1008:5, -5000 Access denied error
Ho rischiato d’incazzarmi parecchio per colpa di Flash.
Qualche giorno fa ho installato la beta di Flash 10. Ero incuriosito dalle funzionalità 3D (che ad una prima occhiata non mi sono sembrate particolarmente interessanti). Soddisfatta la curiosità, visto che come beta ha ancora qualche problema di troppo, ieri sera ho deciso di fare il downgrade alla 9. A questo punto sono iniziati i problemi.
Ho provato una semplice reinstallazione della vecchia versione, ma non è stata sufficiente. Ho provato a rimuovere manualmente i file di flash, ma come risultato ho ottenuto che l’installer della 9 non riuscisse a completare l’installazione a causa di questo errore:
Che fare in questi casi? La mia prima risorsa è google. Infatti sul sito di Adobe ho trovato una TechNote che riguardava proprio questo messaggio d’errore. La soluzione che propone Adobe suggerisce di scaricare e lanciare l’apposito unistaller (Serve un uninstaller? Siamo su mac, o sbaglio?), quindi di modificare i permessi delle directory “components” dei browser ed infine di riparare i permessi da Disk Utility, suggerimenti che ho prontamente seguito, senza ottenere il risultato sperato. Cioè, l’errore si ripresentava comunque a causa di qualche altro file o directory con i permessi sbagliati, nessuno ripristinato con le operazioni di prima. L’installer purtroppo non mi dava indicazioni che mi permettessero di riconoscere il colpevole. Ho provato ad usare pure Instruments per tracciare le operazioni sui file, ma non sono riuscito a riconoscere alcun potenziale colpevole. A questo punto, vista l’ora tarda, ho deciso di sospendere la ricerca.
Questa mattina, a mente fresca, la lampadina s’è accesa:
sudo “/Volumes/Adobe Flash Player 9/Install Flash Player 9 UB.app/Contents/MacOS/Install Flash Player 9 UB”
Cioè, root ha i permessi per fare tutto. Quindi, basta lanciare l’installer da root.
Ovviamente, l’installazione è andata a buon fine. Poi, immaginando che questo avesse modificato in modo errato dei permessi, ho usato Disk Utility per ripristinare i permessi dei file di sistema.
Pubblico questo post in modo che sia d’aiuto chi ha lo stesso problema e cerca una soluzione.
I misteri dell’informatica
Ha volte il comportamento del software ha un non so che di mistico, misterioso, ultraterreno. Ad esempio, questo è quello che ha detto un mio collega qualche istante fa: “Qualcuno di voi che ha configurato la stampate dell’altra stanza può stampare il manuale di Seam fronte-retro? Perché da quando ho fatto l’aggiornamento di Ubuntu non so perché ma di qualsiasi documento mi stampa solo le prime 24 pagine”.
URI handler “rimistificato” ;-)
Oggi devo ricordare una certa discussione a proposito della vulnerabilità sulla gestione degli URI riscontrata su Firefox ma anche su diversi altri applicativi. Io dissi che…
“Scusate, io vedo un problema ben più grande che va oltre l’interpretazione dei parametri di Firefox. La mia impressione è che il problema principale risieda nel meccanismo di gestione degli helper che è fin troppo banale nella definizione dei comandi da richiamare è che può essere usato per passare parametri dal comportamento pericoloso. Questo è un problema non imputabile a IE ma a cioè che sta in mezzo tra IE, cioè il software chiamante, e l’handler, cioè qualsiasi altro software chiamato.
