UICIECHI.IT: OTTOBRE 2008 - Numero 10.
Firefox, contro il clickjacking c’è il nuovo NoScript.
Scritto da Guido Sintoni.
Da tempo, gli script (JavaScript e non solo) maligni sono uno dei metodi d’attacco più diffusi per il Web: non è quindi peregrina l’ipotesi di dotare il proprio browser Web di uno strumento per meglio gestirne (ed eventualmente bloccarne) l’esecuzione.
NoScript è uno degli add-on più popolari per Firefox e si occupa proprio di questo: blocca l’esecuzione di script JavaScript e Java su pagine non fidate. La versione 1.8.2.1 , appena rilasciata dall’italiano Giorgio Maone, evita il cosiddetto clickjacking , vale a dire l’indirizzamento su link nascosti, senza che l’utente se ne accorga, di recente assurto agli onori della cronaca dopo che due ricercatori - Robert Hansen e Jeremiah Grossman - hanno dimostrato che con questo metodo di attacco è possibile violare la privacy degli utenti e sottrarre fondi da sistemi di home banking.
“Il clickjacking è figlio di una funzione fondamentale di Html, che permette alle pagine Web di incorporare contenuti da altre pagine”, ha commentato Maone. Quindi, l’accezione è duplice: se non lo si interpreta come un errore legato al design concettuale (realizzato tuttavia per favorire l’interattività del Web), è più una feature che può essere sfruttata in maniera scorretta (e quindi offensiva) che un bug in sé. “In pratica tutti i browser Web sono esposti al clickjacking, e si tratta di un problema molto difficile da correggere a causa della natura del Web e dei browser stessi”.
Il contenuto offensivo richiamato con un attacco basato su clickjacking è invisibile, ma porta l’utente a interagire senza che questi se ne accorga. Tipicamente viene realizzato con comandi (pulsanti, menu di tipo drop down o simili) che promettono di svolgere determinate funzioni, ma che in realtà fanno tutt‘altro. Ad esempio eseguire codice con gli stessi privilegi del browser: di recente, più di un ricercatore ha dimostrato che in questo modo è possibile azionare una webcam e il microfono in essa incorporato attivando controlli Flash o Silverlight senza che l’utente se ne accorga (e Adobe distribuirà entro la fine del mese una patch per Flash dedicata al problema).
La nuova versione di NoScript presenta una funzione chiamata ClearClick, che rileva l’eventuale presenza di elementi nascosti nella pagina Web e chiede all’utente se veramente vuole attivarli: un piccolo rallentamento alla navigazione in nome della sicurezza. Ma solo per utenti Firefox: un add-on per Internet Explorer non è infatti previsto.
Guido Sintoni.