Tips & Tricks di sicurezza informatica
Il problema sembrava esser stato superato ma ancora una volta Firefox cade su di un bug già sanato in una vecchia versione del browser.
Se ne è parlato già tempo fa su Exploit, ma apprendo adesso dal blog di Antonio che, a distanza di quasi un anno Markus Bucher ha identificato un problema simile nell' ultima versione, la 2.0.0.5.
Le colpe sono da attribuire al Password Manager del software che permetterebbe la condivisioni di credenziali tra pagine diverse di uno stesso dominio; al seguente indirizzo potete verificare il PoC appositamente realizzato.
Inizialmente la pagina vi chiederà di inserire una coppia fittizia username/password e di salvarla automaticamente in Firefox.
Cliccando sul link Evil page vedrete come sià possibile recuperare le medesime credenziali, anche se la richiesta proviene da un' altra pagina posizionata comunque sullo stesso server.
Il problema potrebbe affliggere dunque tutti i siti internet ospitati da uno stesso dominio.
Ecco un esempio banale di due pagine custodite in folders differenti ma appartenenti allo stesso sito:
http://www.myspace.com/folder1/index.php
http://www.myspace.com/folder2/index.php
Gli sviluppatori di Firefox confermano tale problema ma ci tengono a sottolineare il fatto che se un attaccante riuscisse a piazzare del codice malevole su di un server, potrebbe comunque manipolare le form a proprio piacimento.
Senza ombra di dubbio il consiglio è quello di evitare l' uso del password manager salvando in memoria le credenziali di accesso, di disabilitare Javascript verso i siti di cui non si ha la piena sicurezza o comunque far uso di un add-on di protezione come Noscript.
Blogosfere è il più grande network italiano di blog professionali d'informazione.
Qui puoi trovare le ultime news su cronaca, politica, economia, cultura, scienze, tecnologia, spettacoli, moda, sport, motori, viaggi e cucina prodotte in perfetto stile multimediale.
Blogosfere Srl socio unico
P. IVA 05221970964
Sede legale: Via Pordenone 8 20132 Milano
REA n. 1804860
Privacy
Condizioni di utilizzo
Copyright © 2005-2012 Blogosfere
Quest'opera è pubblicata
con licenza Creative Commons
Attribution - Non commercial - No derivates
Per informazioni pubblicitarie e progetti speciali su Blogosfere (media brand del gruppo Populis) contattare la concessionaria pubblicitaria del gruppo, Populis Engage
alle 18:16
mario
Anche l'installazione di questo addon può aiutare, oltre che rendere più comodo l'uso delle password.
Ah per inciso complimenti, sei uno dei pochi che ha dato un'informazione esatta (il rischio è limitato a pagine sullo stesso dominio) invece di gettare panico. Di questi tempi è raro che si pubblichi l'articolo DOPO aver letto BENE la fonte :-)