È disponibile Firefox 2.0.0.7 (note di versione), con una pezza alla grave vulnerabilità legata al plugin QuickTime.

Direttamente dal blog di Window Snyder 😉

Firefox 2.0.0.7 was released this afternoon to patch the QuickTime issue described here. This will protect Firefox users from the public critical security vulnerability until a patch is available from Apple. I would like to personally thank the individuals at Apple who worked with us and the engineers at Mozilla that work so hard to get security updates out so quickly.

This issue was patched in only six (or 6.25 according to John O’Duinn) days. When a vendor ships security fixes quickly, it lowers the incentive for attackers to spend time developing and deploying an exploit for that issue. The window of opportunity for attackers is reduced and so is the potential to compromise users. So thanks you guys, for helping destroy the economics of malicious exploit development.

Approfitto della calma domenicale per segnalarvi che ieri sera il progetto Linguistico ha rilasciato la versione 2.4 del dizionario italiano. Nel frattempo ho già provveduto a realizzare la versione aggiornata dell’estensione per Firefox, Thunderbird e SeaMonkey e caricarla su AMO.

Il dizionario può essere scaricato dalla pagina dei dizionari di AMO oppure da eXtenZilla: se avete già installato la versione 3.0, dovrebbe aggiornarsi automaticamente in queste ore.

Complimenti ai ragazzi del progetto Linguistico per tutto il lavoro che si sobbarcano: a loro va tutto il merito dei 1.105.510 download effettuati su AMO, senza contare quelli avvenuti usando link diretti o copie locali come quelle di eXtenZilla.

Firefox è un software Open Source e gratuito realizzato dalla Mozilla Foundation. Da dove posso scaricare Firefox? Ho a disposizione un’ampia scelta di siti ufficiali:

• Mozilla.com
• Mozilla-Europe.org
• GetFirefox.com
• MozillaItalia
• server ftp Mozilla

Tralasciando il sito della nostra associazione, sono tutti siti facilmente riconoscibili: hanno una grafica omogenea e nel footer è chiaramente indicato il © della Fondazione.

Da qualche anno Google ha introdotto nel sistema AdSense i referral: si tratta di piccoli banner o pulsanti che consentono all’utente di scaricare software come Firefox o il Google Pack, oppure di aderire a Google Adsense.

Come funziona? Semplice: l’utente scarica e installa “Firefox con Google Toolbar” e chi ha piazzato il banner guadagna qualche euro.

A questo punto l’idea geniale: faccio un sito civetta, ci piazzo il mio bel pulsantone referral, scrivo quattro righe su Firefox e già che ci sono metto anche qualche pubblicità di Google AdSense per arrotondare. Se proprio sono un tipo sveglio, pubblicizzo anche il mio sito con la campagna AdWords (pago affinché il mio sito compaia tra i risultati di ricerca come link sponsorizzato).

Sul forum di Mozilla Italia potete trovare un elenco parziale di questi siti in lingua italiana: ieri sera ho provveduto a contattare il servizio di abuse di Altervista, visto che il piccolo genio ha deciso di utilizzare la grafica di Mozilla Europe e soprattutto la mia traduzione, senza averne alcun diritto.

Chiunque abbia scambiato con me quattro chiacchiere sull’argomento sa che non ho mai nascosto il fatto di essermi prefissato un “guadagno annuale ideale”.

Non me ne voglia Napolux ma ultimamente, in un modo o nell’altro, sembra che debba finire in uno dei miei rant: dopo aver letto il suo post ho buttato l’occhio nella sidebar, e vedo due link “Firefox ITA download” e “Firefox Download”. I domini di riferimento sono scaricafirefox.it e downloadfirefox.it, il whois non lascia dubbi sul proprietario dei domini.

Non c’è che dire, i siti sono fatti bene: i testi sono originali, c’è il disclaimer paraculo “Firefox è un marchio registrato di proprietà della Mozilla Foundation“. Mi chiedo però se Napolux, o qualcuno degli altri titolari di siti civetta, abbia mai letto le Mozilla Trademark Policies, le relative FAQ oppure compilato il modulo di Mozilla domain license agreement

The Mozilla trademarks include, among others, the names Mozilla®, mozilla.org®, Firefox®, Thunderbird™, Bugzilla™, Camino®, Sunbird™ and SeaMonkey®, as well as the Mozilla logo, Firefox logo, Thunderbird logo, SeaMonkey logo, Camino logo and the red lizard logo.

O meglio ancora

If you want to include all or part of a Mozilla trademark in a domain name, you have to receive written permission from Mozilla. People naturally associate domain names with organizations whose names sound similar. Almost any use of a Mozilla trademark in a domain name is likely to confuse consumers, thus running afoul of the overarching requirement that any use of a Mozilla trademark be non-confusing. If you would like to build a Mozilla, Firefox Internet browser or Thunderbird e-mail client promotional site for your region, we encourage you to join an existing official localization project.

