Web – Nel suo bollettino numero 40 , il bug hunter Georgi Guninski sostiene che, in particolari condizioni, l’interazione tra il browser Internet Explorer 5.x, Internet Information Server 5.0 ed Exchange 2000 provoca una potenziale falla nei sistemi di sicurezza che utilizzano questi software Microsoft.
“L’accusa” da parte di Guninski, divenuto famoso con le sue scoperte di bachi su Internet Explorer e Netscape Navigator, è rivolta a IE 5.x. Lì sarebbe il baco che per essere sfruttato richiede l’interazione con IIS 5.0 o Exchange.
Guninski descrive così il buco: “Se una pagina web fatta apposta viene visitata da un utente con IE, allora è possibile elencare le directory dei server IIS 5.0 a cui l’utente ha accesso. In certe circostanze è anche possibile leggere l’email dell’utente o le sue cartelline se archiviate su Exchange 2000 server web storage, che sfrutta IIS 5.0. Ed è possibile creare (o probabilmente modificare) i file su Exchange”.
Guninski, che sa bene quanto ogni sua scoperta ottenga l’attenzione dei media di tutto il mondo, spiega di non avere molto tempo a disposizione in questo momento per illustrare nel dettaglio un problema che definisce complesso. Comunque evidenzia come la questione sembra risiedere nella funzione “Microsoft OLE DB Provider for Internet Publishing” (MSDAIPP.DSO).
L’esperto ha spiegato che questa si offre come interfaccia di scripting per accedere e manipolare oggetti su IIS 5.0 o web storage. “Il problema – evidenzia Guninski – è che consente di connettersi anche ad altri server e non solo ai server dai quali la pagina HTML viene caricata”.
“Quel che è peggio – continua Guninski – è che se IIS 5.0 si trova in una ‘Local Intranet zonè, Explorer di default autentica automaticamente l’accesso senza avvertire l’utente”.
Secondo Guninski il problema è grave ma Microsoft, in una lettera che lo stesso bug hunter ha reso nota, sembra proprio non essere d’accordo.
“Apprezzeremmo – avrebbe scritto Microsoft – un qualche dettaglio in più per capire cosa secondo te si può ottenere in quello scenario. Se possibile, quando rendi pubblica la cosa spiega nel dettaglio tutti i parametri, così che la gente non sia spaventata dal solo livello di allarme che tu decidi”.
“Non ci è chiaro – continua l’azienda – che cosa si possa ottenere in questo scenario specialmente in ambienti ristretti dove lo scripting è disabilitato. Visitare siti potenzialmente pericolosi non riguarda bug di sistema e se la zona Intranet, che è garantita, è chiusa, che rischio c’è?”
Guninski ha risposto a questa lettera con un lungo esempio che si conclude con l’invito a disabilitare l’Active Scripting in questi ambienti per evitare rischi che email o cartelline siano “lette” dall’esterno.
-
? bah, ma Teelcom come ragiona?
Sul giusto o sbagliato dei prezzi di Telecom non dico nulla...Ma mi chiedevo..Se l'operatore costa 480 lire, mentre l'automatico cosata 240 +24/secondoUna chiamata di 10 secondi già copre i costi della chiamata con operatore.Tenendo conto che è impossibile ottenere il servizio per meno di 10 secondi, il risultato è che sarà comunque sempre + conveniente parlare con l'operatore.-Ora: Mi chiedevo qual'è il senso di una strategia di prezzo di qs tipo-In teoria la voce automatica costa meno a TelecomUna volta investito nel software non hai altri costi (esclusi i costi della chiamata)Invece l'operatore call center devi pagarlo ogni mese.E allora perchè?SPQTSono pazzi questi di Telecom-Non sarà un accordo con il loro amichetto Dalema in modo da mantenere posti di lavoro da sciorinare in campagna elettorale vero?Un po' troppo forzata come spiegazione.Ok. Pero' non riesco a conprendere un'offerta simile...Re: ? bah, ma Teelcom come ragiona?
> Se l'operatore costa 480 lire, mentre> l'automatico cosata 240 +24/secondono, e' l'inverso, l'assistenza umana costa lo scatto + 24 lire al secondo. L'assistente computerizzato 480 lire fisse.E' ovvio: il customer care e' enorme, vogliono ridurre gli accessi al personale, cosi' possono tagliare dei posti di lavoro...Re: ? bah, ma Teelcom come ragiona?
