Scherzi di cattivo gusto: pesce d'aprile di Google crea falla di sicurezza

Scherzi di cattivo gusto: pesce d'aprile di Google crea falla di sicurezza

Il sito com.google creato dal gigante di Mountain View per celebrare il primo d'aprile aveva creato accidentalmente una grossa falla di sicurezza

di Nino Grasso pubblicata il , alle 10:31 nel canale Web
Google
 

Fra i pesci d'aprile più memorabili di quest'anno non possiamo non citare quelli realizzati da Google. Il gigante informatico ne ha creato nello specifico uno, com.google, la cui implementazione ha lasciato spazio secondo Netcraft ad una falla di sicurezza. Il sito riproduceva la tradizionale homepage di Google con caratteri e immagini capovolte orizzontalmente, dando spazio ad un "Elgoog" perfettamente funzionante.

Elgoog

È così che milioni di utenti si sono dilettati a provare la nuova variante ilare del motore di ricerca, inconsapevoli che i propri dati inseriti fossero potenzialmente a rischio. Secondo Netcraft, la metodica utilizzata da Google per invertire l'orientamento della pagina avrebbe permesso agli hacker di copiare la formattazione del sito per eseguire tecniche di clickjacking, portando gli utenti a visitare siti fraudolenti.

Il clickjacking è una tecnica che può essere eseguita attraverso l'uso di un iframe con cui un utente malintenzionato può obbligare al click su un elemento della pagina noto, ma che in realtà porta ad una pagina diversa da quella specificata e quindi potenzialmente a rischio. Nel caso di com.google, l'utente avrebbe potuto modificare a sua insaputa anche le impostazioni di Google Search, come ad esempio le opzioni SafeSearch esponendo minori a pornografia.

"Il problema derivava dal modo in cui com.google utilizzava un iframe per visualizzare i contenuti capovolti", spiega la società nel post sul sito ufficiale. "Ciò non sarebbe normalmente possibile perché Google utilizza l'header di risposta HTTP X-Frame-Options che impedisce ad altri siti di venire riprodotti all'interno di un iframe. Ma al fine di compiere lo scherzo del pesce d'aprile, Google ha aggirato questa soluzione impostando il parametro "igu=2" su google.com, che non solo permette di riprodurre i contenuti al contrario, ma permetteva al server di aggirare del tutto l'header X-Frame-Options".

Netcraft ha in precedenza notificato l'ingenua falla di sicurezza a Google, che ha prontamente corretto la vulnerabilità.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
giuseppe '9721 Aprile 2015, 23:20 #1
Accidentalmente? Lo scherzo era quello

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^