Firefox e Thunderbird

Ciao,

  alcune cose interessanti per gli utilizzatori di questi 3 prg:

  http://www.freelists.org/archives/linuxtrent/03-2004/msg00812.html

  le ho già scritte sul linuxtrent per cui qui posto solo il link,
l'allegato è visibile in forma testo e quindi non aggiungo nemmeno
quello. Spero lo troviate utile

  Ciao,

Ciao Roberto!

Anche se io uso Mozilla, dove certi problemi non esistono ;), mi sono
quardato velocemente la tua e-mail.

Il log delle attivita' sulla shell come root, e' un po pericoloso,
diciamo che all'inizia sorvolando pensavo, ci volessi fare uno scherzo :slight_smile:

Poi ho visto che c'e' lo script, che prima deve essere salvato nella
home di root. Penso almeno.

Nello script mi ho poi visto il seguente passaggio:

# this alias avoid security problem related to
# maliciuos links as: "http://ciao.it; rm -rf ~/*"
alias rm='security-problem-avoided'

Cosa succede se uno ti fa aprire la seguente URL?

"http://ciao.it; unalias rm ; rm -rf ~/*"

Vedo che fai qualche modifica del URL con sed. Farse sarebbe il caso di
fare lo stripping dei caratteri dopo un ';' o '|' e accertarsi che il
contenuto sia una URL valida.

Non e' facile, ma probabilmente vale la pena :wink:

O seno' usa direttamente Mozilla :wink:

Happy hacking!
Patrick

Salve a tutti, mi chiamo Roberto e mercoledí ho
partecipato ad un convegno sull'Open Source a Padova,
e mi fa piacere rendervi partecipi.

Mattina erano presenti RedHat, Suse, IBM HP, Oracle
Sun e tutti appoggiano Linux e Open Source ma i loro
prodotti sono ben lontani dall'esserlo. Spesso si
sentiva parlare di Trend, moda e guerre di religione
ma sapere che colossi come questi supportano linux fa
pensare che il prodotto piú che maturo.

il pomeriggio erano presenti: assessore Pisa
all'informatica, responsabile CNIPA (ex AIPA),
responsabile informatica prov Padova e al.

Da quanto emerso solo grazie ad una spinta politica
decisa su puó pensare all'OpenSource nelle Pubb Amm,
per ora nella parte server, molto lontana nella parte
Desktop.

Il cambiamento culturale che porta l'open source
sembra ancora lontano dalle dirigenze anche delle
piccole medie imprese.

Hanno detto che le presentazioni saranno presenti sul
sito:
http://www.laboratorioinnovazione.org/

saluti
~roberto

Ola robz, da un p; che non ti si sente, per; porti
sempre buone nuove!

Patrick Ohnewein ha scritto:

Ciao Roberto!

Anche se io uso Mozilla, dove certi problemi non esistono ;), mi sono
quardato velocemente la tua e-mail.

Il log delle attivita' sulla shell come root, e' un po pericoloso,
diciamo che all'inizia sorvolando pensavo, ci volessi fare uno scherzo :slight_smile:

Quale log, scusa?

Poi ho visto che c'e' lo script, che prima deve essere salvato nella
home di root. Penso almeno.

No, non deve essere salvato nella home di root ma in /usr/local/bin che
è un percorso non inserito di default nella PATH dell'utente root

Nello script mi ho poi visto il seguente passaggio:

# this alias avoid security problem related to
# maliciuos links as: "http://ciao.it; rm -rf ~/*"
alias rm='security-problem-avoided'

Cosa succede se uno ti fa aprire la seguente URL?