Prima di partire con gli insulti nei commenti:

• credo di aver espresso in modo esauriente la mia posizione sulla pubblicità nei blog all’interno del post precedente, non ho intenzione di tornarci sopra. In questo post si discute di tutt’altra cosa
• perché ne scrivo solo oggi? Semplice, perché il blog di Napolux è un blog che non seguo, ho notato i due link in questione oggi andando a leggere i commenti nel post
• se volessi fare sterile polemica e farmi un po’ di pubblicità (potrete non crederci ma non ne sento il bisogno), questi post li scriverei in modo ben diverso e in altro periodo 😉

Interessante novità nelle nigthly pre Alpha 8 di Firefox 3: nella finestra per la gestione dei Componenti  aggiuntivi è comparso un pannello per la gestione dei plug-in. In questo modo sarà molto più rapido scoprire la versione dei plug-in installati e, soprattutto, sarà possibile disattivarli al volo 😉

Nuova alpha per Gran Paradiso, il futuro Firefox 3: tra le novità più interessanti l’implementazione dello zoom sull’intera pagina (testo, immagini e layout) e alcune modifiche all’interfaccia su Mac Os X.

Se volete testare le funzionalità di zoom, vi consiglio di installare questa estensione presente nei commenti del bug 389628: aggiunge un menu alla barra di stato per modificare agevolmente la percentuale di ingrandimento della pagina.

I risultati sono piuttosto buoni: questo è il mio blog al 100%, al 150% e al 200% (attenzione, ogni screenshot pesa oltre 260kb)

Parlando invece delle modifiche all’interfaccia di Mac Os X mi chiedo chi sia quella mente geniale che ha partorito ‘sto coso viola come puntatore (appare quando si cerca di trascinare una URL sulla barra dei segnalibri)…

Purtroppo ancora nessuna traccia di drag&drop nel menu dei Segnalibri e nemmeno delle favicon nella barra dei segnalibri 🙁

Da qualche ora è disponibile per il download Firefox 2.0.0.5: questa versione risolve il bug emerso nei giorni scorsi relativo all’URI protocol handling.

Da subito si è parlato di un bug di Firefox e non di Internet Explorer: ma ne siamo così sicuri? A quanto pare il bug in questione affligge un numero imprecisato di applicazioni Windows: qui c’è un POC (Proof of Concept) per Trillian, ma non si tratta di un caso isolato:

I can still automatically launch a wide range of external applications from Internet Explorer and provide them with arbitrary command line arguments. AcroRd32.exe (Adobe Acrobat PDF Reader), aim.exe (AOL Instant Messenger), Outlook.exe, msimn.exe (Outlook Express), netmeeting.exe, HelpCtr.exe (Windows Help Center), mirc.exe, Skype.exe, wab.exe (Windows Address Book) and wmplayer.exe (Windows Media Player) – just to name a few.

Scrive Window Snyder:

This patch for Firefox prevents Firefox from accepting bad data from Internet Explorer. It does not fix the critical vulnerability in Internet Explorer. Microsoft needs to patch Internet Explorer, but at last check, they were not planning to. Mark Griesi is quoted in Infoworld saying “We don’t feel that there’s an issue in IE, and therefore, there’s nothing to be fixed.”

In altre parole: noi ci abbiamo messo una pezza, ma il problema non è di Firefox quanto di Internet Explorer. Naturalmente in Microsoft non la pensano allo stesso modo: “Non pensiamo che questo sia un problema di IE, perciò non c’è nulla da sistemare.”

Da IEBlog:

The limitless variety of applications and their unique capabilities make it very difficult to have any meaningful automated parameter validation by the hosting (caller) application. It is the responsibility of the receiving (called) application to make sure it can safely process the incoming parameters.

La colpa è di chi riceve la chiamata (Firefox), non di chi la passa (Internet Explorer): troppo complicato gestire il problema a monte.

Dalle parti di Mozilla la pensano in modo diverso:

At Mozilla, we were able to address the biggest part of this problem in Firefox ages ago by simply escaping quotes in URLs before handing them off.

When you’re surfing the web in Firefox and a website wants to send an address to some other application like AIM or Skype or Acrobat Reader, Firefox packages up that address before handing it off to another application. We think it’s Firefox’s job to ensure that users are protected from malicious websites when they’re surfing the web in Firefox. Apparently Microsoft doesn’t think the same for IE.

Saying it’s too hard is not a justification for failing to take even the bare minimum steps to protect users. Microsoft needs to reconsider here and do what’s right for the millions of IE users at risk instead of trying to shift the responsibility to “limitless variety of applications” that users have installed.

Making good software is hard. Making good software secure can be even harder. At Mozilla, we vigorously take up that challenge. We don’t use it as an excuse for inaction.

In sostanza: pensiamo che sia compito di Firefox garantire una navigazione sicura agli utenti che navigano usando Firefox. Come dargli torto? 😉