L’Arabia Saudita è senza dubbio più famosa per i suoi giacimenti petroliferi che per l’industria hi-tech, ma i suoi monarchi stanno guardando avanti, investendo sempre più denaro nel settore scientifico e tecnologico. Una visione che presto porterà questo paese a dotarsi di uno dei supercomputer più potenti del pianeta.
Il calcolatore si chiamerà Shaheen , nome arabo del falco pellegrino, e sarà realizzato da IBM in collaborazione con l’università King Abdullah University , che diverrà anche la sede del monster di calcolo. Il supercomputer poggerà sull’infrastruttura tecnologica di Blue Gene/P , e sarà pertanto capace di scalare a potenze di calcolo nell’ordine dei petafLOPS. La prima versione di Shaheen “volerà” tuttavia più basso, superando di poco i 220 teraFLOPS: una velocità che oggi collocherebbe il sistema al quinto posto della classifica stilata da Top500.org .
La prima incarnazione del supercomputer arabo sarà costituita da 16 unità rack per un totale di 65536 core, ma nella stanza che ospiterà Shaheen c’è posto per 500 rack: sebbene difficilmente verrà mai raggiunto questo numero, la King Abdullah University ha in piano di potenziare il supercomputer già nel corso del prossimo anno, portandone eventualmente la capacità di calcolo oltre il petaFLOPS.
Shaheen verrà utilizzato per la ricerca petrolifera, ma la monarchia araba spera che il proprio super calcolatore possa anche fungere da richiamo per scienziati di ogni parte del mondo, Europa inclusa. L’Arabia Saudita culla l’ambizione di divenire un centro mondiale d’eccellenza per la ricerca scientifica, e per raggiungere questa meta ha intenzione di mettere a disposizione dei ricercatori stranieri strumenti e servizi di prim’ordine, a partire da alloggi, mense, sale conferenza, mezzi di trasporto ecc.
-
vedere e non guardare
se quando si clicca si desse una occhiata alla barra di stato che dice cosa si sta veramente facendo...se quando si passa il mouse sul "link" il cursore non cambia in manina(o in ogni caso non si comporta come farebbe con un link vero)...se si usa il pc come se fosse un elettrodomestico...se si usa un browser poco sicuro(magari perchè è una beta e non si è consci fino in fondo della cosa)...normale che capitano cose del generetubaRe: vedere e non guardare
Comunque si possono camuffare i link anche cambiando quello che appare nella barra di stato...Quindi se il "truffatore" fa le cose per bene, è inutile guardare li...braincrash.itRe: vedere e non guardare
Beh, se tutti i browser sono tarati non so fino a che punto hai ragione!Pure firefox ha bisogno di no script e io non la metterò mai!Preferisco la libertà visto i pochi danni che può provocare questo danno al non poter usare internet come mi pare e piace....filosofoRe: vedere e non guardare
- Scritto da: filosofo> Pure firefox ha bisogno di no script e io non la> metterò> mai!Fai male, soprattutto su Punto Informatico(anonimo)looseRe: vedere e non guardare
Lo so...Ma mi scoccia dover configurare no script ogni volta che visito un sito nuovo!filosofoRe: vedere e non guardare
- Scritto da: loose> - Scritto da: filosofo> > Pure firefox ha bisogno di no script e io non la> > metterò> > mai!> > Fai male, soprattutto su Punto> Informatico(anonimo)[img]http://punto-informatico.it/images/emo/13.gif ' style="border: 0px none; height: 20px; width: 20px" onload="alert('QUOTO ABBESTIA AMICO MIO!!!')"[/img]anonimoRe: vedere e non guardare
- Scritto da: tuba> se quando si clicca si desse una occhiata alla> barra di stato che dice cosa si sta veramente> facendo...Potrei darti una bella dimostrazione qui, seduta stante, del fatto che non è proprio così scontato come dici ma poi ho paura che Paolo non mi ami più :'( e mi si spezzerebbe il cuoricino (nolove) Inoltre ho appena incominciato una relazione segreta con Lamberto e Luca e non vorrei mandare a donnine pure quelle. Senza contare che il mio nick è troppo giovane per morire. O)Rin KobayashiNon capisco...
