Non installate NoScript
Le estensioni di Firefox sono pericolose. Non solo le estensioni possono essere scritte male e contenere dei bug e compromettere la "sicurezza" di Firefox, ma una estensione può fare qualsiasi cosa quando la installate.
Detto questo, esiste questa estensione chiamata NoScript che in sostanza promette di incrementare la sicurezza di Firefox disabilitando in tutto o in parte i javascript contenuti nelle pagine Web. Io ho smesso di usarla molto tempo fa quando ho capito che in sostanza questa estensione offre due opzioni, disabilita tutto, abilita tutto, inserendo i dominii in una blacklist e una whitelist. Dal punto di vista della "sicurezza" questo implica che NoScript, come tutti i metodi basati sulle liste si-no, non serve a nulla.
La cosa peggiore però è capitata di recente quando l'autore di NoScript, per evitare che le pubblicità del suo sito fossero bloccate da ADBlockPlus (un altra estensione di Firefox), ha fatto in modo che l'installazione di NoScript andasse automaticamente a modificare le impostazioni di ADBlockPlus. Questa operazione "silente" non solo è sbagliata in generale per qualsiasi software ed in particolare per le estensioni di Firefox ma è tanto più grave quando viene prodotta da un software che promette "sicurezza" ai propri utenti.
Maggiori informazioni qui: Attention NoScript users
Quindi il mio suggerimento è di non utilizzare NoScript, perché non incrementa la vostra sicurezza in maniera significativa e perché il suo autore dimostra di essere inaffidabile. Se volete potete semplicemente aggiungere questa stringa alle regole di ADBlockPlus: "http://*$script,third-party", bloccherà tutti gli script che provengono da dominii terzi rispetto a quello che state visitando. Se necessario si può poi creare una eccezione con "@@http://www.blogger.com/widgets/*$script".
Post
9 comments:
Lorenzo, te lo scrivo molto chiaramente e sinceramente: stai sbagliando la tua valutazione sull'"affaire" NoScript vs Adblock Plus.
Sia Maone che Palant hanno le proprie colpe, ho letto Maone scusarsi e poi spiegare le sue ragioni quindi scusarsi anche di quelle perché (parole sue) ammette che agire in um momento di "rabbia" gli ha fatto fare una figura ancora peggiore.
Non ho letto però le scuse di Palant. Scuse che ritengo altrettanto necessarie vengano fatte.
Se Maone ha agito "per rabbia", Palant invece ha agito "con premeditazione".
Quindi come dice il proverbio "chi semina vento raccoglie tempesta".
Ora la tempesta s'è scusata ma, ripeto, non ho ancora sentito un "soffio" di scusa dal vento...
Ah, giusto per chiarezza: non ho mai usato NoScripts in vita mia, ma sono invece un utilizzatore di Adblock Plus sin dalla sua prima release per cui non posso essere nemmeno tacciato di partigianeria.
Secondo me sei tu che stai sbagliando valutazione.
Per prima cosa Palant o chi per lui non hanno fatto altro che aggiungere le pubblicità delle pagine di Maone alla Easylist.
Io non uso Easylist proprio perché preferisco decidere IO cosa bloccare e cosa no. Ma non vedo ragione perché le pubblicità del sito X debbano essere bloccate e quelle di Maone, che tra l'altro sono sempre più invasive, invece no. Seguendo questa linea di pensiero, qualsiasi concessionaria di pubblicità "X" sarebbe (più di Maone) autorizzata ad attaccare, "fisicamente" e non solo a chiacchere, ADBlockPLus e/o qualsiasi strumento che abbia finalità analoghe. La questione del "poverino, deve campare anche lui", vale anche per il sito del Corriere.
Per altro trovo anche abbastanza schizofrenica l'idea di Maone di creare uno strumento per "bloccare" dei contenuti dei siti Web e poi pretendere che i propri contenuti non siano soggetti alla stessa legge, perché "più uguali" degli altri.
Maone invece, mosso come certi miei conoscenti, dalla scoperta che con AdSense e similia si guadagnano dei soldi, ha fatto ben altro. Ha pianificato ed eseguito, distribuendo gli appositi "aggiornamenti" alla sua estensione, un "hackeraggio" dei browser di tutti i suoi utenti, in modo che fossero "obbligati" a caricare le sue pubblicità e quindi a "pagare" il relativo obolo a Maone. Questa cosa non è ne una novità ne un gesto impulsivo.
Delle scuse me ne frego. Viviamo in un mondo dove nessuno ormai si prende delle responsabilità. Per me Maone poteva fare benissimo a meno di scusarsi e ho il dubbio che se non avesse corso il rischio di essere eliminato da AMO, gli eventi avrebbero preso tutta un'altra piega.
Comunque, io vedo la cosa da un punto di vista meramente tecnico. Abbiamo una estensione, NoScript, che non solo non mantiene quello che promette, cioè in sostanza non incrementa la "sicurezza" di Firefox ma il cui autore ne ha fatto uno strumento di malaware. Quindi c'è un doppio motivo per NON installare/usare questa estensione.
Putroppo in generale questa vicenda dimostra che NESSUNA estensione è "affidabile" e "sicura", dato che di fatto non esiste una entità preposta alla verifica dei sorgenti.
Ah, giusto nel caso ti venisse il dubbio, essendo questo il mio blog, posso benissimo essere "di parte". Anche questo riflesso condizionato di relativizzare tutto e dare cosi un colpo al cerchio e uno alla botte e nessuno ha torto e nessuno ha ragione, per me è patetico segno dei tempi.