Proprio l’esempio che viene fatto mi pare chiarificatore:
FIREFOX.EXE -url “FirefoxURL://foo” –argument “qualcosa di losco” -requestPending
Io che leggo so bene che –argument sia “qualcosa di losco” e -url sia “FirefoxURL://foo”. Se da prompt dei comandi scrivo -altro “altro parametro”, so bene che il valore del parametro è tutto ciò che è racchiuso tra gli apici. Nel caso in cui voglia includere degli apici nel valore probabilmente farò uso di una sequenza di escape. Ora, Questo stesso meccanismo, cioè quello usato per interpretare i comandi che gli utenti usano per richiamare le applicazioni dal prompt o da script batch (e ci sarebbe da riflettere pure su questo) è usato per definire l’interazione tra due applicazioni. Mi aspetto che in questo modo si possano fare innumerevoli porcate che prescindono da Firefox, IE e qualsiasi altro software. Un sistema che permette una banale concatenazione di stringhe per costruire i parametri così come dovranno essere forniti all’applicazione che li dovrà acquisire si dimostra alquanto debole. Insomma, ci fosse almeno un banale escaping! Mi aspetto altri tipi di exploit basati sullo stesso principio”
Nota: non sapevo che il problema era stato introdotto con un componente aggiornato da Explorer 7.
Una considerazione dal mio punto di vista ragionevole.
Oggi, per caso, scopro, grazie ad un articolo di P.I. che microsoft pubblicato un Security Advisory in proposito che riguarda Windows XP con Explorer 7 installato.
Se ho capito bene, si sono accorti del problema che avevo indicato sopra, mesi or sono.
A questo punto mi viene da fare qualche osservazione sulla questione e sul modo di gestire le problematiche di sicurezza.
In questo caso i problemi sono di due tipi: uno periferico e che riguarda il comportamento di N applicazioni, dove N può essere più o meno elevato, numero che purtroppo mette a rischio la sicurezza di X sistemi, con X MOLTO elevato; l’altro centrale, cioè nel meccanismo che fa si che applicazioni poco accorte nella valutazione dei parametri possano essere sfruttate. Correggere N applicazioni non è più facile di correggere un singolo point of failure. Fino ad ora s’è scaricata la responsabilità sulle N applicazioni solo perché di mezzo ci stava una questione di marketing (Explorer v.s. Firefox). Ma per me, che non sono un esperto di sicurezza, mi pare ragionevole agire su un singolo punto critico e mettere in sicurezza milioni di sistemi senza stare tanto a discutere su di chi sia la colpa. Mentre è meglio discutere su dove sia il punto critico.
Comunque, meglio tardi che mai.
Firefox update e unità di misura mancanti
Attenzione! Dopo l’ultimo update di Firefox tutte le misure specificate nei css senza indicare l’unità di misura (ex.: px, cm) vengono ignorate. Preparatevi a correggere tonnellate di css (rimbombano ancora le imprecazioni di V.).
p.s.: questo post andrebbe riscritto, dato che la questione è un attimo più complessa e interessa ciò che prevede lo standard e l’uso del DOCTYPE.
-
-
Commenti Recenti
hugo von Zeschau su Modelli 3D per scenari na… Paperino su News before christmas fdigiuseppe su JBoss: nuova jBPM Console e…
-
Archivi
- Maggio 2009 (2)
- Febbraio 2009 (1)
- Gennaio 2009 (1)
- Dicembre 2008 (2)
- Ottobre 2008 (1)
- Settembre 2008 (5)
- Agosto 2008 (6)
- Giugno 2008 (2)
- Maggio 2008 (1)
- Aprile 2008 (1)
- Marzo 2008 (4)
- Febbraio 2008 (2)
-
Categorie
- 3d
- amenità
- amici
- animali
- apple
- atomica
- bug
- canvas
- cazzate
- css
- curiosità
- dieta
- discussioni
- divertente
- drm
- excel
- Explorer
- Firefox
- Firefox 3
- folklore
- freedom
- freeware
- gatti
- giochi
- gpl
- gwt
- hardware
- html
- html 5
- iMac
- internet
- java
- javascript
- libertà
- linux
- mac
- Macintosh
- mobile
- mod
- modellismo ferroviario
- movimenti
- navi
- news
- objective c
- open source
- Opera
- p2p
- performance
- personale
- Safari
- sdk
- seam
- sicurezza
- singleton
- software
- standard
- static methods
- storia
- svg
- sviluppo
- tecnologia
- troubleshooting
- tv
- ubuntu
- umorismo
- Uncategorized
- usabilità
- videogame
- vista
- web
- WebKit
- windows
- wise
- world of warcraft
- wwii
- xhtml
- xml
- xpath
- xslt
-
RSS
Ingressi RSS
Commenti RSS
