Safari scarica i file senza il permesso dell'utente
Un sito malevolo può scaricare sul Pc dell'utente tutto quello che vuole. Apple ritiene che il problema non sia serio.
[ZEUS News - www.zeusnews.it - 19-05-2008]
Safari, il browser di Apple, presenta un comportamento potenzialmente pericoloso che però non pare interessare troppo la sua casa produttrice.
Il problema sta nella gestione dei download: un sito web malevolo può riempire le directory di default dei file scaricati (il Desktop nella versione per Windows, la directory Download dell'utente nella versione per Os X) con tutto ciò che vuole perché Safari "non può essere configurato per ottenere il permesso dell'utente prima che scarichi una risorsa".
Le parole sono di Nitesh Dhanjani, che ha scoperto questo comportamento e ne ha informato subito il team di sicurezza di Apple il quale, peraltro molto gentilmente, ha risposto che non considera questo un problema legato alla sicurezza. Dhanjani, dunque, ne ha parlato nel proprio blog per mettere in guardia gli utenti.
Il suggerimento è stato girato al team di sicurezza Apple, il quale a sua volta l'ha passato al gruppo di sviluppo di Safari, precisando: "Per favore notate che non trattiamo questo come un problema legato alla sicurezza, ma come ulteriore misura per migliorare le difese contro i download involontari", e concludendo che per avere la soluzione potrebbe volerci un po', visto che per una modifica del genere occorre consultare anche lo Human Interface team, ossia il gruppo che decide come deve avvenire l'interazione tra il programma e l'utente.
Ci sono poi ancora due problemi di cui Dhanjani si è accorto: il primo riguarda l'invocazione di script lato client da parte di Safari quando viene aperta una pagina Html locale. Il browser di Apple lo permette senza problemi, laddove i prodotti concorrenti (anche Internet Explorer) avvertono l'utente di quanto sta avvenendo; cliccare su un file Html scaricato in locale potrebbe infatti far pensare che non si sta rischiando niente, ma se il file richiama uno script il pericolo può essere reale.
Se ci si trovasse dunque un file Html misterioso sul Desktop - che nessuno ricorda di aver messo lì - e si decidesse di vedere che cosa mai contenga tramite Safari, le conseguenza potrebbero essere spiacevoli.
L'ultima preoccupazione riguarda una vulnerabilità ad alto rischio che è stata segnalata al team di sicurezza e sulla quale Apple sta lavorando; i dettagli non sono stati diffusi per evitare che venga sfruttata prima che sia pronta una patch.
|
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
Commenti all'articolo (2)
25-5-2008 14:34
|
|
||
|
- Al caffe' dell'Olimpo:
[GIOCO] L'utente dopo di me - Motori di ricerca:
I motori di ricerca & la privacy - Tablet e smartphone:
Utilizzo smartphone - Internet - generale:
Come interagite con la IA? - Aiuto per i forum / La Posta di Zeus / Regolamento:
Avvisi risposte e notifiche MP non mi arrivano - Altra ferraglia stand-alone:
Android TV e smart TV - Sicurezza:
Abbonamento ad antivirus con prova gratuita - Programmazione:
Evoluzione di carriera: da Sviluppatore IBM i a
PM/Tech Lead - Windows 11, 10:
Comparsa di un Disco Locale sconosciuto - Linux:
Infloww su linux, si può?
adler