Mi sembra un allarme ingiustificato...Non c'è furto di denaro, non c'è frode...Certo c'è chi se ne approfitterà per far aumentare il suo rank pubblicitario ma l'utente non avrà danno diretto!Sicuro che tra un paio di giorni uscirà un bel software a pagamento per risolvere il problema.PS no script è un ottima estensione ma se configurata male addio web!E il consiglio di "non indulgere in attività "interattive" su siti sconosciuti" equivale a dire non usate internet!Bolla di sapone?Mah....filosofoRe: Non capisco...
Per la verita' sembra roba sensata... gh (anonimo)styxprova
andrea ioRe: prova
- Scritto da: andrea io> “ ” FAIL 8)anonimoRe: prova
- Scritto da: andrea io> ma non funziona più il tuo script ??marto tortioMa ci fate o ci siete?
Posso capire che fare una selezione fra le notizie è cosa assai difficile.Posso capire che non tutti hanno le compentenze per valutare certi advisory.MA QUESTA TECNICA E' VECCHIA ALMENO QUANTO LO STESSO JAVASCRIPT!!! Ci sono migliaia di siti poco ortodossi che la usano da tempo immemorabile. Molti la usano per farsi votare in qualche top list.Se una notizia del genere posso accettarla dal Corriere della Sera mi aspetto un maggiore rigore da parte di punto-informatico.Il_Castigat oreRe: Ma ci fate o ci siete?
- Scritto da: Il_Castigat ore> Posso capire che fare una selezione fra le> notizie è cosa assai> difficile.> > Posso capire che non tutti hanno le compentenze> per valutare certi> advisory.> > MA QUESTA TECNICA E' VECCHIA ALMENO QUANTO LO> STESSO JAVASCRIPT!!! Ci sono migliaia di siti> poco ortodossi che la usano da tempo> immemorabile. Molti la usano per farsi votare in> qualche top> list.> > Se una notizia del genere posso accettarla dal> Corriere della Sera mi aspetto un maggiore rigore> da parte di> punto-informatico.il corriere che dice che di virus che attaccano computer spenti......!!!!!qui ci sono un po di link almeno ma... non è così vecchia come dici, il clickjacking è una tecnica di cui si parla da un annetto ma ora evidentemente comincia a farsi strada tra chi non ha una donna forse troppo allarme ma di sicurezza più se ne parla meglio stiamo http://ha.ckers.org/blog/20080915/clickjacking/bradiponeRe: Ma ci fate o ci siete?
Quoto in pienoAnonimoRe: Ma ci fate o ci siete?
- Scritto da: Il_Castigat ore> Posso capire che fare una selezione fra le> notizie è cosa assai> difficile.> > Posso capire che non tutti hanno le compentenze> per valutare certi> advisory.> > MA QUESTA TECNICA E' VECCHIA ALMENO QUANTO LO> STESSO JAVASCRIPT!!! Ci sono migliaia di siti> poco ortodossi che la usano da tempo> immemorabile. Molti la usano per farsi votare in> qualche top> list.> > Se una notizia del genere posso accettarla dal> Corriere della Sera mi aspetto un maggiore rigore> da parte di> punto-informatico.mi piacerebbe dimostrati quanto poco ci vuole, ma i capoccia di PI non gradirebbero :)anonymousRe: Ma ci fate o ci siete?
- Scritto da: Il_Castigat ore> MA QUESTA TECNICA E' VECCHIA ALMENO QUANTO LO> STESSO JAVASCRIPT!!! Ci sono migliaia di siti> poco ortodossi che la usano da tempo> immemorabile. Molti la usano per farsi votare in> qualche top list.A parte che c'è anche la componente iframe, che mi potrai dire che è vecchia quanto le iframe, ma resta il fatto che a più queste tecniche erano sconosciute fino a pochi giorni fa, quando i principali siti di informatica hanno iniziato a parlarne. Mi pare giusto che anche PI la riporti al grosso pubblico e compiendo la sua missione di informazione.iframedRe: Ma ci fate o ci siete?
Concordo sul fatto che non sia una notiziona da mettere si PI...In fondo per ottere lo stesso risultato sarebbe sufficiente cambiare l'HREF dell'link...sai quante persone cadrebbero nel tranello???Omer SimpsonRe: Ma ci fate o ci siete?
