[hack] il fotware libero è testato meglio di quello a sorgente chiusa.

[linux-lover]

Ultimo bug di Internet Explorer:


Come molti, anch'io sconsiglio da anni l'uso di Internet Explorer per
motivi di sicurezza, e uno di questi motivi è da sempre la sua profonda
integrazione in Windows: la buona progettazione, infatti, esige che il
browser sia separato dal sistema operativo e sia un'applicazione come
tutte le altre. L'altro motivo, come testimoniato da quello che sto per
raccontarvi, è che per via di quest'integrazione IE è pieno di magagne e
comportamenti imprevedibili che creano trappole assolutamente inattese,
contro le quali la semplice competenza informatica non basta.

Infoworld, infatti, segnala un comportamento che ha stupito anche gli
esperti di Microsoft: digitando un indirizzo in Internet Explorer 6 (e
anche in IE 7 beta), può succedere che invece di visitare il sito
corrispondente all'indirizzo, IE lanci un programma (magari ostile)
presente nel computer.

Esempio pratico:
Cliccate col pulsante destro sul desktop di Windows e scegliete Nuovo >
Collegamento.
Impostate il collegamento in modo che lanci la Calcolatrice (calc.exe).
Come nome del collegamento, scegliete www.microsoft.com.
Lanciate Internet Explorer e digitate www.microsoft.com nella barra
dell'indirizzo.
Invece di andare al sito Microsoft, viene lanciata la Calcolatrice.

Questo non dovrebbe succedere. Un browser non deve lanciare un programma
locale quando gli si digita l'indirizzo di un sito. E' come pigiare il
clacson dell'auto e constatare con orrore che si disinnesta il freno a
mano. E' abbastanza evidente che questo comportamento può essere
sfruttato da un aggressore per farvi lanciare un programma ostile di sua
scelta.

Infoworld ne ha discusso con gli esperti Microsoft, che sono rimasti in
maggioranza sorpresi di questo comportamento. Si è notato che si
manifesta soltanto quando non viene digitato http:// prima del nome del
sito, e questo fa pensare che IE faccia vari tentativi d'interpretare la
digitazione dell'utente: uno di questi tentativi guarderebbe il Desktop
per vedere se contiene un collegamento corrispondente alla digitazione.
Se non lo trova sul Desktop, allora lo va a cercare su Internet. Ma se
lo trova, lo esegue, scavalcando completamente il funzionamento atteso
del browser.

Di per sé non è un pericolo grave (l'aggressore deve comunque avere già
accesso al computer della vittima con qualche altro metodo), ma è un
sintomo di una filosofia di progettazione che nonostante tutto non è
ancora orientata realmente alla sicurezza; il fatto che questo
comportamento sia presente anche nella prossima versione di IE (la 7,
attualmente disponibile come beta) non promette bene per il futuro. Ogni
comportamento non documentato è una possibile trappola per l'utente.

Fonte: attivissimo.blog