Punto informatico Network

Document, documento, nuovo, crea

Di nuovo problemi per le password di Firefox

27/07/2007
- A cura di
Zane.
Archivio - Basta una pagina-esca ed un po' di Javascript per rubare alcune password memorizzate nel navigatore. Ecco come difendersi in attesa di un aggiornamento ufficiale.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

problemi (1) , firefox (1) , password (1) , nuovo (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 225 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Ricorderebbe da vicino quella rilevata in novembre la debolezza rintracciata in Mozilla Firefox negli ultimi giorni.

Sebbene il problema precedente sia stato risolto ormai da molti mesi, Hise Security sostiene che il navigatore rimane tutt'oggi afflitto da un baco progettuale che consente di sfruttare il problema in un modo leggermente diverso. Tracing_ip.jpg

Il pericolo sopraggiunge utilizzando il gestore di password integrato nel navigatore mentre si mantiene attivato l'interprete Javascript. In queste circostanze, un cracker potrebbe realizzare una pagina malevola in grado di carpire in modo automatico le password memorizzate nel navigatore della vittima per il dominio corrente.

Il problema nasce dal modo con cui il gestore delle password memorizza le informazioni. Le credenziali di accesso immesse in qualsiasi pagina web di www.sito.it vengono infatti associate al dominio stesso, e non alla singola pagina. Ecco quindi che sia www.sito.it/pagina_buona.htm che www.sito.it/pagina_cattiva.htm possono accedere alle medesime informazioni.

Sebbene storicamente un certo dominio sia sotto il controllo di un singolo gestore (che quindi non avrebbe alcun vantaggio nel rubare le credenziali di accesso al proprio sito) i nuovi portali "web 2.0" quali MySpace, Netlog/Facebox rivoluzionano questa idea: ecco quindi che un cracker potrebbe predisporre una pagina-esca su uno di questi portali (riempirla di "bellezze prorompenti" continua ad essere la trappola migliore...) e sfruttare la debolezza in questione per sottrarre le credenziali di accesso all'intero portale.

Va comunque precisato che la falla non può essere sfruttata per rubare password appartenenti ad un dominio distinto da quello su cui risiede la pagina malevola.

Qualcuno Rete ha suggerito di disabilitare Javascript fino a quando Mozilla non rilascerà un aggiornamento del navigatore. Sebbene il suggerimento sia tecnicamente corretto, questo causerebbe l'inaccessibilità parziale o totale di numerosi siti web. Raccomando piuttosto di disabilitare temporaneamente il gestore delle password, portandosi su Strumenti -> Opzioni -> Sicurezza e togliendo da qui la spunta a Ricorda le password dei siti.

A questo indirizzo è stata predisposta una pagina di test che consente di toccare con mano il problema. È sufficiente immettere delle credenziali fittizie nei due campi di testo e quindi cliccare submit: si aprirà una seconda pagina in grado di visualizzare le informazioni immesse.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.12 sec.
    •  | Utenti conn.: 165
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0