Ciao Dario, Il giorno mar, 03/06/2008 alle 09.50 +0200, Dario Lombardo ha scritto: ...Snip.. > > Quindi ho proceduto a modificare una mail in modo che annegato nel > codice html ci fosse una funzione javascript, lanciata con il metodo > onLoad, ma questo codice non viene mai eseguito. La funzione non viene > eseguita neanche se creo un link con onClick. La console javascript di > thunderbird non mi aiuta (non appare alcun messaggio).
pensa se lo potessero fare anche *malicious users* su me, te e il resto del mondo e capirai perche' non funziona... Javascript e' disabilitato di default su tutti i client di posta web e standalone. Idem per le immagini esterne. Ovviamente e' possibile abilitare sia Js che il caricamento di immagini con src esterno, ma deve essere settato esplicitamente nel dialog delle preference...e se uno lo fa allora si merita di essere pownato/tracciato. Unica cosa e' inserire un link simil phish e sperare che l'utente vada sul sito che ospitera' Js/immagini di tracciamento. > Qualcuno ha qualche idea sul perche' accade cio'? Eventualmente > continuero' il thread con le idee su come usare javascript come canale > di attacco. te lo sconsiglio a meno di sapere che client+versione_client usa e trovare un bypass (vulnerabilita') che permetta di bypassare i blocchi Js. > Dario. Stefano -- ...oOOo...oOOo.... Stefano Di Paola Software & Security Engineer Owasp Italy R&D Director Web: www.wisec.it ..................
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