Purtroppo è il contrario, figurati se Telecom da maggiore importanza alle risorse umane (leggi costi) rispetto all'automatizzato..in compenso gli stipendi dei vari manager,amministratori delegati, etc. è costantemente in aumento....- Scritto da: n> Sul giusto o sbagliato dei prezzi di Telecom> non dico nulla...> > Ma mi chiedevo..> > Se l'operatore costa 480 lire, mentre> l'automatico cosata 240 +24/secondo> > Una chiamata di 10 secondi già copre i costi> della chiamata con operatore.> > Tenendo conto che è impossibile ottenere il> servizio per meno di 10 secondi, il> risultato è che sarà comunque sempre +> conveniente parlare con l'operatore.-> > > Ora: Mi chiedevo qual'è il senso di una> strategia di prezzo di qs tipo-> > In teoria la voce automatica costa meno a> Telecom> Una volta investito nel software non hai> altri costi (esclusi i costi della chiamata)> Invece l'operatore call center devi pagarlo> ogni mese.> > E allora perchè?> > SPQT> Sono pazzi questi di Telecom-> > Non sarà un accordo con il loro amichetto> Dalema in modo da mantenere posti di lavoro> da sciorinare in campagna elettorale vero?> > Un po' troppo forzata come spiegazione.Ok.> Pero' non riesco a conprendere un'offerta> simile...> > > > > > > > > > > > > > > > > > >Re: ? mi sembrava strano!! avevo letto male
ahhh, così rientriamo nelle abitudini di telecom....- Scritto da: n> Sul giusto o sbagliato dei prezzi di Telecom> non dico nulla...> > Ma mi chiedevo..> > Se l'operatore costa 480 lire, mentre> l'automatico cosata 240 +24/secondo> > Una chiamata di 10 secondi già copre i costi> della chiamata con operatore.> > Tenendo conto che è impossibile ottenere il> servizio per meno di 10 secondi, il> risultato è che sarà comunque sempre +> conveniente parlare con l'operatore.-> > > Ora: Mi chiedevo qual'è il senso di una> strategia di prezzo di qs tipo-> > In teoria la voce automatica costa meno a> Telecom> Una volta investito nel software non hai> altri costi (esclusi i costi della chiamata)> Invece l'operatore call center devi pagarlo> ogni mese.> > E allora perchè?> > SPQT> Sono pazzi questi di Telecom-> > Non sarà un accordo con il loro amichetto> Dalema in modo da mantenere posti di lavoro> da sciorinare in campagna elettorale vero?> > Un po' troppo forzata come spiegazione.Ok.> Pero' non riesco a conprendere un'offerta> simile...> > > > > > > > > > > > > > > > > > >schifosi!
Telekkkkkkom, ma va va......!Per chi avesse scelto di rivolgersi all'operatore digitale, il costo della chiamata sarebbe stata dallo scorso 28 febbraio di 480 lire (Iva inclusa). Ehhhhh????!!?!?Il prezzo di una "chiacchierata con l'operatore umano", invece, era stabilito in 24 lire al secondo (Iva inclusa) cosa?con scatto alla risposta di 240 lire (Iva inclusa).siete del ladri di *erda e volete ancora essererisarciti?Re: schifosi!
- Scritto da: floods> Telekkkkkkom, ma va va......!> > Per chi avesse scelto di rivolgersi> all'operatore digitale, il costo della> chiamata sarebbe stata dallo scorso 28> febbraio di 480 lire (Iva inclusa). > > Ehhhhh????!!?!?> > Il prezzo di una "chiacchierata con> l'operatore umano", invece, era stabilito in> 24 lire al secondo (Iva inclusa) > > cosa?> > con scatto alla risposta di 240 lire (Iva> inclusa).> > siete del ladri di *erda e volete ancora> essere> risarciti? Perche', tu lavori gratis?Re: schifosi!
- Scritto da: a> Perche', tu lavori gratis?No, ma se mi pagassero 24 lire al secondo avrei gia' smesso di lavorare da anni (e senza chiedere lo scatto a presenza).8 ore per 60 minuti ogni ora per 60 secondi ogni minuto PER 24 LIRE/Sec. da' come risultato quasi 700.000.Risultato che va moltiplicato per 3 se il servizio risulta attivo 24 ore al giorno, invece di 8.Fai i tuoi conti, prima di dare risposte idiote a chi si lamenta a ragion veduta.Carlo S.Re: schifosi!
