Re: [ml] GPG per Gmail

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Luglio 2007 ml@sikurezza.org
Soggetto: Re: [ml] GPG per Gmail
Mittente: Marco Bonetti
Data: Tue, 10 Jul 2007 14:35:36 +0200 (CEST)

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Mon, July 9, 2007 23:40, Gaetano Zappulla wrote:
> Quali sono i meccanismi di sicurezza per, ad esempio, installare una
> estensione?
FF (e TB e SM) hanno una whitelist di siti a cui è permesso installare
estensioni, di default c'è solo mozilla.com ma l'utente può aggiungere
quanti ne vuole.
se il sito è permesso al momento dell'installazione appare un popup che
invita a riflettere sui rischi di sicurezza relativi all'installazione di
software aggiuntivo, dopo 3-4 secondi il pulsante "ok" è abilitato e
l'utente può installare l'estensione

> Cosa riesci a fare con le estensioni?
tante cose, tra queste manipolare il comportamento del browser
(connessioni, aggiunta/rimozione/modifica di codice html/css/javascript
alle pagine visualizzate) ed esecuzione di comandi. alla fine sono un zip
contenente principalmente codice JavaScript e file di configurazione.
eventualmente è presente anche codice binario compilato.

> A cosa hai accesso e su che base?
credo venga eseguito con i permessi dell'utente che sta eseguendo il
programma

> No, perche' io non mi vorrei mai trovare nel caso che installando una
> estensione del browser che faccia X mi trovi pure la feature nascosta Y
> che faccia da backdoor o da tunnel per far uscire dati evadendo pure IDS e
> quant'altro... :>
è un procedimento basato sulla fiducia, come installare i pacchetti di una
distribuzione linux: ci si fida di quelli ufficiali (e si scoprì che il
99% dei lettori di questa ml usano LFS...)
Per lo sviluppo delle estensioni c'è un buona documentazione:
http://developer.mozilla.org/en/docs/Extensions se spulci tra i documenti
ci sono anche le linee guida per l'inclusione di una estensione tra quelle
proposte da mozilla.org, a parte questioni formali ed estetiche (limitare
il numero di errori mostarti nella console, evitare di mostrare prompt e
popup non voluti) impongono una sorta di peer review: un periodo di
quarantena dell'estensione in un repository speciale da dove verrà presa e
studiata dagli altri sviluppatori, solo quelle che sono considerate ok
passano su mozilla.org

ciao

- --
Marco Bonetti
Slackintosh Linux Project Developer: http://www.slackintosh.org
Linux-live for powerpc: http://www.slackintosh.org/pub/rsync/mb/linux-live
My webstuff: http://sidbox.homelinux.org

My GnuPG key id: 0x86A91047
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (Cygwin)
Comment: http://firegpg.tuxfamily.org

iD8DBQFGk30DE3eWALCzdGwRAhllAJ93NjqlZSU3NrSOtzYNHSQnzPYN9ACaA9w6
MVre+9ssKqsB1r0J1Ex51ds=
=4y4k
-----END PGP SIGNATURE-----

In risposta a:
- [ml] GPG per Gmail, Giuseppe Paternò (Gippa)
- Re: [ml] GPG per Gmail, Gaetano Zappulla

Data:
- precedente: [ml] Sicurezza reale di smart-card e token, Domenico Viggiani
- successivo: Re: [ml] controllo portatili consulenti, Alberto Guglielmo
- indice

Argomento:
- precedente: Re: [ml] GPG per Gmail, Gaetano Zappulla
- successivo: Re: [ml] Intervento sulle reti SS7 al BH Europe 2007, Massimo Giaimo
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005