MegaLab.it
Stampa Articolo
Aperiodico gratuito di informatica
 
20080829221841

La nuova vulnerabilità dei browser si chiama Clickjacking

a cura di Stefano "ste_95" Ottolenghi
06/10/2008 - news
Sicurezza - Utilizzando Javascript in modo malizioso è possibile dirottare a piacimento le cliccate degli utenti. Tutti i browser sono vulnerabili.

Due ricercatori americani (Robert Hansen e Jeremiah Grossman) hanno recentemente portato alla luce un problema che affligge tutti i principali browser attualmente in circolazione, che prende il nome di ClickJacking.

Di che cosa si tratta

Immaginiamo che un utente clicchi su un link in una pagina web, mentre lo stesso clic viene intercettato e utilizzato per simulare la stessa azione su un altro oggetto della pagina.

Di fatto, è praticamente possibile portare l'utente a compiere azioni indesiderate senza che se ne accorga, per esempio simulando il clic su un banner.

Come sfruttare la vulnerabilità

Questo meccanismo può essere sfruttato utilizzando Javascript o un Frame HTML nascosto nella pagina.

In realtà l'uso di Javascript per queste occasioni era prevedibile ed è anche documentato nei manuali. Ma non è appunto la possibilità di utilizzare la tecnica via in se che preoccupa gli esperti, quanto invece la combinazione di questa funzionalità con la tecnologia iFrame. Possiamo paragonare l'utilizzo di un iFrame come la stesura di una pellicola trasparente sulla pagina: confezionando una pagina in modo malizioso, è possibile far si che i clic siano catturati dall'iFrame e che agiscano sui suoi elementi: Punto Informatico ha realizzato un articolo tecnico molto dettagliato al riguardo.

Come proteggersi

Di fatto, tutti i browser utilizzati al giorno d'oggi sono vulnerabili. Fanno eccezione solamente i browser che supportano solo testo (come Lynx), e le versioni antecedenti a Internet Explorer 4.

Al momento non è disponibile un fix ufficiale, in attesa del quale un modo per attenuare la possibilità di rimanere vittima del Clickjacking è quella di disabilitare l'interprete Javascript del browser in uso. In tal caso però, una buona parte dei siti Internet potrebbe evidenziare qualche imprecisione, o non funzionare del tutto.

Con Firefox è possibile mettersi completamente al sicuro, installando NoScript e disabilitando l'esecuzione d codice Javascript e i Frame nascosti.

La palla passa quindi ai produttori di browser, il cui compito sarà rilasciare versioni dei browser che risolvano il problema, anche se, purtroppo, non possiamo aspettarci una risoluzione istantanea.

MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .

Copyright 2008 MegaLab.it - Tutti i diritti sono riservati