google chrome, "questo tipo di file può danneggiare il computer"

[l...@email.it]

tanto per fare qualcosa di nuovo sto provando ad utilizzare chrome (lo
sto usando anche adesso).

leggendo un post di rootkit ho deciso di scaricare ed installare
dropbox (grazie, non lo conoscevo!).

il file da scaricare è un normalissimo .exe. quando inizio il
download, chrome mi fa vedere un messaggino "questo tipo di file può
danneggiare il computer".

ora, mi metto nei panni di un utente nuovo alla rete (ce ne sono
ancora a pacchi, ad esempio un mio amico poliziotto 40enne che si è
comprato il portatile perché l'ha visto a 350 euro al supermercato -
ottima scelta, l'avrei preso anche io, peccato siano finiti, e subito
dopo una "chiavetta" per la connessione internet).

ora, lui si trova davanti al tipico portatile preinstallato di oggidì,
con tremila cose che non servono a niente se non proprio dannose (ad
es. ie8) e senza cose che servono davvero (ad es. un antivirus ecc.).
io cerco di renderlo autonomo, gli dico cerca, prova, fai, basta che
stai attento.

però se deve ascaricarsi, ad es., un antivirus, si troverebbe di
fronte quel messaggio. "il file può danneggiare il computer? e io
non lo scarico". allora io gli dovrei dire "guarda, a volte questi
messaggi sono da prendere sul serio, a volte no. ad esempio, se
scarichi dal produttore di un sw o da sourceforge tutto bene...".

ma che ne sa lui di chi sia il vero produttore di un sw (avete idea di
quanti ragazzini presunti "svegli" si siano installati copie taroccate
di emule?) o di cosa sia sourceforge? grasso che cola se riesce a
mandare un'email!

quindi penserà: "vabbè, quei messaggi lì non vogliono dire niente". e
ignorerà tutti gli avvisi alla prudenza. dirà (cliccherà) sempre ok
ok ok ok, basta che ci sbrighiamo...

mi domando allora se questa eccessiva prudenza non sia
controproducente.

[Diavolinux]

l...@email.it ha scritto:

> tanto per fare qualcosa di nuovo sto provando ad utilizzare chrome (lo
> sto usando anche adesso).
>
> leggendo un post di rootkit ho deciso di scaricare ed installare
> dropbox (grazie, non lo conoscevo!).
>

> il file da scaricare � un normalissimo .exe. quando inizio il
> download, chrome mi fa vedere un messaggino "questo tipo di file pu�
> danneggiare il computer".
>

Winzozziani di tutto il mondo unitevi!!!

Un normalissimo .exe � un eseguibile.. il ch� tradotto significa che pu�
essere innoquo o devastarti il PC, tutto dipende da ci� che il
programmatore ha scritto nel codice..

Il ch� ci riporta alla questione.. chi ha messo in rete quel .exe?

banalmente ed ingenuamente l'utonto che scarica un .exe da un sito
"fidato" (quello del produttore ad esempio) � portato a credere che pure
il file in questione sia "fidato", mentre potrebbe benissimo essere
stato sostituito da un analogo .exe malevolo all'insaputa del
produttore/creatore/diffusore.

Ora, visto che la crittografia a chiave pubblica esiste da anni..
basterebbe che sti imbecilli di programmatori firmassero digitalmente i
loro .exe o quanto meno un file di testo contenente gli hash (md5 e
sha1) dello stesso prima di distribuirli in rete..

Magari inserendo pure delle indicazioni per gli utonti per la verifica
delle suddette firme e relativi hash..

> mi domando allora se questa eccessiva prudenza non sia
> controproducente.

Quale prudenza? Bisognerebbe impedire tasativamente di
scaricare/installare qualsiasi cosa che non sia preventivamente stata
firmata digitalmente a garanzia che ci� che si installa sia
efettivamente ci� che ci si aspetta di installare, questa sarebbe prudenza.

Basterebbe integrare nel sistema operativo un applicazione che verifica
le firme digitali dei suddetti file .exe per impedire il 90% del
proliferare di virus, batteri e cagate varie.

Nondimeno bisognerebbe istruire gli utonti che sino ad oggi hanno
ignorato ogni messaggio d'errore ad essere paranoici prima di installare
qualcosa di scaricato da un sito anonimo o da qualsiasi sito.

[booof]

l...@email.it ha scritto:

> tanto per fare qualcosa di nuovo sto provando ad utilizzare chrome (lo
> sto usando anche adesso).

Se hai tempo prova anche linux!!

