Gravi falle in Firefox e I.E 7 (Password a rischio)

[qwer1981]

Allarme browser, c'è una falla
"A rischio le nostre password"

ROMA - Chissà quante volte abbiamo usato il password manager del nostro browser, al punto che ci è diventato trasparente nell'uso quotidiano del nostro computer. Quasi non ci accorgiamo più che lui - applicando username a password di volta in volta ai siti ai quali siamo registrati - sta lavorando per noi.

Certo, è un'utilità irrinunciabile. Faremmo bene, pero', a tornare temporaneamente alle vecchie abitudini, quando si digitava tutto a mano nella finestra di login prendendo magari i dati da un nostro file criptato. Proprio così, perché il browser più alla moda nonché più efficiente e open source, Firefox, e quello più diffuso al mondo, Internet Explorer appena giunto alla versione 7, soffrono di una vulnerabilità proprio nell'opzione che automatizza il login.

L'allarme è scattato da poco, anche se non tutte le società che si occupano di scoprire, valutare e monitorare questi "bachi" sono d'accordo sulla gravità del problema. Si va dal "pericolo elevato" al "mediamente critico". Una vulnerabilità alla quale, per altro, né Microsoft né Mozilla hanno finora posto rimedio con una patch. E c'è da giurare che - se il pericolo sarà confermato in tutta la sua gravità - lo faranno a stretto giro di posta, considerando una falla di queste caratteristicherischia di mettere in ginocchio una marea di utenti.

Meglio non sottovalutare, insomma, questa debolezza dei nostri browser preferiti, considerando soprattutto che attraverso questo strumento pe automatizzare il login passano, tanto per dirne una, le nostre "chiavi" per accedere all'internet banking.

Ma che cosa succede in pratica? Che le password memorizzate dai vari browser possono essere copiate su dei server esterni al nostro computer e, soprattutto, senza noi ci si accorga di nulla. Niente male, stando così le cose si è praticamente indifesi dinanzi agli attacchi dei cybercriminali. E proprio sul web girerebbe già un programmino in grado di rubare username e password di Myspace. Questo meccanismo ha già un nome tutto suo: RCSR, Reverse Cross-Site Request.

Al momento l'unica soluzione per difendere la sicurezza delle nostre password in questo momento è fare un passo indietro. Aspettando che arrivino le versioni corrette dei due browser, non resta che disattivare l'opzione di password manager. Semplicemente andare nelle opzioni del browser e delelezionare questo meccanismo. Qualche fastidio in più, qualche pericolo in meno.

Repubblica.it

[.Kougaiji.]

secunia non dice niente? non trovo la news

[c.m.g]

Quote:

Originariamente inviato da qwer1981

Allarme browser, c'è una falla
"A rischio le nostre password"

ROMA - Chissà quante volte abbiamo usato il password manager del nostro browser, al punto che ci è diventato trasparente nell'uso quotidiano del nostro computer. Quasi non ci accorgiamo più che lui - applicando username a password di volta in volta ai siti ai quali siamo registrati - sta lavorando per noi.

Certo, è un'utilità irrinunciabile. Faremmo bene, pero', a tornare temporaneamente alle vecchie abitudini, quando si digitava tutto a mano nella finestra di login prendendo magari i dati da un nostro file criptato. Proprio così, perché il browser più alla moda nonché più efficiente e open source, Firefox, e quello più diffuso al mondo, Internet Explorer appena giunto alla versione 7, soffrono di una vulnerabilità proprio nell'opzione che automatizza il login.

L'allarme è scattato da poco, anche se non tutte le società che si occupano di scoprire, valutare e monitorare questi "bachi" sono d'accordo sulla gravità del problema. Si va dal "pericolo elevato" al "mediamente critico". Una vulnerabilità alla quale, per altro, né Microsoft né Mozilla hanno finora posto rimedio con una patch. E c'è da giurare che - se il pericolo sarà confermato in tutta la sua gravità - lo faranno a stretto giro di posta, considerando una falla di queste caratteristicherischia di mettere in ginocchio una marea di utenti.

Meglio non sottovalutare, insomma, questa debolezza dei nostri browser preferiti, considerando soprattutto che attraverso questo strumento pe automatizzare il login passano, tanto per dirne una, le nostre "chiavi" per accedere all'internet banking.