- Scritto da: Il_Castigat ore> Se una notizia del genere posso accettarla dal> Corriere della Sera mi aspetto un maggiore rigore> da parte di> punto-informatico.vecchio uguale falso?il fatto che adobe RECENTEMENTE abbia chiesto di tacere per un po' la rende allineata a quello che tu dici essere "l'arretrato punto informatico" ?hai letto l'articolo?a me non pare.quanto meno DOPO che l'avrai letto e notato che si dice che la tecnica è vecchia, spero apprezzerai l'istruzione nell'utilizzare quel plugin, utile a molti.avrai però forse anche notato che PI stesso ha qualche iframe ;)lettore modestoscusate
scusate sono andato fuori a morire dalla vergogna!andrea ioRe: scusate
cmq era una provaandrea ioci riprovo
andrea ioHanno bloccato le risposte
[img]http://punto-informatico.it/images/emo/rotfl.gif ' onload="alert('Uffa, era così divertente!')"[/img]rotflRe: Hanno bloccato le risposte
- Scritto da: rotfl> [ img]http://punto-informatico.it/images/emo/rotfl.Giovanotto! :@Veda di finirla con codesti tentativi di rubare l'anima ai qui presenti, o domani mattina... no... spetta... domani mattina sto a dormire... domani pomeriggio io... no spetta, anche domani pomeriggio sto a dormire... vabbé via, sono troppo pigro per fare qualsiasi cosa. :sRin KobayashiNon cliccate qui o morirete tutti!
[img]http://punto-informatico.it/images/emo/diavoletto.gif' 'style="border: 0px none ; height: 40px; width: 40px;" onload="alert('VIRUS IN ARRIVO PREMERE CTRL ALT CANC')" target="_blank" rel="nofollow"[/img]acheroLa redazione
non ha il senso dell'umorismo. :'( Che cattivi :'( Vado a piagnucolare da mamma! :(Rin KobayashiBravi ... ennesima scoperta dell'acqua..
CALDA !Marco MarcoaldiRe: Bravi ... ennesima scoperta dell'acqua..
- Scritto da: Marco Marcoaldi> CALDA !probabilmente gironzolate qui perché è l'unico posto dove sapete qualcosa più degli altri allora?lettore modestoRe: Bravi ... ennesima scoperta dell'acqua..
poverello... lascialo vivere nel suo mondo fatto di complotti,scie chimiche,cure a base di bicarbonato per i tumori,11 settembre fatto dalla cia,rettiliani, e chi più ne ha più ne metta.nonimoRe: Bravi ... ennesima scoperta dell'acqua..
Ma crepa !!!! e firmati con nome e cognome !Marco MarcoaldiPer l'autore
Grande, grande ,grande.Che tutta la redazione di PI prenda esempio da te, che riporti chiaramente (e all'inizio dell'articolo) la fonte originale.GrazieOlmoRe: Per l'autore
Anche, se, per dirla tutta, la notizia non è così originale ed aggiornata ;)OlmoRe: Per l'autore
Complimenti per l'articolo. Non condivido la pioggia di lamentele sulla notorieta' del problema (magari non tutti lo sapevano) e trovo che l'articolo sia scritto bene: taglio perfetto per una platea tecnica (con tanto di snippet di codice ed esempi nei commenti ;) ).DaniRe: Per l'autore
- Scritto da: Dani> Complimenti per l'articolo. Non condivido la> pioggia di lamentele sulla notorieta' del> problema (magari non tutti lo sapevano) e trovo> che l'articolo sia scritto bene: taglio perfetto> per una platea tecnica (con tanto di snippet di> codice ed esempi nei commenti ;)> ).completamente d'accordo.lettore modestohacker?!?!?!?
che vuoi, sarò io ottimista, ma a volte si spera che almeno su un sito come pi non si veda chiamare "hacker" quelli che hacker non sono.paolino paperinoRe: hacker?!?!?!?
E infatti nell'articolo si usavano argutamente le "virgolette" per sottolineare in maniera "ironica" il fatto che sarà così che i giornali chiameranno quelli che ci proveranno... ;)Joliet JakeRe: hacker?!?!?!?
allora forse sono io che penso male, mah...paolino paperinoRe: hacker?!?!?!?
- Scritto da: paolino paperino> allora forse sono io che penso male, mah...eh si.però prima parli e poi pensi, e solo dopo che te l'hanno fatto notare.inoltre ignori l'utilizzo dei segni di base che esprimono la lingua scritta.lettore modestoRe: hacker?!?!?!?