[l...@email.it]

certo, appena:

1. mi funzionerà la scheda wifi senza problemi;
2. mi sarà possibile regolare la luminosità dello schermo;
3. mi sarà possibile settare risoluzioni "strane" senza dover
impazzire (non faccio né l'hardwarista, né il sistemista né voglio
imparare a farlo).

se no mi spiace, ma se devo avere un portatile scollegato o con lo
schermo versione abbagliante/lampada abbronzante mi tengo windows e
buonanotte.

[l...@email.it]

On 21 Lug, 17:21, Diavolinux <nos...@nonesisto.tld> wrote:

> Basterebbe integrare nel sistema operativo un applicazione che verifica
> le firme digitali dei suddetti file .exe per impedire il 90% del
> proliferare di virus, batteri e cagate varie.

buona idea. secondo te perché non lo fanno?

[∞]

l...@email.it <l...@email.it> wrote:

> > Basterebbe integrare nel sistema operativo un applicazione che verifica
> > le firme digitali dei suddetti file .exe per impedire il 90% del
> > proliferare di virus, batteri e cagate varie.
>
> buona idea. secondo te perché non lo fanno?

Perché la stragrande maggioranza del software anche legittimo che gira
in rete non è firmato. Comunque Windows MOSTRA la firma o l'assenza
della tale per tutti i file scaricati da Internet alla prima esecuzione.
— ∞

[booof]

> certo, appena:
>
> 1. mi funzionerￜ la scheda wifi senza problemi;
> 2. mi sarￜ possibile regolare la luminositￜ dello schermo;
> 3. mi sarￜ possibile settare risoluzioni "strane" senza dover
> impazzire (non faccio nￜ l'hardwarista, nￜ il sistemista nￜ voglio
> imparare a farlo).
>

diamine!! strano tutto sto casino...

[Paolo De Dionigi]

∞ ha scritto:

Non può essere questo il motivo. Rappresenterebbe un problema firmare i
propri software per un qualsiasi produttore commerciale?
Per tutti gli altri non sarebbe comunque un problema perchè basterebbe
che il check indicasse che manca la firma e se si vuole procedere è a
proprio rischio. Allora si che si potrebbe dire agli utonti se compare
il messaggio non installate.

--
-------------------------------------------

Paolo De Dionigi
www.atfriends.net
Responsabile Tecnico Zen Cart Italia

[∞]

Paolo De Dionigi <PaoloDe...@gmail.com> wrote:

> Non può essere questo il motivo. Rappresenterebbe un problema firmare i
> propri software per un qualsiasi produttore commerciale?

Costa. Se è commerciale direi che dipende.

> Per tutti gli altri non sarebbe comunque un problema perchè basterebbe
> che il check indicasse che manca la firma e se si vuole procedere è a
> proprio rischio. Allora si che si potrebbe dire agli utonti se compare
> il messaggio non installate.

Quel messaggio compare già. — ∞

[l...@email.it]

On 22 Lug, 07:12, booof <bo...@boooofff.it> wrote:
> > certo, appena:
>
> > 1. mi funzionerà la scheda wifi senza problemi;
> > 2. mi sarà possibile regolare la luminosità dello schermo;
> > 3. mi sarà possibile settare risoluzioni "strane" senza dover

> > impazzire (non faccio né l'hardwarista, né il sistemista né voglio

> > imparare a farlo).
>
> diamine!! strano tutto sto casino...

e con n distribuzioni diverse su due portatili diversi... non è che
non ci ho provato, è che nella vita ho altro da fare.

[Diavolinux]

l...@email.it ha scritto:

> On 21 Lug, 17:57, booof <bo...@boooofff.it> wrote:
>> l...@email.it ha scritto:
>>
>>> tanto per fare qualcosa di nuovo sto provando ad utilizzare chrome (lo
>>> sto usando anche adesso).
>> Se hai tempo prova anche linux!!
>
> certo, appena:
>

> 1. mi funzioner� la scheda wifi senza problemi;
> 2. mi sar� possibile regolare la luminosit� dello schermo;
> 3. mi sar� possibile settare risoluzioni "strane" senza dover
> impazzire (non faccio n� l'hardwarista, n� il sistemista n� voglio

> imparare a farlo).
>
> se no mi spiace, ma se devo avere un portatile scollegato o con lo
> schermo versione abbagliante/lampada abbronzante mi tengo windows e
> buonanotte.
>

Per questo hanno inventato i Mac...

cmq, non sarebbe una cattiva idea mantenere Winbug e farci girare Linux
in una macchina virtuale..

Se ti pu� interessare prova VirtualBOX di Sun, � free ed � abbastanza
stabile

[TripleM]

l...@email.it ha scritto:

> con tremila cose che non servono a niente se non proprio dannose (ad
> es. ie8) e senza cose che servono davvero (ad es. un antivirus ecc.).

