Firefox, contro il clickjacking c' il nuovoNoScript.

Scritto da Guido Sintoni.

Da tempo, gli script (JavaScript e non solo) maligni sono uno dei metodi d'attacco pi diffusi per il Web: non  quindi peregrina l'ipotesi di dotare il proprio browser Web di uno strumento per meglio gestirne (ed eventualmente bloccarne) l'esecuzione.

NoScript  uno degli add-on pi popolari per Firefox e si occupa proprio di questo: blocca l'esecuzione di script JavaScript e Java su pagine non fidate. La versione 1.8.2.1 , appena rilasciata dall'italiano Giorgio Maone, evita il cosiddetto clickjacking , vale a dire l'indirizzamento su link nascosti, senza che l'utente se ne accorga, di recente assurto agli onori della cronaca dopo che due ricercatori - Robert Hansen e Jeremiah Grossman - hanno dimostrato che con questo metodo di attacco  possibile violare la privacy degli utenti e sottrarre fondi da sistemi di home banking.

"Il clickjacking  figlio di una funzione fondamentale di Html, che permette alle pagine Web di incorporare contenuti da altre pagine", ha commentato Maone. Quindi, l'accezione  duplice: se non lo si interpreta come un errore legato al design concettuale (realizzato tuttavia per favorire l'interattivit del Web),  pi una feature che pu essere sfruttata in maniera scorretta (e quindi offensiva) che un bug in s. "In pratica tutti i browser Web sono esposti al clickjacking, e si tratta di un problema molto difficile da correggere a causa della natura del Web e dei browser stessi".

Il contenuto offensivo richiamato con un attacco basato su clickjacking  invisibile, ma porta l'utente a interagire senza che questi se ne accorga. Tipicamente viene realizzato con comandi (pulsanti, menu di tipo drop down o simili) che promettono di svolgere determinate funzioni, ma che in realt fanno tutt'altro. Ad esempio eseguire codice con gli stessi privilegi del browser: di recente, pi di un ricercatore ha dimostrato che in questo modo  possibile azionare una webcam e il microfono in essa incorporato attivando controlli Flash o Silverlight senza che l'utente se ne accorga (e Adobe distribuir entro la fine del mese una patch per Flash dedicata al problema).

La nuova versione di NoScript presenta una funzione chiamata ClearClick, che rileva l'eventuale presenza di elementi nascosti nella pagina Web e chiede all'utente se veramente vuole attivarli: un piccolo rallentamento alla navigazione in nome della sicurezza. Ma solo per utenti Firefox: un add-on per Internet Explorer non  infattiprevisto.

Guido Sintoni.


