Al momento in Mozilla Firefox sono state disattivate per impostazione predefinita TUTTE le versioni del plugin Flash precedenti alla 18.0.0.204 in quanto considerate NON SICURE.

Questa misura di emergenza è stata presa unicamente al fine di garantire agli utenti un adeguato livello di protezione in quanto esse risultano affette da gravi problemi di sicurezza emersi nelle scorse ore: tali vulnerabilità risultano infatti già utilizzate da malintenzionati per la diffusione di virus e altri malware. Verrà dunque revocata non appena Adobe rilascerà un aggiornamento al plugin Flash.

Man mano che avremo notizie su questo argomento, avremo cura di pubblicare aggiornamenti a questo post.

Per ulteriori informazioni si rimandano gli utenti ai seguenti articoli:

• Perché è necessario attivare i plugin con un clic?
• Installare il plugin Flash

12.20 – aggiornamento: alla pagina di download di Flash è disponibile la versione 18.0.0.209 che dovrebbe essere risolutiva (il bollettino di sicurezza riportato in precedenza non contiene informazioni in merito). Inoltre, non sembra al momento esistere un aggiornamento per la versione 11.2 destinata ai sistemi operativi Linux).

18.20 – aggiornamento: Adobe ha dato ulteriori notizie e sembra che le due vulnerabilità siano effettivamente risolte nella versione 18.0.0.209 per Windows/Mac. Al momento non sembra essere ancora stata rilasciata una versione patchata per Firefox su Linux.

16/07/2015 – aggiornamento: finalmente è stata rilasciata da Adobe anche una versione aggiornata del plugin per Linux.

Questa è una nostra traduzione dell’articolo “A New Focus on Security in the Web Console” di Garrett Robinson pubblicato su Mozilla Security Blog, localizzata dal nostro Sandro "gialloporpora".

Agli sviluppatori web servono degli strumenti più efficaci per il debug delle pagine web alla ricerca di problemi legati alla sicurezza. Per questo motivo a partire da Firefox 23 alla Console web – il pannello incluso negli strumenti di sviluppo di Firefox che raccoglie vari messaggi d’errore e avvisi suddivisi in categorie di pertinenza – è stata aggiunta un’ulteriore categoria denominata sicurezza che riporta avvisi e messaggi legati, appunto, alla sicurezza delle pagine web.

Come si può vedere dall’immagine qui sopra, il pulsante che attiva e disattiva la visualizzazione di questi messaggi e i messaggi stessi sono evidenziati in rosso, questo al fine di porre l’attenzione sul fatto che la pagina soffre di un problema di sicurezza.

Una volta che abbiamo avuto a disposizione un luogo per visualizzare questi messaggi il passo successivo è stato quello di scegliere quali fossero gli errori più rilevanti da riportare allo sviluppatore. Ivan Alagenchev, un ingegnere Mozilla specializzato in sicurezza, ha impiegato tutta l’estate per raggiungere i seguenti obiettivi:

1. Avvisare lo sviluppatore circa comportamenti anomali delle pagine alterati da una funzionalità di sicurezza, ad esempio il mancato caricamento di risorse da parte del sistema di blocco dei contenuti misti o a causa della regola Same Origin Policy (regola della stessa origine).
2. Avvisare lo sviluppatore di errori commessi nell’implementazione di specifiche di sicurezza, ad esempio l’utilizzo di header CSP deprecati o l’errata digitazione di un header HSTS.
3. Avvisare lo sviluppatore su rischi comuni in materia di sicurezza, ad esempio l’inserimento di campi password in pagine non sicure.

Di seguito sono riportati gli screenshot di alcuni dei nuovi messaggi della categoria sicurezza:

Anche se la sicurezza dovrebbe essere di fondamentale importanza per tutti gli sviluppatori, essa è un argomento complesso che non sempre fa parte del bagaglio di uno sviluppatore web ed è considerata spesso una questione spinosa. Questo nuovo sistema informativo aiuta gli sviluppatori a trovare problemi legati alla sicurezza nelle prime fasi del ciclo di sviluppo in modo che possano essere risolti in maniera rapida ed efficace.

Inoltre, questi messaggi aiutano ad educare gli sviluppatori sugli argomenti più comuni nelle questioni di sicurezza web. In molti di questi nuovi messaggi viene riportato un link “Ulteriori informazioni” che rimanda a una pagina Wiki con informazioni generali e suggerimenti per mitigare il problema di sicurezza.

Il meta bug 863874 è il bug di riferimento per discutere quali messaggi di sicurezza mostrare nella Console web. Se pensi di avere delle idee riguardo a messaggi rilevanti come quelli discussi qui sopra o se vuoi collaborare, dai un’occhiata al meta bug e ai bug ad esso correlati.