Giusto un appunto:- Nei tuoi conti non hai tenuto conto di nessuna spesa (non penso che quelle 24 L/s vadano tutte all'operatore che ti risponde)CiaoCount Zero- Scritto da: Carlo S.> - Scritto da: a> > Perche', tu lavori gratis?> > No, ma se mi pagassero 24 lire al secondo> avrei gia' smesso di lavorare da anni (e> senza chiedere lo scatto a presenza).> 8 ore per 60 minuti ogni ora per 60 secondi> ogni minuto PER 24 LIRE/Sec. da' come> risultato quasi 700.000.> Risultato che va moltiplicato per 3 se il> servizio risulta attivo 24 ore al giorno,> invece di 8.> Fai i tuoi conti, prima di dare risposte> idiote a chi si lamenta a ragion veduta.> > Carlo S.Re: schifosi!
-> > Perche', tu lavori gratis?FATTI FURBO...SCEMO !!!Servizio facoltativo
A me sembra che un'azienda debba poter decidere il costo di un servizio FACOLTATIVO. Nessuno e' obbligato ad utilizzarlo.Il servizio 12 e' sempre stato a pagamento, e anche piuttosto salato, solo che 20 anni fa pochi lo utilizzavano, proprio perche' costava. Ormai siamo abituati a voler avere tutti i servizi possibili, e lamentarci perche' costano.Non dimentichiamo che, se non vogliamo pagare, ci sono sempre le guide del telefono, oppure lo stesso servizio 12 in internet: e sono entrambi gratis.Se pero' troviamo piu' semplice fare il 12, dobbiamo ragionevolmente aspettarci di pagare il tempo e le attrezzature altrui anziche' usare il nostro tempo, non vi pare?Re: Servizio facoltativo
si sono daccordo!anche se non capisco completamente la politica dei prezzi... cioè perché lo scatto alla risposta (che ora si chiama "call setup") varia a seconda dei servizi? quell'importo non dovrebbe coprire solo le fantomatiche spese per l'usura delle vecchie centrali telefoniche(intendo quelle elettro-meccaniche di 50 anni fa...)?ciao ciao- Scritto da: susanna> A me sembra che un'azienda debba poter> decidere il costo di un servizio> FACOLTATIVO. Nessuno e' obbligato ad> utilizzarlo.> Il servizio 12 e' sempre stato a pagamento,> e anche piuttosto salato, solo che 20 anni> fa pochi lo utilizzavano, proprio perche'> costava. Ormai siamo abituati a voler avere> tutti i servizi possibili, e lamentarci> perche' costano.> Non dimentichiamo che, se non vogliamo> pagare, ci sono sempre le guide del> telefono, oppure lo stesso servizio 12 in> internet: e sono entrambi gratis.> Se pero' troviamo piu' semplice fare il 12,> dobbiamo ragionevolmente aspettarci di> pagare il tempo e le attrezzature altrui> anziche' usare il nostro tempo, non vi pare?Re: Servizio facoltativo
Capito tutto.Ora vallo a spiegare a tua nonna, che non sa usare un pc e non ha idea di che cosa possa essere Internet.E - gia' che ci siamo - come mai Telecom Italia spende piu' soldi per pubblicizzare Turbolinea ADSL (poche miglia di persone interessate) invece che per informare che il proprio servizio/truffa 12 ha decuplicato i costi (milioni di richieste)?Trasparenza?Come al solito, questo e' il Paese del fumo-negli-occhi.Carlo S.Se va contro telecom è giusto !!
Dopo tutto quello che Telecom ha fatto e continua a fare a danno dei consumatori, qualsiasi cosa possa danneggiarla, a torto o a ragione è giusta e da eloquiare. Abbasso Telecom !!!Re: Se va contro telecom è giusto !!
- Scritto da: thesblind> Dopo tutto quello che Telecom ha fatto e> continua a fare a danno dei consumatori,> qualsiasi cosa possa danneggiarla, a torto o> a ragione è giusta e da eloquiare. Abbasso> Telecom !!! Letto, approvato & sottoscritto !Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commentiPubblicato il 30 mar 2001Link copiato negli appuntiTi potrebbe interessare
![Redazione]()
Pubblicato il 30 mar 2001Link copiato negli appunti
