Risultati da 1 a 2 di 2

Discussione: I dati inseriti nei moduli online sarebbero a rischio

  1. 23-07-2010, 17:21 #1
    L'avatar di luxor
    luxor
    luxor è offline Fawar SMod
    Data Registrazione
    Feb 2010
    Messaggi
    37,534
    Post Thanks / Like
    Downloads
    48
    Uploads
    0

    Predefinito I dati inseriti nei moduli online sarebbero a rischio

    Uno dei ricercatori della società White Hat Security, Jeremiah Grossman, ha anticipato l'argomento sul quale verterà il suo intervento in occasione della prossima "Black Hat Conference", prevista per fine luglio a Las Vegas, negli States.
    Grossman ha rilevato alcune "défaillances" nei browser web più famosi ed utilizzati che riguardano il funzionamento dell'"autocompletamento" dei vari campi presenti nei moduli online.
    Secondo l'esperto, nomi utente, password, indirizzi e-mail, nominativi vari, numeri di carte di credito e codici di autorizzazione potrebbero divenire ben presto facile preda degli aggressori. Grossman ha spiegato che l'attacco si concretizza allestendo una pagina web contenente una serie di campi con le "etichette" solitamente più utilizzate nei form di login o nei moduli di inserimento dati. Tali campi possono essere anche resi nascosti per non insospettire il malcapitato utente.
    Quindi, con un semplice codice JavaScript, Grossman sarebbe riuscito a recuperare molti dati personali inseriti dall'utente in altri form online. Come? Il codice JavaScript "maligno" provvederebbe a digitare automaticamente, alcune combinazioni di caratteri in ciascun campo attendendo le eventuali risposte fornite dalla funzionalità di completamento automatico del browser.
    Grossman ha aggiunto che l'attacco è sicuramente in grado di andare a buon fine su Safari 4 e 5. Ha spiegato, poi, di aver informato Apple del problema oltre un mese fa, il 17 giugno, non avendo per il momento ottenuto alcun riscontro.
    Un simile scenario d'attacco sarebbe possibile anche su Internet Explorer 6 e 7 mentre Chrome e Firefox risulterebbero vulnerabili solo combinando l'aggressione con un attacco "cross-site scripting".
    Grossman ha affermato di aver individuato un meccanismo che può portare alla "distribuzione" di tutti i cookie conservati da un browser, semplicemente limitandosi a visitare una pagina web. Inviando un gran numero di cookie, si obbligherà il browser a rimuovere quelli più vecchi operando una sovrascrittura dei dati. In Firefox, ad esempio, dopo 2,5 secondi e l'invio di 3.000 nuovi cookie, non sembra più esserci traccia dei cookie dell'utente.



    Il Software
    "L'esperienza è maestra di vita"


    Rispondi Citando Rispondi Citando
  2. 23-07-2010, 22:31 #2
    L'avatar di karate
    karate
    karate è offline Senior Member
    Data Registrazione
    Feb 2009
    Messaggi
    188
    Post Thanks / Like
    Downloads
    35
    Uploads
    0

    Predefinito

    Speriamo che il sito ministeriale
    sia un pò più tutelato ....sperem .
    Ma TUTTO ciò non è una novità.
    Non aver paura della verità ....sì te stesso.
    Rispondi Citando Rispondi Citando
« Discussione Precedente | Discussione Successiva »

Informazioni Discussione

Utenti che Stanno Visualizzando Questa Discussione

Ci sono attualmente 1 utenti che stanno visualizzando questa discussione. (0 utenti e 1 ospiti)

Tag per Questa Discussione

Segnalibri

Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  

Regole del Forum