Dato che non ho trovato nessun thread aperto con questa notizia…
Sono ormai passati alcuni giorni dall´individuazione di una vulnerabilità che mette in serio pericolo sia gli utilizzatori di Firefox 2.0 che di Internet Explorer 7.0. I due browser, infatti, presentano un problema nel gestore delle password che potrebbe esporre i dati sensibili a possibili attacchi di Phishing. Inoltre Firefox presenta una ulteriore problematica legata ai dati che vengono inseriti nei form online che vengono inviati dal browser senza controllare l´indirizzo di destinazione.
Purtroppo il problema non è solo un “Proof-Of-Concept” ma è stato già realmente sfruttato contro gli utenti di MySpace per appropriarsi delle credenziali per accedere al servizio.
Mozilla Foundation ha confermato l´esistenza del problema e allo scopo ha messo online una pagina web dalla quale poter verificare il proprio browser. Per risolvere il tutto, però, sarà necessario attendere la release 2.0.0.1 di Firefox.
In merito ad Internet Explorer 7, Microsoft ha dichiarato di essere a conoscenza del problema ma per ragioni di politica interna non può rilasciare ulteriori dettagli. Comunque sia, con IE7 se il form viene inviato ad una pagina web differente da quella del form vero l´indirizzo viene messo in evidenza.
Per il momento, dunque, la migliore precauzione che si può adottare è quella di disattivare la funzione di registrazione automatica delle password in attesa di sviluppi dalle software house. Potrebbe essere inoltre utilizzato il browser Opera 9.02 esente dal bug.
La “registrazione permanente” ad un forum (login automatico), o comunque ad un’applicazione Web che te lo consente, con la classica checkbox “ricorda la mia password” o “rimani connesso” presente nel form di login (dove inserisci username e password) è gestita dall’applicazione stessa, generalmente per mezzo di un cookie su disco. In pratica la maggior parte di forum e simili, ormai, gestisce la sessione utente con un cookie di sessione (in memoria), ovvero un codice, sufficientemente lungo, univoco e casuale, che identifica la tua sessione e viene mantenuto nella memoria del processo del browser. Se chiudi il browser e lo riapri, sei costretto a ri-autenticarti (logon) nel forum, perchè la nuova finestra usa un’altra porzione di memoria, dove il tuo codice di sessione non c’è più. Se, invece, usi la maledetta checkbox “ricorda la mia password”, l’identificativo di sessione viene memorizzato su disco, per cui è condiviso tra più processi di browser. Motivo per cui non bisognerebbe usare la maledetta checkbox su PC diversi dal proprio (es: Internet point).
Il bug in questione si riferisce ad un’altra modalità di memorizzazione delle password: quella gestita direttamente dal browser. I browser più diffusi hanno una funzione “sensibile” ai campi di input di tipo “password” (quelli che nelle pagine HTML appaiono asteriscati, nascondendo alla vista ciò che si digita). In pratica, quando il browser trova un campo password, chiede all’utente (mediante apposita finestrella) se la si vuole memorizzare ad uso futuro. Se si risponde si, il browser la salva su disco, in forma più o meno cifrata, associandola al dominio del sito a cui punta il form. Così, la volta successiva in cui il browser trova un campo password in un form che punta allo stesso dominio (es: form di logon del forum GdR), lo riempie automaticamente con la password precedentemente salvata. A quanto pare alcuni browser si incasinano con il formato del dominio (tecnicamente si chiama errore di canonizzazione), per cui un phisher potrebbe inviare via e-mail (in formato HTML) un form di autenticazione che punta ad un server controllato, il cui dominio è cammuffato in modo da farlo sembrare, al browser, come un dominio “buono” (es: MySpace). In questo modo, se l’utente usa la mail per autenticarsi a quello che lui crede MySpace, il browser, in buona fede, valorizza per lui il campo password, ma il form viene inviato al server del phisher, che può così rubare la password.
Ma in pratica io corro rischi o no?
Quindi Un Phisher mi può rubare le Password dei Forum GDR, di quello della Finanza e di Quello dello Snow, della cucina, delle auto e del vattelapesca cosa?
Tecnicamente un phisher ti può rubare informazioni di qualsiasi tipo, solo però se segui le indicazioni che trovi sulle phishing-email. Sempre tecnicamente, ti dirò che è possibile farsi del male anche solo visualizzando (es: preview o web-mail) il testo di un’email HTML, contrariamente alla vecchia credenza che per non farsi male con le email sia sufficiente non aprire gli allegati sospetti.
Comunque, fossi in te, mi preoccuperei più degli amministratori di rete dell’ufficio in cui lavori (se lavori in un ufficio), piuttosto che dei phisher
