.:: Securnetwork.net Blog – Massimo Rabbi ::.

Innanzitutto parto col ringraziare il mio collega Massimo Zugno aka Zuegg per avermi segnalato come fixare questo fastidiosissimo problema.
Riassumendo: dopo aver reinstallato la IE Developer Toolbar di Microsoft (il “Firebug” per IE giusto per intenderci) ho cominciato a notare ogni volta che avviavo Internet Explorer 7, la comparsa di una fastidiosissima popup che chiede l’avvio di uno dei debugger tra quelli installati nel sistema.
Questo comportamento è tipico quando un’applicazione va in crash o si verificano errori che si vuole magari andare a debuggare usando il debugger di Visual Studio per esempio.
Accortomi che il problema derivava dalla fantomatica IE Dev Toolbar ho chiesto al buon Massimo se era mai incappato nel problema.
Ecco quindi che mi accenna al fatto che aveva proceduto al patching “manuale” della dll IEDevToolbar.dll proprio per far scomparire questo fastidioso popup.
Le istruzioni su come effettuare le modifiche sono disponibili su questa pagina.
Riassumendo:
1. Chiudere eventuali istanze aperte di Internet Explorer.
2. Individuare il file C:\Programmi\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
3. Utilizzare un tool come Resource Extractor per Total Commander o XN Resource Editor (io ho usato questo) per individuare ed estrarre la risorsa TXT/235/1033
4. Aprire con un qualsiasi editor di testo il file estratto che chiameremo 235.txt e individuare la sezione di codice:

5. Modificare la riga segnata in rosso aggiungendo un blocco try-catch.
6. Salvare il file 235.txt e rimpiazzare la “vecchia” risorsa del file originale con quella nuova.

Da adesso in poi non dovreste più vedere alcun popup
Grazie ancora a Massimo!

Da qualche giorno ho cominciato a darmi allo studio un po’ piu’ serio di C#.
In passato infatti mi ero cimentato nell’apprendimento con la tecnica “Learn by examples”.
Libri alla mano
1. Programming C# 4th Edition di Jesse Liberty

2. Accelerated C# 2008 di Trey Nash

e Visual Studio 2008 installato sto procendo a piccoli passi (lavoro permettendo) nella “mia avventura”.

Oggi volevo condividere una piccola curiosità relativa a Visual Studio.
In particolare vi siete mai chiesti come fare a ripulire gli elenchi che compaiono nei “Recent Files” o “Recent Projects” sotto la voce di menu File? Io si
In particolare da registro di sistema vi sarà sufficiente individuare le chiavi:
HKEY_CURRENT_USER\Software\Microsoft\VisualStudio\<versione>\ProjectMRUList
e
HKEY_CURRENT_USER\Software\Microsoft\VisualStudio\<versione>\FileMRuList

Una volta trovate eliminate le voci inutili o che vi interessa rimuovere.

Che Google fosse da tempo diventato strumento “fidato” di white/grey/black (o che altro colore vogliate) hat è assai noto.
Quello su cui volevo soffermarmi in questo post è quanto pericolosa possa diventare una installazione “grossolana” di questo application server.
In particolare la JMX-Console di JBoss di default non prevede alcun tipo di autenticazione, per cui puntando all’indirizzo tipico http://macchina-jboss:8080/jmx-console/ è possibile accedere a tutta la parte informativa e di configurazione del server.
La cosa preoccupante e pericolosa evidenziata in questo interessante pdf, è come si possa riuscire facilmente a deployare una webapp che ci consenta di lanciare comandi sul server.
Il problema è che questi comandi verranno eseguiti con i privilegi dell’utente con il quale sta girando il JBoss server.

Trovare i server vulnerabili è piuttosto semplice, basta inserire su google le seguenti stringhe di ricerca:
intitle:”jboss management console” “application server” version inurl:”web-console” o intitle:”JBoss Management Console - Server Information” “application server” inurl:”web-console” OR inurl:”jmx-console”

Quello che si ottiene è una lista abbastanza lunga di macchine straniere (e purtropppo non solo) appartenenti a domini governativi, aziendali e istituzionali.

ATTENTI A QUELLO CHE FATE!

L’uso dell’istruzione window.open per l’apertura di una semplice finestra di popup può presentare alcune sorprese con Internet Explorer 7.
Ci si puo’ ritrovare dopo aver “provato” fino all’ultimo pixel le dimensioni di altezza e larghezza, a fare i conti con gli elementi in pagina tagliati o non correttamente visualizzati.
La brutta sorpresa la si ha quando dal classico sviluppo in locale con test su “localhost” si passa sul web magari sul dominio del proprio sito web o del cliente.
Il fattore determinante dell’avere un layout “scazzato” è nella fattispecie la presenza della barra degli indirizzi bloccata e non editabile sopra e la status bar sotto.
Tutto questo nonostante si sia stati attenti a chiamare la popup con la miriade di parametri (toolbars, menubars, status) impostati a no o 0 per far scomparire tutto il possibile.

Il problema è dovuto fondamentalmente al sistema di Protezione di IE. Lavorando a zone tutto quello che sta al di fuori dei siti della intranet locale o dai siti attendibili per lui è un potenziale sito dannoso e quindi “preferisce” rendere l’utente sicuro del percorso visitato (addressbar non editabile) e del fatto che non si tratti di phishing (statusbar).
Se volete quindi farvi un’idea di come verrà visualizzata la vostra popup una volta online e regolarvi di conseguenza onde evitare la potenziale domanda del cliente “Ma come mai vedo i tasti tagliati o il logo è a metà?” potete rendere “potenzialmente insicuro” agli di IE7 il vostro sito web su localhost.
Disabilitate le check dal tab di sicurezza:

In questo modo visitando le pagine web sul vostro localhost o 127.0.0.1 e aprendo le popup sarete in grado di vedere come comparirà online.
Tralasciando il fatto che questa scelta degli sviluppatori di IE7 di visualizzare addressbar e statusbar è stata fatta per motivi di sicurezza (tra cui in primis sicuramente il phishing) qualora voleste disabilitare il comportamento non dovete fare altro che aggiungere il sito online alla lista dei siti attendibili.
Questa pratica tuttavia la sconsiglio, meglio piuttosto adeguarsi e progettare fin dall’inizio la popup e la disposizione del suo contenuto con la presenza delle due barre.

Chi conoscesse qualche altro trick per far scomparire le barre me lo faccia sapere, sarò ben lieto di postarlo