Punto informatico Network

20090507234714_1956086937_20090507234255_1341137120_BrowserWar3.png

Come continuo a fregarti via browser

05/03/2005
- A cura di
Zane.
Archivio - Basta poco per portare attacchi di phishing: ancora (gravi) problemi per Firefox e gli altri browser "alternativi", si salva Internet Explorer. Update: pronte le prime versioni aggiornate.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

browser (1) , fregarti (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 164 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Update: Alcuni produttori hanno rilasciato le versioni aggiornate di propri navigatori, erpurate dal problema.

Mozilla Suite, Konqueror, Netscape e Safari non sono ancora stati aggiornati. Ricordiamo che Internet Explorer non è afflitto da questa vulnerabilità.

Sebbene teoricamente meno pericolose di vulnerabilità remote code execution, anche le falle che permettono di alterare e celare l'identità dell'interlocutore (attacchi spoofing) possono causare notevoli problemi, soprattutto se utilizzate da un utente ostile per fingersi un istituto finanziario e rubare così i dati sensibili dell'utente ignaro (phisinig).

Dopo la voragine (non ancora corretta) di cui abbiamo dato notizia tempo fa, Mozilla, Firefox, Opera, Netscape e perfino i navigatori per piattaforme non-Microsoft, come Camino, Konqueror e Safari, espongono gli utilizzatori ad un problema analogo, ma potenzialmente ancor più pericoloso.

Di cosa si tratta

Il gruppo di sicurezza Secunia ha già preparato una pagina di test, che evidenzia un problema nella gestione di URL contenenti caratteri non-ascii (le lettere accentate italiane, "ç" francese, "ñ" spagnola e via dicendo).

Alcuni caratteri "speciali" sono così simili a quelli tradizionali che è impossibile distinguerli ad occhio: tanto per fare un esempio i caratteri "? " e "a" sono assolutamente diversi, così come "? " ed "e".

Una prova? Secunia ha registrato l'indirizzo fasullo www.payp? l.com in cui la seconda "a" è un carattere speciale, e porta ad una pagina ben diversa da quella ufficiale di Paypal, www.paypal.com: immaginate cosa potrebbe succedere se un cracker sfruttasse questa debolezza per realizzare un sito apparentemente identico a quello di un istituto di credito, ma in grado di intrappolare il vostro numero di carta di credito...

Come tutelarsi

Tutti le aziende produttrici dei navigatori fallati sono già al lavoro per risolvere il problema: per il momento raccomandiamo nuovamente di non navigare mai siti fidati (come quello della vostra banca) e non fidati (qualsiasi altra pagina!) allo stesso tempo.

Raccomandiamo inoltre di inserire manualmente l'indirizzo della vostra banca nel navigatore, e mai raggiungere un sito "critico" seguendo un link.

E Internet Explorer?

Internet Explorer per una volta si salva: il browser Microsoft non gestisce infatti i caratteri speciali, quindi tentando di aprire un URL "truffaldino" si riceverebbe semplicemente il classico messaggio "pagina non disponibile".

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.49 sec.
    •  | Utenti conn.: 98
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.31