Punto informatico Network

20080829221841

La nuova vulnerabilità dei browser si chiama Clickjacking

06/10/2008
- A cura di
Sicurezza - Utilizzando Javascript in modo malizioso è possibile dirottare a piacimento le cliccate degli utenti. Tutti i browser sono vulnerabili.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

falla (4) , vulnerabilità (2) , browser (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 287 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Due ricercatori americani (Robert Hansen e Jeremiah Grossman) hanno recentemente portato alla luce un problema che affligge tutti i principali browser attualmente in circolazione, che prende il nome di ClickJacking.

Di che cosa si tratta

Immaginiamo che un utente clicchi su un link in una pagina web, mentre lo stesso clic viene intercettato e utilizzato per simulare la stessa azione su un altro oggetto della pagina.

Di fatto, è praticamente possibile portare l'utente a compiere azioni indesiderate senza che se ne accorga, per esempio simulando il clic su un banner.

Come sfruttare la vulnerabilità

Questo meccanismo può essere sfruttato utilizzando Javascript o un Frame HTML nascosto nella pagina.

In realtà l'uso di Javascript per queste occasioni era prevedibile ed è anche documentato nei manuali. Ma non è appunto la possibilità di utilizzare la tecnica via in se che preoccupa gli esperti, quanto invece la combinazione di questa funzionalità con la tecnologia iFrame. Possiamo paragonare l'utilizzo di un iFrame come la stesura di una pellicola trasparente sulla pagina: confezionando una pagina in modo malizioso, è possibile far si che i clic siano catturati dall'iFrame e che agiscano sui suoi elementi: Punto Informatico ha realizzato un articolo tecnico molto dettagliato al riguardo.

Come proteggersi

Di fatto, tutti i browser utilizzati al giorno d'oggi sono vulnerabili. Fanno eccezione solamente i browser che supportano solo testo (come Lynx), e le versioni antecedenti a Internet Explorer 4.

Al momento non è disponibile un fix ufficiale, in attesa del quale un modo per attenuare la possibilità di rimanere vittima del Clickjacking è quella di disabilitare l'interprete Javascript del browser in uso. In tal caso però, una buona parte dei siti Internet potrebbe evidenziare qualche imprecisione, o non funzionare del tutto.

Con Firefox è possibile mettersi completamente al sicuro, installando NoScript e disabilitando l'esecuzione d codice Javascript e i Frame nascosti.

La palla passa quindi ai produttori di browser, il cui compito sarà rilasciare versioni dei browser che risolvano il problema, anche se, purtroppo, non possiamo aspettarci una risoluzione istantanea.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.23 sec.
    •  | Utenti conn.: 110
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.11