Punto informatico Network

Ultime news

Ultimi articoli

Le ultime dal Forum

MegaForum

Le nostre guide
Home » Sicurezza » News
20080829221841

La nuova vulnerabilità dei browser si chiama Clickjacking

06/10/2008
- A cura di
Sicurezza - Utilizzando Javascript in modo malizioso è possibile dirottare a piacimento le cliccate degli utenti. Tutti i browser sono vulnerabili.

Network Motori

    In collaborazione con newstreet.it

    Correlati

     
    Tag Cloud

    Tag

    Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

    falla (4) , vulnerabilità (2) , browser (1) .
    Tag Cloud

    Valutazione

    •  
    Voto complessivo 5 calcolato su 287 voti
    Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

    Due ricercatori americani (Robert Hansen e Jeremiah Grossman) hanno recentemente portato alla luce un problema che affligge tutti i principali browser attualmente in circolazione, che prende il nome di ClickJacking.

    Di che cosa si tratta

    Immaginiamo che un utente clicchi su un link in una pagina web, mentre lo stesso clic viene intercettato e utilizzato per simulare la stessa azione su un altro oggetto della pagina.

    Di fatto, è praticamente possibile portare l'utente a compiere azioni indesiderate senza che se ne accorga, per esempio simulando il clic su un banner.

    Come sfruttare la vulnerabilità

    Questo meccanismo può essere sfruttato utilizzando Javascript o un Frame HTML nascosto nella pagina.

    In realtà l'uso di Javascript per queste occasioni era prevedibile ed è anche documentato nei manuali. Ma non è appunto la possibilità di utilizzare la tecnica via in se che preoccupa gli esperti, quanto invece la combinazione di questa funzionalità con la tecnologia iFrame. Possiamo paragonare l'utilizzo di un iFrame come la stesura di una pellicola trasparente sulla pagina: confezionando una pagina in modo malizioso, è possibile far si che i clic siano catturati dall'iFrame e che agiscano sui suoi elementi: Punto Informatico ha realizzato un articolo tecnico molto dettagliato al riguardo.

    Come proteggersi

    Di fatto, tutti i browser utilizzati al giorno d'oggi sono vulnerabili. Fanno eccezione solamente i browser che supportano solo testo (come Lynx), e le versioni antecedenti a Internet Explorer 4.

    Al momento non è disponibile un fix ufficiale, in attesa del quale un modo per attenuare la possibilità di rimanere vittima del Clickjacking è quella di disabilitare l'interprete Javascript del browser in uso. In tal caso però, una buona parte dei siti Internet potrebbe evidenziare qualche imprecisione, o non funzionare del tutto.

    Con Firefox è possibile mettersi completamente al sicuro, installando NoScript e disabilitando l'esecuzione d codice Javascript e i Frame nascosti.

    La palla passa quindi ai produttori di browser, il cui compito sarà rilasciare versioni dei browser che risolvano il problema, anche se, purtroppo, non possiamo aspettarci una risoluzione istantanea.
    Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!
     

    Segnala ad un amico

    Tuo nome Tuo indirizzo e-mail (opzionale)
    Invia a:
      Aggiungi indirizzo email
      Testo

      © Copyright 2025 BlazeMedia srl - P. IVA 14742231005

      • Gen. pagina: 1.28 sec.
      •  | Utenti conn.: 68
      •  | Revisione 2.0.1
      •  | Numero query: 42
      •  | Tempo totale query: 0.09