- Scritto da: paolino paperino> che vuoi, sarò io ottimista, ma a volte si spera> che almeno su un sito come pi non si veda> chiamare "hacker" quelli che hacker non> sono.vi credete dei tiger o dei black/white hat ... ma siete più lamerazzi di tutti quanti.in primo luogo ci sono virgolette o italic a dirvela tutta.Secondariamente sono stati usati e correttamente dove serviva i termini cracker o intruder.negli altri casi, sempre correttamente, si è virgolettato o usato come serviva: hacker, smanettone, persona che si inventa un sistema alternativo di utilizzare qualcosa che è nata per un certo scopo.quindi tornatevene a fare i fichetti con i vostri crackwarez e reimparate i terminiio queste cose non le sapevo, ma l'articolo è ECCELLENTE.lettore modestoPure Punto Informatico...
Se si fa doppio click su una parola qualsiasi di P.I. si apre in automatico Wikipedia per quella parola... ;)Ah ah ah... trattasi di benevolo clickjacking???CiaoCristian ViarisioRe: Pure Punto Informatico...
- Scritto da: Cristian Viarisio> Se si fa doppio click su una parola qualsiasi di> P.I. si apre in automatico Wikipedia per quella> parola...> ;)> Ah ah ah... trattasi di benevolo clickjacking???> Ciaono quella è una caratteristica di firefox non c'entra PIpabloskiRe: Pure Punto Informatico...
No, lo fai pure con Opera e col Konqueror e SeaMonkey.Insomma penso qualunque browser.byefreefredRe: Pure Punto Informatico...
- Scritto da: freefred> No, lo fai pure con Opera e col Konqueror e> SeaMonkey.> Insomma penso qualunque browser.> > byeexplorer nopabloskiRe: Pure Punto Informatico...
Sarà... A me non apre un bel nulla.Firefox 3.0.3 su Win2000.scorpiopriseForse forse...
È una [img]http://punto-informatico.it/images/emo/idea.gif ' style="border: 0px none; height: 20px; width: 20px" onload="alert('Complimenti all'autore dello script!')"' target='_blank' rel='nofollow[/img] geniale!DanieleRe: Forse forse...
interessante il popup... spero che PI provveda quanto prima a sistemare la vulnerabilità dato che può essere sfruttata in malomodo...RabSideRe: Forse forse...
tipo?MarvhoRe: Forse forse...
- Scritto da: Marvho> tipo?Ad esempio, se passi con il mouse sulla faccina (e hai il blocco popup disabilitato per questo sito), ti si apre Google.[img]http://punto-informatico.it/images/emo/1.gif ' style="border: 0px none; height: 20px; width: 20px" onmouseover="window.open('http://www.google.it')"[/img]Potevo anche farlo aprire direttamente, senza chiederti di far passare il mouse sull'immagine, e poteva anche essere un sito poco raccomandabile anziché il sito di Google...DanieleRe: Forse forse...
- Scritto da: RabSide> interessante il popup... spero che PI provveda> quanto prima a sistemare la vulnerabilità dato> che può essere sfruttata in> malomodo...A me piace anche così com'è :$Rin KobayashiRe: Forse forse...
codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta codice di condotta a questo punto ci vuoleanonymousRe: Forse forse...
???In che senso "codice di condotta"?Se vuoi, posso postare il "codice HTML" utilizzato... DanieleP.S.: il ripetersi dell'alert è un effetto collaterale parzialmente non voluto, dipende dal fatto che l'immagine è animata e viene ricaricata ogni volta (con conseguente esecuzione del codice)DanieleRe: Forse forse...
- Scritto da: Daniele> ???> > In che senso "codice di condotta"?> > Se vuoi, posso postare il "codice HTML"> utilizzato...> > Daniele> > P.S.: il ripetersi dell'alert è un effetto> collaterale parzialmente non voluto, dipende dal> fatto che l'immagine è animata e viene ricaricata> ogni volta (con conseguente esecuzione del> codice)i Manovali del Forum usano questo bug da mercoledì, ora stanno cercando di darsi un codice di condotta...ti avevo scambiato per uno degli Illustrissimi :)anonymousRe: Forse forse...
pubblica il codice html appena pi risolve il problema. pero' pubblicalo che è davvero interessante...ultimo_testRe: Forse forse...
