Punto informatico Network

Ultime news

Ultimi articoli

Le ultime dal Forum

MegaForum

Le nostre guide
Home » Archivio » News
Contenuto Default

Firefox accetta biscotti dagli sconosciuti

22/02/2007
- A cura di
Zane.
Archivio - Una brutta debolezza nella gestione dei cookie potrebbe consentire ad un utente ostile di compromettere il navigatore dell'utente. In attesa di una patch ormai imminente, ecco come difendersi.

Network Motori

    In collaborazione con newstreet.it

    Correlati

     
    Tag Cloud

    Tag

    Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

    firefox (1) , biscotti (1) .
    Tag Cloud

    Valutazione

    •  
    Voto complessivo 5 calcolato su 120 voti
    Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

    È emerso nei giorni scorsi un nuovo, gravissimo problema di sicurezza in Mozilla Firefox. Firebird_2_01.png

    Il celeberrimo navigatore open source è affetto da un problema nella gestione dei cookie, ovvero quei particolari file di configurazione utilizzati dai siti web per salvare informazioni sui sistemi dei visitatori: ad esempio, MegaLab.it utilizza appunto i cookie per salvare nome utente e password durante la procedura di login, automatizzando l'autenticazione alla visita successiva.

    Il sistema dei cookie è studiato per garantire che ogni sito web possa leggere o scrivere cookie non accessibili dagli altri domini. Il baco in questione consente però ad un sito malevolo di aggirare questo vincolo ed impostare sul sistema della vittima cookie per un altro sito. Questo può consentire di avviare attacchi di tipo Cross-site Scripting (XSS), e sottrarre poi informazioni o credenziali di accesso.

    Sebbene non sia possibile sfruttare questo baco per eseguire codice da remoto, il pericolo è comunque consistente: in caso il mio sistema fosse vittima di un attacco del genere ad esempio, un cracker potrebbe manipolare il cookie generato da MegaLab.it sul mio browser e guadagnare potenzialmente pieno accesso alle funzioni di amministrazione del sito o del forum. Discorso analogo per siti di Home Banking o simili.

    Gialloporpora riporta che la falla è stata corretta a partire dalla versione 2.0.0.2, attualmente in fase avanzata di testing. Fino ad allora, Michal Zalewski (primo a scoprire il problema) raccomanda la seguente procedura per arginare il problema:

    • Digitare about:config nella barra degli indirizzi per accedere alla configurazione interna del navigatore
    • Cliccare con il pulsante destro in un punto qualsiasi della pagina e selezionare Nuovo --> Stringa
    • Digitare capability.policy.default.Location.hostname.set alla prima finestra di dialogo (consiglio di copia-incollare per semplicità) e noAccess alla seconda

    Il ricercatore ha messo a disposizione un test: in caso il navigatore sia vulnerabile, in seguito alla pressione del pulsante click here to begin the test verrà visualizzata la seguente schermata

    Vuln.jpg

    Questa è la seconda vulnerabilità di un certo rilievo che ancora affligge Firefox: a distanza di alcuni mesi anche il baco di cui abbiamo trattato in "Problemi di password per Firefox" rimane infatti ancora irrisolto.
    Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!
     

    Segnala ad un amico

    Tuo nome Tuo indirizzo e-mail (opzionale)
    Invia a:
      Aggiungi indirizzo email
      Testo

      © Copyright 2025 BlazeMedia srl - P. IVA 14742231005

      • Gen. pagina: 0.17 sec.
      •  | Utenti conn.: 144
      •  | Revisione 2.0.1
      •  | Numero query: 42
      •  | Tempo totale query: 0