Lorenzo, io non ho detto che tu sei di parte, ho specificato che IO non lo sono. ;)
Non relativizzo e non do colpi a cerchi e botti, dico solo che ho visto una persona col coraggio delle sue azioni ammettere i propri errori ma non ho visto la controparte ammettere i suoi.
Giorgio (e qui cito un mio caro amico) "ha fatto il danno vero rilasciando del codice malizioso (nel senso che va ad inficiare il funzionamento di un’altra estensione)", ma Wladimir ha premeditatamente e proditoriamente agito in malafede sin dall'inizio (più di un anno fa) della storia.
Comunque almeno una cosa buona è uscita da tutto questo bailamme: la policy delle estensioni di AMO verrà cambiata e questo è un fatto! :)
Non capisco cosa ci sia di "proditorio" (significa a tradimento) e di "malafede" nel fatto di bloccare le pubblicità di Maone.
Nel mio piccolo è stata la prima cosa che ho fatto quando ho incontrato il suo sito la prima volta.
E ripeto, non capisco perché Palant o Ciccioformaggio siano "eroi" se bloccano le pubblicità del Corriere e "carogne" quando bloccano quelle di Maone.
Le critiche mosse da Palant a NoScript da un punto di vista tecnico possono essere più o meno condivisibili (personalmente alcune le trovo soltanto evidenti) ma ancora non ci vedo niente di censurabile.
Ho letto i cambiamenti proposti alla policy di AMO e non cambia una virgola rispetto al problema fondamentale e cioè che dentro qualsiasi estensione ci può essere qualsiasi cosa. Certo, dopo una segnalazione presumo che AMO possa rimuovere l'estensione incriminata. Nel frattempo però un tot cento-mille-milioni di utenti l'hanno installata.
E poi non è nemmeno detto che AMO sia l'unica sorgente di estensioni del Web.
E poi non è nemmeno detto che AMO sia l'unica sorgente di estensioni del Web.Verissimo, per noi italiani infatti esiste anche www.extenzilla.org ;)
Appunto.
Inoltre, una estensione potrebbe per esempio installarsi a partire da AMO e poi scaricare un update dal dominio vattelapesca.
Il fatto è che le estensioni possono fare TUTTO.
Fintanto che non ci sarà una fase di "code review", cioè di esame del codice sorgente della estensione, che sia precedente l'autorizzazione alla pubblicazione, le estensioni saranno un problema potenzialmente
critico. E tra l'altro non adeguatamente pubblicizzato presso gli utenti meno "esperti".
Anche qui, Mozilla investe nel correggere le falle il piu' rapidamente possibile ma tace sulle estensioni.
Anche qui, Mozilla investe nel correggere le falle il piu' rapidamente possibile ma tace sulle estensioniMozilla non ha fisicamente la possibilità (e a mio parere nemmeno il dovere!) di controllare ogni riga di codice di ogni estensione che viene caricata su AMO.
Prima di questo "affaire" esisteva il seguente agreement: https://wiki.mozilla.org/AMO:Legal/Original_Developer_Agreement che a seguito appunto degli accadimenti in questione è stato modificato in questo modo: https://wiki.mozilla.org/AMO:Legal/Current_Developer_Agreement
IMO, mi pare logico che Mozilla si faccia carico dell'hosting delle estensioni (facilita così l'utente finale nella ricerca di ciò che gli serve e ha, allo stesso tempo, a sua disposizione un potente strumento di marketing) ma è altrettanto logico che gli autori delle estensioni debbano essere considerati come gli unici responsabili di ogni azione "maligna" causata dalle stesse, sia essa volontaria o involontaria.
Lorenzo, sarebbe come se (che so...) Tucows.com fosse ritenuto responsabile se l'autore di un software scaricabile da quel sito vi avesse inserito (non importa se di proposito o meno) del malware.
Puoi essere d'accordo con me? Spero di sì! :)
Non è questione di essere d'accordo, è questione di avere una proposta alternativa. Io non ce l'ho, se ce l'avessi la dicessi.
Se è vero che Mozilla non ha la possibilità fisica di verificare i sorgenti delle estensioni allora in sostanza si tratta di sperare e pregare che gli autori delle estensioni siano tutti tecnicamente molto competenti, in modo da non compromettere performance e "sicurezza" di Firefox e del sistema e anche capaci di darsi da sé delle direttive "etiche" inderogabili e di rispettarle.
Mi sembra abbastanza ovvio che sia una pia illusione.
Da quanto detto sopra derivano due corollari.
Mozilla dovrebbe dichiarare molto più chiaramente non solo che non è in grado di fornire alcuna garanzia sulle estensioni ma anche spiegare agli utenti meno "avvertiti" che le estensioni quando vengono installate hanno il "potere" di fare qualsiasi cosa sia a Firefox che in generale al computer su cui Firefox si trova.
Io non decido per Mozilla. Se decidessi io, NON assocerei Mozilla alle estensioni a meno di non essere in grado di verificarle e approvarle o respingerle. Perche' se un utente va dentro Firefox > tools e trova una finestrella che gli "raccomanda" delle estensioni, può a buon diritto considerare Mozilla responsabile delle estensioni che raccomanda. Il sito AMO è solo un attimo più indiretto ma ancora, associando direttamente il nome Mozilla/Firefox alla estensione X, porti comunque l'utente ad estendere la "fiducia" accordata a Mozilla anche agli autori delle estensioni.
Sarebbe interessante sentire il parere di qualcuno esperto di "legge", cosa succederebbe se un utente di Firefox facesse causa a Mozilla per una estensione "raccomandata" da Firefox o nel sito AMO.
Posta un commento