TI SI DOVREBBE BANNARE ALL'ISTANTE!NON HAI PENSATO A CHI USA UN TOUCHPAD???Portavoce universaleRe: Forse forse...
Complimenti.Ehi! Ma non ho piu' soldi sul mio conto online! ;)DaniRe: Forse forse...
AnonimoRe: Forse forse...
il codice per inserire javascript su PI era questo:[img]http://punto-informatico.it/images/emo/rotfl.gif' style="border: 0px none ; height: 20px; width: 20px;" onload="alert('alert')"[/img]da notare l'apice ' subito dopo l'URL dell'immagine. O almeno così l'ho trovato io, magari gli altri ragazzi del forum avevano trovato un bug diverso.. :)fino a stanotte funzionava, adesso non funziona più, devono averlo corretto stamattina. io l'ho provato solo usando l'anteprima, non mi andava di fare lo splendido ghghgh.HomoSapienstest2
:)onload="alert('Complimenti all'autore dello script!')"testRe: test2
- Scritto da: test> :)onload="alert('Complimenti all'autore dello> script!')"FAIL 8)anonymoustest
[img]http://geekplace.org/img/news/401_google-phone.jpg[/img](idea)onload="alert('Complimenti all'autore dello script!')"(idea onload="alert('Complimenti all'autore dello script!')")((idea)onload="alert('Complimenti all'autore dello script!')")(idea%20onload="alert('Complimenti all'autore dello script!')"(idea)%20onload="alert('Complimenti all'autore dello script!')"ultimo_testRe: test
- Scritto da: ultimo_test> [img]http://geekplace.org/img/news/401_google-phon> > (idea)onload="alert('Complimenti all'autore> dello> script!')"> > (idea onload="alert('Complimenti all'autore> dello> script!')")> > ((idea)onload="alert('Complimenti all'autore> dello> script!')")> > (idea%20onload="alert('Complimenti all'autore> dello> script!')"> > (idea)%20onload="alert('Complimenti all'autore> dello> script!')"FAIL 8)anonymousAllarmismi controproducenti
In realtà... non si può rischiare l'iscrizione a una newsletter finché non si digita un indirizzo email... così come non si rischia il furto di nessun dato, finché questo dato non viene inserito da qualche parte.Insomma non si rischia un bel nulla.Naturalmente i lettori spaventati sono andati subito a disabilitare l'iframe (senza aver capito niente), ottenendo solo di sottrarre funzionalità al web.Complimenti, davvero bravi.Critico amatorialeRe: Allarmismi controproducenti
Concordo pienamente,non solleviamo polveroni inutili.AleRe: Allarmismi controproducenti
Se fai un piccolo sforzo di fantasia puoi capire che i possibili effetti sono molto peggiori di quello che pensi.Senza entrare nei dettagli della vulnerabilità specifica di Flash, che richiede esclusivamente un click indipendentemente dal tuo stato di autenticazione o da altri parametri e per questo ha indotto Adobe a chiedere di posticipare la disclosure (ne sono a conoscenza in quanto membro del Mozilla Security Group), ti dò un aiutino sul caso generale: tutte le transazioni che ripresentano la scheda se non è correttamente compilata o se non contiene un nonce anti-CSRF valido, cioé la maggior parte, possono essere precompilati con una semplice richiesta GET o POST [b]effettuata dal sito ostile[/b]. Se esistono misure anti-CSRF, questa prima richiesta, che può essere completamente automatizzata, fallisce, ed è a questo punto che il clickjacking torna utile...Giorgio MaoneRe: Allarmismi controproducenti
- Scritto da: Giorgio Maone> Se fai un piccolo sforzo di fantasia puoi capire> che i possibili effetti sono molto peggiori di> quello che> pensi.C'è una cosa che non capisco... si tratta di "attacchi" che possono essere effettuati da pagine preparate ad hoc, quindi diciamo che, come al solito, vale la regola di stare attenti ai siti sui quali si naviga, di controllare che non vi siano tentativi di phishing, etc... Da una lettura, forse distratta vista l'ora tarda, dell'articolo mi sembra quasi di capire che uno mentre sta facendo home banking può rischiare che qualcuno gli rubi username e password. Ragionando un po' sulla dinamica, con quelle poche conoscenze che ho, credo che occorra comunque che ci siano pagine non fidate aperte che cerchino di intercettare i click... ovvio che la possibilità di queste intercettazioni è fastidiosa, ma la portata del problema è comunque ridotta rispetto a quel che sembrerebbe a prima vista, per fortuna.Domani leggerò meglio, grazie per l'attenzione.Giusto o noRe: Allarmismi controproducenti
