.:: Securnetwork.net Blog – Massimo Rabbi ::.

Pubblico volentieri la “brutta” esperienza di Luca che si è iscritto a ebay per l’acquisto di un paio di banchi nuovi di ram per il proprio portatile poco tempo fa.
Il titolo come da lui suggeritomi potrebbe essere “COSE DA NON FARE SE SEI UN NUOVO UTENTE EBAY: Lasciare un feedback neutro ad una persona con feedback alto!“.
Riassumo brevemente i fatti come sono andati:
1. Il pc di Luca, monta banchi di ram SODIMM 2100. Luca decide l’acquisto di un paio di banchi SODIMM PC2700 per il proprio notebook, che l’inserzione dava come retrocompatibili con tutte le schede madri che montano PC2100, e quindi pensa che queste ram possono andare bene.
2. Effettua il pagamento dopo aver “vinto” l’asta col classico “Compralo subito”
3. Riceve le Ram ma dopo averle montate e aver fatto svariate prove anche con altri notebook nota una incompatibilità con il proprio pc e non solo. In generale su 2 portatili che montano SODIMM PC2100 non funzionano, mentre su tutti quelli che montano le PC2700 vanno.
4. Prova a segnalare la cosa al venditore che pero’ non è intenzionato a riprenderle indietro.
5. Decide così di lasciare feedback neutro “Venditore Ok. Ram nn funz con tutti i PC che usano PC2100. E non si restituisce!”
6. Il venditore commenta come segue “commento da incompetente, il funzionamento dipende dal voltaggio richiesto” e lascia feedback negativo “Spara a zero su un prodotto che non conosce dopo proposta di rimborso parziale.”
7. Luca scrive una mega mail in cui punto per punto spiega cosa ha fatto e perchè, specificando quanto sia fuoriluogo chiamarlo incompetente e dove richiede spiegazioni competenti sulle motivazioni per le quali questa super ram non funziona.
8. Il venditore dopo di questa risponde che aveva proposto un rimborso parziale (non assolutamente vero), e spiega le sue motivazioni del feedback dicendo che l’italiano era un po’ equivoco, e che per come era scritto si poteva evincere anche che la totalità delle ram non funzionava su schede che montano ram PC2100, e che “se non mi va bene il feedback, posso anche richiedere ad e-bay di eliminarlo”. Preso dall’impressione di parlare con un muro di gomma Luca lascia perdere e si tiene la ram.
9. Luca, dopo 1 settimana, non riceve alcuna giustificazione tecnica sul mancato funzionamento della ram, pertanto ha intenzione di ritirare il feedback.

La mail scritta da Luca è disponibile qui.
Ho oscurato il cognome del venditore e non ho volutamente fatto riferimento al suo id ebay.
La mia opinione personale in merito è che il venditore è stato decisamente scorretto nel non riprendere indietro la merce. Tempo fa mi successe una cosa simile con un paio di banchi da 1 giga, si rivelarono incompatibili con la scheda madre mia e di un mio amico. Il venditore però in quel caso si rivelò corretto e riprese indietro le ram restituendo l’importo.

P.S: Thx a Luca per le correzioni alla prima bozza del post

Carlo mi ha suggerito proprio ieri un sito veramente interessante che consente di scaricare in modo veloce e immediato gli mp3 che sono memorizzati sulle svariate pagine myspace delle band musicali o perchè no anche dei semplici utenti.
La procedura è veramente semplice.

1) Collegarsi all’indirizzo internet  http://www.myspacemp3.org/

2) Inserire il nome della band nell’apposito campo e cliccare sul tasto “Get Songs”

3) Una volta recuperata la lista delle canzoni, cliccare sull’icona a lato per prepare il download

4) Una volta pronto il link, scaricate pure il vostro mp3!

Michael Zalewski ha scovato alcune interessanti vulnerabilità che affliggono i due browser più diffusi.
Online infatti sono state postate ben quattro demo che illustrano bug non ancora conosciuti di Internet Explorer 6 e 7 e di Firefox 2.0.

Una “race condition” durante la navigazione può essere sfruttata per confondere la domain policy di Internet Explorer. Questa tipicamente impedisce che una pagina web di un dominio A acceda a contenuto che si origina da un dominio B.
Zalewski è riuscito a bypassare questa restrizione usando Javascript.
La prima demo tuttavia è abbastanza particolare e dipende, anche stando a quanto riportato, da svariati fattori fra cui il network timing.
Nonostante questo lo script è in grado di recuperare (dopo un test che puo’ durare anche un minuto) il cookie di Google.pl.
Sembra sia anche possibile manipolare i dati dei form in altre pagine web. Secondo Zalewski questo mina completamente il modello di sicurezza di Internet Explorer.

La seconda demo dimostra come una pagina web malevole aperta in Firefox sia in grado di leggere l’input di tastiera in un’altra pagina web aperta. Stando alla descrizione la causa del problema è che IFRAMES can può essere sostituito usando il metodo document.write(). Il problema è conosciuto sin dal 2006, ma è stato risolto solamente in parte.

La terza demo mostra come un sistema possa essere spiato sfruttando un’altra vulnerabilità di Firefox.
Il test mostra un ipotetico gioco online che invita l’utente a premere invio in momenti specifici. Nel fare questo l’utente in realtà non fa altro che confermare alcune message box di sicurezza nascoste che abilitano l’exploit a leggere il contenuto della directory root C:\
In linea teorica questa vulnerabilità potrebbe essere sfruttata anche per eseguire o scaricare files.

Per finire Zalewski presenta un problema di Internet Explorer 6, che può essere sfruttato per spoofare la barra degli indirizzi. Tuttavia l’exploit non sembra funzionare correttamente con tutte le versioni.
Come se non bastasse, Thor Larholm ha riportato un altra vulnerabilità per Firefox 2.0.0.4, che permette di leggere files sia su sistemi *nix che Windows. Per far ciò è sufficiente digitare un URL nella forma specifica resource://-protocol-handler.

RIFERIMENTI:
- Assorted browser vulnerabilities, segnalazione di Michal Zalewski
- Unpatched input validation flaw in Firefox 2.0.0.4, segnalazione di Thor Larholm

Sono passato poco fa sul sito degli FSC per vedere gli ultimi aggiornamenti sul percorso musicale di Davide e del gruppo, e ho notato con piacere che sono stati “postati” in home page su Mtv.it
Potete trovare nella sezione “Emergenti” una pagina a loro dedicata con alcune info, ma soprattutto con la possibilità di ascoltare l’album per intero e vedere i video finora realizzati
Il link è questo.
Che dire buona visione e buon ascolto!