|
|
|
|
Strumenti |
30-01-2009, 08:38 | #1 | |||
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22109
|
[NEWS] Clickjacking, tutti i browser sono vulnerabili
30 Gennaio 2009 ore 08:00 di: Giacomo Dotta
Una nuova vulnerabilità colpisce il mondo dei browser. E sembra essere una falla trasversale, concettualmente legata a JavaScript e pertanto in grado di coinvolgere tutti i browser in circolazione. Con due sole esclusioni teoriche: Opera 9.63 ed Internet Explorer 8. La scoperta è attribuita alla ricercatrice SecNiche Aditya Sood in seguito alla segnalazione che ne ha legata la descrizione a Google Chrome 1.0.154.43. Secondo la Sood il browser analizzato sarebbe vulnerabile al cosiddetto Clickjacking, tecnica che sfrutta i click degli utenti per portare a compimento azioni involontarie con finalità precise. Tali azioni, peraltro, possono essere portate a compimento sfruttando i login dell'utente ed agendo quindi con maggior pericolosità. Pubblicato nell'occasione anche un proof of concept esplicativo nel quale un link apparentemente innocuo verso Yahoo si trasforma silentemente in un link potenzialmente nocivo. Firefox sarebbe vulnerabile al pari di Chrome, mentre per quanto concernente il browser Microsoft v'è da attendersi una prossima patch che porti IE7 quantomeno al pari di IE8 nella tutela dell'utente contro tale tecnica. «Clickjacking significa che ogni interazione che l'utente ha con un sito web, ad esempio un click, può non essere quel che sembra»: questi i termini usati da Nishad Herath, consulente Novologica, per spiegare quanto pericoloso possa essere un attacco di questo tipo. Heise Online sottolinea come il problema sia grave, ma anche come una pezza possa essere adottata fin da subito semplicemente disattivando l'uso di JavaScript da browser. Giorgio Maone, sviluppatore NoScript (una prima soluzione alle prime segnalazioni di minacce di tipo Clickjacking), non concorda però sulla bontà della soluzione IE8: nemmeno la protezione ideata per il nuovo browser sarebbe sufficiente, sebbene la soluzione non possa che risiedere in una informazione da aggiungere nell'header per evitare che iframe e layer truffaldini possano minare la normale attività di navigazione. Fonte: WebNews
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
|||
30-01-2009, 08:59 | #2 |
Senior Member
Iscritto dal: Nov 2005
Messaggi: 1868
|
Ne avevamo parlato qualche mese fa su questo stesso forum
__________________
[ W.S. ] |
30-01-2009, 09:18 | #3 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22109
|
lo so, ma lo dovevo riportare lo stesso per dovere di cronaca.
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
30-01-2009, 11:51 | #4 |
Bannato
Iscritto dal: Aug 2007
Messaggi: 3847
|
.
Ultima modifica di riazzituoi : 29-04-2010 alle 10:52. |
30-01-2009, 11:53 | #5 |
Bannato
Iscritto dal: Aug 2007
Messaggi: 3847
|
.
Ultima modifica di riazzituoi : 29-04-2010 alle 10:53. |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 21:03.