- Scritto da: Giorgio Maone> Se fai un piccolo sforzo di fantasia puoi capire> che i possibili effetti sono molto peggiori di> quello che> pensi.> Senza entrare nei dettagli della vulnerabilità> specifica di Flash, che richiede esclusivamente> un click indipendentemente dal tuo stato di> autenticazione o da altri parametri e per questo> ha indotto Adobe a chiedere di posticipare la> disclosure (ne sono a conoscenza in quanto membro> del Mozilla Security Group), ti dò un aiutino sul> caso generale: tutte le transazioni che> ripresentano la scheda se non è correttamente> compilata o se non contiene un nonce anti-CSRFChe cos'é un "nonce anti-CSRF"? Sembrerebbe un meccanismo per evitare richieste da siti terzi. Cross Site Reference Qualcosa?> valido, cioé la maggior parte, possono essere> precompilati con una semplice richiesta GET o> POST [b]effettuata dal sito ostile[/b].Quindi il sito ostile deve giá conoscere i tuoi dati, giusto?> Se> esistono misure anti-CSRF, questa prima> richiesta, che può essere completamente> automatizzata, fallisce, ed è a questo punto che> il clickjacking torna> utile...Qua non mi tornano i conti. Come fa a ridirigere il click su un'altra scheda?!?!? O si parla di IFrame? Ma puoi redirigere un click VERSO un elemento specifico di un IFrame?FiamelRe: Allarmismi controproducenti
- Scritto da: Fiamel> Che cos'é un "nonce anti-CSRF"? Sembrerebbe un> meccanismo per evitare richieste da siti terzi.> Cross Site Reference> Qualcosa?Cross-site Request Forgery, http://en.wikipedia.org/wiki/Cross-site_request_forgery> Quindi il sito ostile deve giá conoscere i tuoi> dati,> giusto?Non necessariamente. Se sei già loggato in un servizio di cui sei utente, es. la tua banca o un gateway di pagamento, i dati più importanti (le tue credenziali) sono già disponibili. Per il sito ostile è sufficiente aprire un form precompilato (da lui, non da te) con una transazione arbitraria e indurti semplicemente a cliccare sul pulsante "OK". > Qua non mi tornano i conti. Come fa a ridirigere> il click su un'altra scheda?!?!? O si parla di> IFrame? Esattamente, si parla di IFRAME> Ma puoi redirigere un click VERSO un> elemento specifico di un> IFrame?Certamente, è molto facile. Io l'ho fatto per un sacco di tempo col pulsante di installazione di NoScript, che non è quello che sembra.Inoltre, ci sono situazioni in cui non è necessario neppure che tu sia loggato da qualche parte o utilizzare un IFRAME, come nel caso dello specifico attacco avente come oggetto l'applet di configurazione di Flash, proprio quello per cui Macromedia aveva chiesto a RSnake e Jeremiah di ritirare la loro presentazione OWASP, che consentiva di attivare la webcam o il microfono per spiarti senza che tu te ne accorgessi.Ad ogni modo, i particolari sono stati resi noti "a tradimento" martedì scorso da un russo, quindi puoi leggere i dettagli sia sull'attacco che sulle contromisure qui:http://hackademix.net/2008/10/08/hello-clearclick-goodbye-clickjacking/Giorgio MaoneRe: Allarmismi controproducenti
- Scritto da: Critico amatoriale> In realtà... non si può rischiare l'iscrizione a> una newsletter finché non si digita un indirizzo> email... così come non si rischia il furto di> nessun dato, finché questo dato non viene> inserito da qualche> parte.> Insomma non si rischia un bel nulla.> > Naturalmente i lettori spaventati sono andati> subito a disabilitare l'iframe (senza aver capito> niente), ottenendo solo di sottrarre funzionalità> al> web.> Complimenti, davvero bravi.a dire il vero ricordavo che iframe era deprecato da anni... o la storia è cambiata?lettore modestoio ho apprezzato moltissimo
Bottoni, io ho apprezzato.Hai descritto bene, hai virgolettato o "corsivato" dove serviva, hai linkato, hai citato, hai moderatamente consigliato, sei stato addirittura politically correct.Garbato ma deciso, divulgativo ma non semplicistico, allertante ma non allarmista.Grazie.lettore modestoFurto di click? Precisiamo
