-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 KJK::Hyperion wrote: | Ovviamente, il caso di ClickOnce è molto più serio perchè l'extension | manager, a differenza di about:plugins, ha le iconine e i pulsantini ed | è dove controlli che l'estensione per skinnare feisbucc è aggiornata
Il caso in oggetto è MOLTO più serio perché MS installa con un aggiornamento del sistema operativo (dato che MS ritiene .NET come parte del S.O.), e senza avvisare l'utente, un componente aggiuntivo per un software di terze parti riducene la sicurezza. L'utente che installa gli altri software da te menzionati (flash, java, acrobat) lo fa di propria iniziativa e sapendo che insieme ad essi sarà installato anche un plugin le cui funzionalità, al netto di bug, sono note. In questo caso invece non è così. Per non scatenare alcuna polemica bastava semplicemente che l'estensione fosse deselezionabile con una checkbox o che almeno fosse stato chiaro a chi applicava l'aggiornamento che associata vi era quell'estensione con quelle funzionalità. Un minimo di correttezza insomma. | Se non si capisse, sono scettico su chi si sogna la notte che Microsoft | gli entra in casa di nascosto per spostargli il formaggio e mangiargli | tutto il porridge. Pochi si sognano di Microsoft, ma molti probabilmente si sognano di terzi che approfittano dell'errore, formale e sostanziale, di MS. | Si parla di feature che Firefox si porta dietro da | prima che esistesse e che non sono mai state messe in dubbio. Non mi risulta che FF si porti in dote "Click Once". Il problema non è certo l'esistenza di estensioni o plugin, è il fatto di non avere il controllo su ciò che viene installato e che by-design può rappresentare un problema di sicurezza. A prescindere che sia MS a farlo piuttosto che Adobe o Sun. | Ragionate, resistete alla tentazione di unirvi al tam-tam IMHO sarebbe prima utile focalizzare il problema che mi pare tu non abbia colto, probabilmente nella foga di attutire il tam-tam :-) - -- Flavio Visentin GPG Key: http://www.zipman.it/gpgkey.asc There are only 10 types of people in this world: those who understand binary, and those who don't. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.9 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iEYEARECAAYFAkoxh2EACgkQusUmHkh1cnrFZQCdHXiIZUFUKFcDO/CktUXBc4H9 yNkAn0jZPy4YkJ/rBO9hP64F6xF51Q56 =jKDv -----END PGP SIGNATURE----- ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