Non ti sembra esagerato definire ie8 dannoso? su quali basi??

Ciao
--
MMM

[Diavolinux]

∞ ha scritto:

> Paolo De Dionigi <PaoloDe...@gmail.com> wrote:
>
>> Non può essere questo il motivo. Rappresenterebbe un problema firmare i
>> propri software per un qualsiasi produttore commerciale?
>
> Costa. Se è commerciale direi che dipende.

Ci sono CA che emettono certificati a 38USD anno (ipsCA)

Inoltre i produttori di S.O. possono benissimo gestire una propria CA ed
impedire l'installazione di software "NON FIRMATO" o quanto meno rendere
l'installazione più difficoltosa scoraggiando gli utonti da installare
software di dubbia provenienza.

Con pochi $ si garantirebbe l'utonto ed anche il produttore del software
stesso che a quel punto potrebbe gestire anche il discorso licenze
rilasciando una licenza firmata digitalmente per una specifica
organizzazione o individuo.

Ma poi a chi venderebbero gli antivirus?

[∞]

Diavolinux <nos...@nonesisto.tld> wrote:

> Ci sono CA che emettono certificati a 38USD anno (ipsCA)

Fa anche cert con la capability di code signing? Quelli costano, se non
erro. — ∞

[Diavolinux]

∞ ha scritto:

Segreto! ..non dirlo in giro mi raccomando sennò gli roviniamo il business..

con i normali certificati ssl (certificato + key + certificato della CA)
puoi firmare qualsiasi file e generare un pkcs7 (.p7m)

Quindi puoi ad esempio creare una form web, inserire i dati immessi
dall'utente in un DB, generare un pdf al volo con FPDF (o simile) e
firmarlo direttamente con i certificati ssl del server

o in alternativa puoi firmare un fiele .p7m off-line e metterlo in rete

Volere è potere.. c'è da chiedersi perché si preferisca continuare a
produrre e commercializzare sistemi operativi che richiedono antivirus
anziché produrre S.O. su base *.nix come OSX o Linux che non hanno sti
problemi.

Ovviamente aziende come Symantec..

"In Fiscal 2008, we achieved both record revenue and earnings per share.
Non-GAAP revenue1 grew 13% to more than $5.93 billion"

Rendo l'idea? 5,93 Miliardi di Dollari..

Soldi spesi bene non c'è che dire... antivirus... non vorrei mai che il
mio Mac si prendesse il raffreddore..

Chissà magari ci vendono pure il vaccino per l'influenza "A"..

Poi si chiedono perché gli utenti Linux e Mac considerano gli utenti Win
dei deficenti...

Forse perché acquistano prodotti volutamente scadenti che richiedono
continua manutenzione al solo scopo di spillare loro quattrini..

Forse perché nessun prodotto tranne il software viene venduto senza
garanzia e senza alcuna responsabilità da parte del
produttore/distributore..

Prova a vendere qualsiasi altro prodotto diffettoso di fabbrica e vedere
cosa succede, quando un aereo cade l'azienda produttrice apre un
inchiesta parallela, segnala a tutti i suoi clienti il difetto e se
necessario sostituisce a spese proprie la parte difettosa, e questo
accade per qualsiasi prodotto..

Quando un Mac (OSX) ha un problema la Apple lo risolve punto! Perché il
cliente ha pagato per avere qualcosa che funziona non per avere delle
schermate blu con scritte "errore irreversibile .... l'applicazione sarà
terminata"

Terminata un cazzo! Io ci lavoro, se mi vendi un prodotto difettoso
paghi per il tempo che mi fai perdere a ripararlo punto!

Prima o poi dovrà passare l'idea che il software deve funzionare..

[Paolo De Dionigi]

∞ ha scritto:

Appunto, ma con la premessa che ho fatto diventerebbe utile quel messaggio.

[∞]

Diavolinux <nos...@nonesisto.tld> wrote:

> Segreto! ..non dirlo in giro mi raccomando sennò gli roviniamo il business..

Peccato che i validatori non considerino valida una firma software il
cui certificato non includa la capability di code signing (sono certo
che in OS X sia così -- anche se quello accetta pure gli autofirmati --
e discretamente convinto che sia così anche sotto Windows). — ∞

[l...@email.it]

un ie8 preconfigurato per oscurare la barra degli indirizzi e mostrare
altre barre commerciali a mio avviso è dannoso perché impedisce
all'utente di fare scelte consapevoli.

considera che per telefono non sono riuscito a far andare una persona
ad un indirizzo web specifico. ho lasciato perdere per disperazione.
quando sono andato lì fisicamente ho capito perché.

come se non bastasse qualsiasi cosa che si ritenga un successore di
ie6 è dannoso in quanto tale. misocrosoft dovrebbe dire "ok, ie6 è
stata una gran ciofega, scusate. adesso, dopo anni, abbiamo imparato
a fare un browser decente. gli cambiamo anche nome per farvi capire
che siamo sinceri", cose del genere.

