Come ti rubo tutto su Google Apps.

Di Guido Sintoni.

Mytech, 18/4/2008.

http://www.mytech.it/computer/virus/articolo/idA028001071101.art

Problemi in vista per Google Apps, la suite online di Big G per la produttivit personale erogata via Web: un ricercatore ha scoperto un bug nell'applicazione
Foglio Elettronico che pu consegnare su un piatto d'argento tutti i dati di un account Google a un attaccante.

Il problema  comune a molte applicazioni che hanno a che fare con il Web, e si chiama cross-site scripting:  l'inserimento di script arbitrari all'interno
delle pagine Web visionate dai client. Il bug in s  stato gi corretto da Google, ma - secondo Billy Rios che ha scoperto il problema - "questo  un
indicatore molto chiaro dei pericoli legati al concetto di Saas, software come servizio".

Continua Rios nel proprio blog: "Con questo singolo attacco di tipo cross-site scripting, posso leggere la posta della vittima su Gmail [...] o rubare tutti
i suoi Google Docs e fondamentalmente fare tutto ci che voglio, sostituendomi alla vittima stessa sull'account Google. Gli sviluppatori devono capire
il modo in cui i browser trattano le intestazioni dei vari contenuti che elaborano, altrimenti rischiano di esporre le proprie applicazioni Web al rischio
di cross-site scripting". Rios ha infatti sfruttato il modo in cui Internet Explorer interpreta le risposte dei server Web remoti per trarre in inganno
il browser Web e veicolare in tal modo via Web gli script arbitrari; e "Firefox, Opera e Safari possono funzionare nello stesso modo". Quindi, il problema
non  nell'interprete, ovvero nel browser Web, ma in chi scrive le applicazioni.

Rios ha portato a buon fine il proprio attacco sul Foglio Elettronico di Google Apps iniettando codice Html nella prima cella di una tabella, contenente
codice Javascript in grado di visualizzare il cookie di sessione dell'utente collegato: "A dire il vero, Google ha previsto una lieve difesa contro questo
tipo di attacco, ma  bastato poco per aggirarlo". Non  la prima volta che il ricercatore statunitense trova un bug relativo a Google Apps: all'inizio
del mese Rios ha pubblicato un bug di Google Code che poteva permettere il furto di password. E anche quest'ultimo ha trovato pronta correzione da parte
di Google.

Guido Sintoni.

