo
- Scritto da: H5N1> Gli allarmismi sono la parte furba della stessa> idiozia che governa chi casca nelle> truffe...> > La tecnica del clickjacking, in realtà, è nuova> solo per "CONCEZIONE" e> "NOME".> Utilizzando Javascript si può modificare qualiasi> elemento e> comportamento.> L'uso di IFRAME permette l'esecuzione di redirect> "invisibili".> Embè? La scoperta dell'acqua calda!> > Era solo questione di tempo prima che qualcuno> cominciasse ad ipotizzarne un uso> improprio.> Sì, perchè io non parlerei di bug, ma di uso> improprio paragonabile a quei POPUP descritti> nell'articolo precedente qui> citato.> > Il popup come la "riscrittura" di un URL non sono> di per sè "il male", ma è l'uso che se ne> fa.> > La cura? > Il cervello.> > Perchè, penso, che limitare una feature non è una> soluzione.però non è che puoi arrivare qui alle 16 passate, a due ore dalla correzione del bug qui su PI e sparare la tua trollata come niente fosse...ti assicuro che in questo momento proverei forte imbarazzo se fossi in te... :$

uccello_gigante

Quote
Re: Furto di click? Precisiamo
- Scritto da: uccello_gigante> però non è che puoi arrivare qui alle 16 passate,> a due ore dalla correzione del bug qui su PI e> sparare la tua trollata come niente> fosse...> > ti assicuro che in questo momento proverei forte> imbarazzo se fossi in> te...> > :$1 - non è una trollata.2 - Correzione del bug? Ho appena detto che non c'è alcun bug.

H5N1

Quote
mi spiegate ... ??
... cosa aggiunge questa tecnica a quanto già finora si poteva fare? e nel dettaglio io non ho capito come funzianel momento in cui un terzo inietta codice javascript all'interno di una pagina, può far compiere tantissime azioni, in genere a pagine dello stesso dominio, a tutti quelli che la visitano, senza dover passare per forza per un IFRAMEinsomma nella cassetta degli attrezzi dell'hacker c'è già xmlhttprequest, img src, div style background, onclick, onload, ...l'iframe non è solo uno dei tantiquindi? qual'è la notizia?

Mik

Rispondi
Grazie per l'articolo!!
Tutte ste lamentele....Io dico invece, grazie per l'informazione!

GioFX

Rispondi
aurelio
caspita, che articolo innovativo se dite di disabiltare javascript! disabilitando javascript per esempio non vi funzionerà google maps e tutti i siti più innovativi (scritti in ajax), comunque è difficilissimo risolvere questo probblema se non impossibile.

marco

Rispondi
non seguite questi consigli
caspita, che articolo innovativo se dite di disabiltare javascript! disabilitando javascript per esempio non vi funzionerà google maps e tutti i siti più innovativi (scritti in ajax), comunque è difficilissimo risolvere questo probblema se non impossibile. In più non capisco cosa ci sia di così catastrofico da doversi preoccupare :(

marcasa

Rispondi
@ GioFx
se non conosci l' HTML e se non sai neanche programmare in javascript non puoi essere in grado di capire quale sia il problema, la cosa detta in quest' articolo tutti noi programmatori la sapevamo da parecchio tempo e menomale che javascript funziona così perchè altrimenti non si riuscirebbe a far niente e si ritornerebbe agli anni '90 quando c' erano IE e netscape

marcasa

Rispondi

Annulla

Stai citando questo messaggio:

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicata. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy.
Pubblicando questo commento dai il consenso affinché un cookie salvi i tuoi dati (nome, email, sito web) per il prossimo commento.

Iscrivimi alla newsletter gratuita di Punto Informatico Tutte le mattine direttamente nella tua casella email tutte le novità del mondo digitale e tech