[Diavolinux]

∞ ha scritto:

verifica firma: (vedi X509v3 Key Usage: )

[utonto]$ openssl smime -pk7out -inform DER -binary -nodetach -in
test.pdf.p7m | openssl pkcs7 -text -noout -print_certs

Certificate:
Data:
Version: 3 (0x2)
Serial Number: 64212 (0xfad4)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=ES, ST=Barcelona, L=Barcelona, O=IPS Certification
Authority s.l., O=gen...@ipsca.com C.I.F. B-B62210695, OU=ipsCA
CLASEA1 Certification Authority, CN=ipsCA CLASEA1 Certification
Authority/emailAddress=gen...@ipsca.com
Validity
Not Before: May 5 15:04:10 2009 GMT
Not After : May 5 15:04:10 2011 GMT
Subject: C=IT, ST=cut, L=cut, O=cut, OU=cut,
CN=cut/emailAddress=cut
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:d8:4f:4e:5c:69:e0:62:10:be:2a:5b:14:28:f5:
<--cut

-->cut
05:6c:9c:9a:4a:fb:cd:f9:99:55:4e:87:d7:03:1f:
79:86:d2:b9:63:fb:ac:43:e3
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Cert Type:
SSL Server
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment,
Data Encipherment, Key Agreement
X509v3 Extended Key Usage:
TLS Web Server Authentication
X509v3 Subject Key Identifier:
0D:9A:08:92:42:2E ..cut..
X509v3 Authority Key Identifier:
keyid:0E:07:60:D4:39:C9:..cut..

X509v3 Subject Alternative Name:
email:zenim...@hotmail.com
X509v3 Issuer Alternative Name:
email:cut
Netscape Comment:
Organization Information NOT VALIDATED. CLASEA1 Server
Certificate issued by https://www.ipsca.com/
Netscape Base Url:
https://www.ipsca.com/ipsca2002/
Netscape CA Revocation Url:
https://www.ipsca.com/ipsca2002/ipsca2002CLASEA1.crl
Netscape Revocation Url:
https://www.ipsca.com/ipsca2002/revocationCLASEA1.html?
Netscape Renewal Url:
https://www.ipsca.com/ipsca2002/renewalCLASEA1.html?
Netscape CA Policy Url:
https://www.ipsca.com/ipsca2002/policyCLASEA1.html
X509v3 CRL Distribution Points:
URI:http://www.ipsca.com/ipsca2002/ipsca2002CLASEA1.crl
URI:http://wwwback.ipsca.com/ipsca2002/ipsca2002CLASEA1.crl

Authority Information Access:
OCSP - URI:http://ocsp.ipsca.com/

Signature Algorithm: sha1WithRSAEncryption
16:7f:81:2b:dd:97:c2:16:67:dd:67:0b:d4:d7:ed:aa:46:32:
ca:74:38:09:81:aa:76:4a:14:f6:b6:f2:3d:b5:a8:27:9e:33:
cut
7c:07:bb:f1:fc:a5:6c:dd:53:38:d1:c7:80:4c:3e:cb:70:4c:
2d:65:a9:8f:b3:10:52:9a:28:f2:b1:22:9b:20:3d:44:7f:95:
10:0e

[∞]

Diavolinux <nos...@nonesisto.tld> wrote:

> [utonto]$ openssl smime -pk7out -inform DER -binary -nodetach -in
> test.pdf.p7m | openssl pkcs7 -text -noout -print_certs

Non importa quello che dice OpenSSL, ma quello che dice il verificatore
di firma di Windows, per questo ragionamento. E sono discretamente certo
che non lo prenda, così. — ∞

[Marco d'Itri]

l...@email.it wrote:

>> Basterebbe integrare nel sistema operativo un applicazione che verifica
>> le firme digitali dei suddetti file .exe per impedire il 90% del
>> proliferare di virus, batteri e cagate varie.

>buona idea. secondo te perchￜ non lo fanno?
Perchￜ c'ￜ una grande differenza tra authentication ed authorization.

--
ciao,
Marco

[DAVIDE GOLINELLI]

PERCHE TUTTE LE VOLTE CHE SCSRICO UN IMMAGINE MI COMPARE SEMPRE IL FILE TH CHE NON MI CONSENTE DI SCARICARE LINMAGGINE DA ME SELEZIONATA' COME POSSO RISOLVERE IMMEDIATAMENTE IL PROBLEMA PER NON AVERE PIU DI QUESTI DISGUIDI'.