Gli allarmismi sono la parte furba della stessa idiozia che governa chi casca nelle truffe...La tecnica del clickjacking, in realtà, è nuova solo per "CONCEZIONE" e "NOME".Utilizzando Javascript si può modificare qualiasi elemento e comportamento.L'uso di IFRAME permette l'esecuzione di redirect "invisibili".Embè? La scoperta dell'acqua calda!Era solo questione di tempo prima che qualcuno cominciasse ad ipotizzarne un uso improprio.Sì, perchè io non parlerei di bug, ma di uso improprio paragonabile a quei POPUP descritti nell'articolo precedente qui citato.Il popup come la "riscrittura" di un URL non sono di per sè "il male", ma è l'uso che se ne fa.La cura? Il cervello.Perchè, penso, che limitare una feature non è una soluzione.H5N1Re: Furto di click? Precisiamo
- Scritto da: H5N1> Gli allarmismi sono la parte furba della stessa> idiozia che governa chi casca nelle> truffe...> > La tecnica del clickjacking, in realtà, è nuova> solo per "CONCEZIONE" e> "NOME".> Utilizzando Javascript si può modificare qualiasi> elemento e> comportamento.> L'uso di IFRAME permette l'esecuzione di redirect> "invisibili".> Embè? La scoperta dell'acqua calda!> > Era solo questione di tempo prima che qualcuno> cominciasse ad ipotizzarne un uso> improprio.> Sì, perchè io non parlerei di bug, ma di uso> improprio paragonabile a quei POPUP descritti> nell'articolo precedente qui> citato.> > Il popup come la "riscrittura" di un URL non sono> di per sè "il male", ma è l'uso che se ne> fa.> > La cura? > Il cervello.> > Perchè, penso, che limitare una feature non è una> soluzione.però non è che puoi arrivare qui alle 16 passate, a due ore dalla correzione del bug qui su PI e sparare la tua trollata come niente fosse...ti assicuro che in questo momento proverei forte imbarazzo se fossi in te... :$uccello_giganteRe: Furto di click? Precisiamo
- Scritto da: uccello_gigante> però non è che puoi arrivare qui alle 16 passate,> a due ore dalla correzione del bug qui su PI e> sparare la tua trollata come niente> fosse...> > ti assicuro che in questo momento proverei forte> imbarazzo se fossi in> te...> > :$1 - non è una trollata.2 - Correzione del bug? Ho appena detto che non c'è alcun bug.H5N1mi spiegate ... ??
... cosa aggiunge questa tecnica a quanto già finora si poteva fare? e nel dettaglio io non ho capito come funzianel momento in cui un terzo inietta codice javascript all'interno di una pagina, può far compiere tantissime azioni, in genere a pagine dello stesso dominio, a tutti quelli che la visitano, senza dover passare per forza per un IFRAMEinsomma nella cassetta degli attrezzi dell'hacker c'è già xmlhttprequest, img src, div style background, onclick, onload, ...l'iframe non è solo uno dei tantiquindi? qual'è la notizia?MikGrazie per l'articolo!!
Tutte ste lamentele....Io dico invece, grazie per l'informazione!GioFXaurelio
caspita, che articolo innovativo se dite di disabiltare javascript! disabilitando javascript per esempio non vi funzionerà google maps e tutti i siti più innovativi (scritti in ajax), comunque è difficilissimo risolvere questo probblema se non impossibile.marconon seguite questi consigli
caspita, che articolo innovativo se dite di disabiltare javascript! disabilitando javascript per esempio non vi funzionerà google maps e tutti i siti più innovativi (scritti in ajax), comunque è difficilissimo risolvere questo probblema se non impossibile. In più non capisco cosa ci sia di così catastrofico da doversi preoccupare :(marcasa@ GioFx
se non conosci l' HTML e se non sai neanche programmare in javascript non puoi essere in grado di capire quale sia il problema, la cosa detta in quest' articolo tutti noi programmatori la sapevamo da parecchio tempo e menomale che javascript funziona così perchè altrimenti non si riuscirebbe a far niente e si ritornerebbe agli anni '90 quando c' erano IE e netscapemarcasaGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiTi potrebbe interessare