Ma che cosa succede in pratica? Che le password memorizzate dai vari browser possono essere copiate su dei server esterni al nostro computer e, soprattutto, senza noi ci si accorga di nulla. Niente male, stando così le cose si è praticamente indifesi dinanzi agli attacchi dei cybercriminali. E proprio sul web girerebbe già un programmino in grado di rubare username e password di Myspace. Questo meccanismo ha già un nome tutto suo: RCSR, Reverse Cross-Site Request.

Al momento l'unica soluzione per difendere la sicurezza delle nostre password in questo momento è fare un passo indietro. Aspettando che arrivino le versioni corrette dei due browser, non resta che disattivare l'opzione di password manager. Semplicemente andare nelle opzioni del browser e delelezionare questo meccanismo. Qualche fastidio in più, qualche pericolo in meno.

Repubblica.it

infatti io uso opera e non lascio mai le password al password manager!!!

[no_side_fx]

Quote:

Originariamente inviato da c.m.g

infatti io uso opera e non lascio mai le password al password manager!!!

idem opera rulez!

[black92]

Quote:

Originariamente inviato da no_side_fx

idem opera rulez!

io uso mozilla e stessa cosa vale per me :P

[Figaro84]

Ma secondo voi basta disabilitare il gestore o bisogna cancellare le passwords?

[black92]

Quote:

Originariamente inviato da Figaro84

Ma secondo voi basta disabilitare il gestore o bisogna cancellare le passwords?

io ho disabilitato il gestore e qualche volta per sicurezza faccio anche cancella

[Figaro84]

Vabbè, in attesa di una patch le ho cancellate.

[wizard1993]

Quote:

Originariamente inviato da Figaro84

Vabbè, in attesa di una patch le ho cancellate.

io come password manager uso il cervello che al momento è a prova di spyware

[black92]

Quote:

Originariamente inviato da wizard1993

io come password manager uso il cervello che al momento è a prova di spyware

ahahahahah, quoto, ahahah

[Figaro84]

Si ma quando sono tante??
E poi sai che palle dover ogni volta inserire username e password per tutti siti dove è richiesto e che io visito.

[giannola]

Quote:

Originariamente inviato da Figaro84

Si ma quando sono tante??
E poi sai che palle dover ogni volta inserire username e password per tutti siti dove è richiesto e che io visito.

io ho una rubrichetta nascosta dietro i libri della libreria vicina al mio pc.
Quando non ricordo una password (raramente) prendo la rubrichetta e do un'occhiata.

[c.m.g]

Quote:

Originariamente inviato da wizard1993

io come password manager uso il cervello che al momento è a prova di spyware

[c.m.g]

Quote:

Originariamente inviato da giannola

io ho una rubrichetta nascosta dietro i libri della libreria vicina al mio pc.
Quando non ricordo una password (raramente) prendo la rubrichetta e do un'occhiata.

grazie per avermelo detto, quasi quasi vengo a casa tua a spiarla!!!!


scherzo ovviamente

[giannola]

Quote:

Originariamente inviato da c.m.g

grazie per avermelo detto, quasi quasi vengo a casa tua a spiarla!!!!


scherzo ovviamente

casa mia è dotata di portiere, la porta è blindata e ho dentro due mastini e una moglie, forse riesci a entrare, ma puoi uscire solo come un mucchio di ossicini

[c.m.g]

Quote:

Originariamente inviato da giannola

casa mia è dotata di portiere, la porta è blindata e ho dentro due mastini e una moglie, forse riesci a entrare, ma puoi uscire solo come un mucchio di ossicini

me fa morì

[black92]

Quote:

Originariamente inviato da c.m.g

me fa morì

, io ho un pitbull, ma è dolce, dipende se le stai simpatico, va a lune, comunque pure io faccio come wizard, per la maggior parte dei casi

[wizard1993]

Quote:

Originariamente inviato da black92

, io ho un pitbull, ma è dolce, dipende se le stai simpatico, va a lune, comunque pure io faccio come wizard, per la maggior parte dei casi

poi se necessario ho una lista di blocco note crittografata con l'aes a 256 bit ad 16passaggi

[black92]

Quote:

Originariamente inviato da wizard1993

poi se necessario ho una lista di blocco note crittografata con l'aes a 256 bit ad 16passaggi

tipo quello che mi hai mandato ieri? , io ho un documento protetto con un po' di robe, solo che è talmente crittografato, con tante cose, che mi so scordato le password XD

[sirus]

L'utilizzo della falla tramite Internet Explorer è più complesso e difficile da realizzare rispetto all'utilizzo della falla su Mozilla Firefox, su questo Microsoft vince la "battaglia" che immagino perderà sulla velocità di fix del bug.