"http://ciao.it; unalias rm ; rm -rf ~/*"

Nel caso peggiore accade questo

$MOZILLA_FIVE_HOME/$exe -UILocale it-IT -contentLocale IT $cml \"$hp\"

/usr/local/firefox/firefox -UILocale it-IT -contentLocale IT
"http://ciao.it; unalias rm ; rm -rf ~/*"

cioè

  <comand> "<parameter>; <malicous command>"

mentre la tragedia avverrebbe se accadesse

  <comand> <parameter>; <malicous command>

cioè senza i double quotes (era scritto sul secondo link citato)

Vedo che fai qualche modifica del URL con sed. Farse sarebbe il caso di
fare lo stripping dei caratteri dopo un ';' o '|' e accertarsi che il
contenuto sia una URL valida.

Non e' facile, ma probabilmente vale la pena :wink:

  ci sono i doble quotes anche lì... facciomo finta che rm si chiami,
così posso fare malicious senza pagarne le conseguenze :wink:

[roberto(a)wsraf roberto]$ hp="http://pippo; ls ~/*"
[roberto(a)wsraf roberto]$ hp=$(echo "$hp"|sed -e "s/mailto://")
[roberto(a)wsraf roberto]$ echo $hp
http://pippo; ls bin Desktop Documents In miei download
KPilotSysInfo.html lista mozilla.ps tmp

  Cosa è successo? Che ~/* l'asterisco è stato esapanso e sostituito dai
nome dei file ma il comando non è stato eseguito altrimenti non sarebbe
ancora lì nell'echo. Quindi l'effetto è quello di aver digitato nella
barra di havigazione la seguente stringa

http://pippo; ls bin Desktop Documents In miei download
PilotSysInfo.html lista mozilla.ps tmp

Controesempio? Togliamo i double quotes dalla prima istruzione e vediamo
che succede:

  [roberto(a)wsraf roberto]$ hp=http://pippo; ls ~/*
KPilotSysInfo.html lista mozilla.ps

  ^^^^^^^^
  mi ha eseguito il comando ls ~/*

Manteniamo i double quotes dalla prima istruzione ma togliamoli dalla
seconda e vediamo che succede:

  [roberto(a)wsraf roberto]$ hp="http://pippo; ls *"
  [roberto(a)wsraf roberto]$ hp=$(echo $hp|sed -e "s/mailto://")
  [roberto(a)wsraf roberto]$ echo $hp
http://pippo; ls bin Desktop Documents In miei download
KPilotSysInfo.html lista mozilla.ps tmp

  Ancora una volta nulla di malvagio... ma proseguiamo l'indagine e
portiamo di fronte al codice REALE che ho scritto e facciamo un piccolo
test:

  [roberto(a)wsraf roberto]$ vi test

  #!/bin/bash
  # dentro a $1 c'è un malicious command
  hp=$1
  :wq

  [roberto(a)wsraf roberto]$ chmod a+x test
  [roberto(a)wsraf roberto]$ ./test ls
  [roberto(a)wsraf roberto]$

  Ebbene questo dimostra che fare

  hp=$1

  è uguale a fare

  hp="$1"

  che ovviamente sono diversi da fare

  hp=value; malicious

  Non ci credi ancora? Includo il file .html di prova e lo screenshot
che ne risulta!
  ;-)

O seno' usa direttamente Mozilla :wink:

  Mozilla sucks, less than Netscape but sucks

  Ciao,

malicious.html (95 Bytes)

Salve a tutti,
vi disturbo ancora per il convegno. Sono usciti gli
atti ma del convegno di Siena (molto simile a quello
di Padova e fatto il giorno prima).
http://www.salpa.pisa.it/salpa/cda/templates/atti_uff_it.jsp?OTYPE_ID=2115&CAT_ID=216934

ce ne sono di molto interessanti, dal molto
provocatorio Alfonso Fuggetta, all'interessante
intervento di Flavia marzano.

Insomma soprattutto per sapere come le altre province
si muovono nell'Open Source e cosa stanno facendo.

Per chi ha tempo e voglia... buone letture.

Letture indispensabili per le persone della Pubblica
Amministrazione.

saluti a tutti e soprattutto a LiGnuX

p.s.
Antonio per il sito di futuroimmobiliare hai provato
ad usare Konqueror e a falsificare il browser?

ciao
ciao
~roberto