Sicurezza: Firefox 2 ed Explorer 7 si fanno rubare le password?

Di Guido Sintoni.

Mytech, 24/11/2006.

: http://www.mytech.it/internet/articolo/idA028001067278.art

Allarme per i due browser pi diffusi al mondo: le loro versioni pi recenti, Microsoft Internet Explorer 7 e Mozilla Firefox 2, sarebbero vulnerabili a uno schema d'attacco - in s pi sofisticato del normale - che permette il furto di password in maniera semplice e pulita. Mondo ComputerFinora, i pi diffusi schemi d'attacco per il furto di credenziali si basavano sul cosiddetto Cross Site Scripting: le informazioni provenienti da un contesto non fidato (tipicamente un sito Web usato per l'attacco stesso) venivano inseriti in un contesto fidato (in genere quello di un soto Web istituzionale) producendo un reindirizzamento arbitrario senza che l'utente se ne accorgesse. Adesso l'attacco che riguarda i due browser Web sfrutta una Reverse Cross-Site Request: una doppia richiesta a ritroso tra due siti Web.

- Un esempio serve per meglio chiarire le cose: un form fasullo (tipicamente la solita coppia username / password) per accedere a un sito Web porta al salvataggio automatico dei dati su Firefox 2 (e in Explorer 7, ma solo se esplicitamente permesso dall'utente). Questi ultimi vengono poi rediretti su server Web remoti sotto il naso degli utenti stessi. Per i ricercatori il rischio (che comunque, nel peggiore dei casi,  "poco critico") si concentra su blog e forum.

- Il problema a monte  che i due browser non sono in grado di controllare la destinazione dei dati immessi nei form prima che l'utente li immetta, e - una volta immessi - eventuali filtri antiphishing non funzionano perch il reindirizzamento avviene da un server Web pienamente legittimo.

- Quali i rimedi, quindi? Lato server, bisogna che gli amministratori di sistema siano pi attenti (l'unico caso di attacco reale  avvenuto mediante Myspace.com, i cui server sono stati compromessi con il codice necessario per eseguire il reindirizzamento), e lato utente non  male - fino a quando i vendor, Mozilla in testa, non avranno rilasciato una patch - disabilitare la funzione di salvataggio automatico delle password per i siti visitati.

Guido Sintoni.

