CSS rende il Web sempre pi¨ insicuro

Sul Web si diffonde a macchia d'olio un tipo di vulnerabilitÓ che pone seri rischi per la sicurezza e la privacy degli utenti. Il CERT lancia (ancora) l'allarme

Pittsburgh (USA) - Non si placano le preoccupazioni degli esperti di sicurezza riguardo un diffuso tipo di vulnerabilitÓ, conosciuto come Cross Site Scripting (CSS), che affliggerebbe un numero sempre in crescita di siti Web anche molto celebri.

I CSS sono falle che non mettono a repentaglio la sicurezza di un sito quanto, piuttosto, quella degli utenti: attraverso un attacco CSS un cracker potrebbe infatti essere in grado di rubare password, numeri di carte di credito, cookie ed altre informazioni sensibili.

La situazione appare sufficientemente grave da indurre il CERT a pubblicare, a due anni di distanza dal primo e dettagliato avviso di sicurezza, un nuovo documento in cui si descrive il problema e si offrono soluzioni per porvi rimedio.
"I siti Web considerano questa vulnerabilitÓ di minore importanza - ha spiegato Jason Rafail del CERT - ma per i visitatori si tratta di un problema di sicurezza e di privacy piuttosto grosso".

Nonostante la grande attenzione che gli esperti hanno dato alla questione negli ultimi tempi, i siti colpiti da questa vulnerabilitÓ sono triplicati nel giro di un solo anno e fra quelli a rischio si contano giganti del calibro di AOL, Ebay, MSN, Excite, Lycos e molti altri ancora.

Secondo quanto riportato dal CERT, gli attacchi di tipo CSS sfrutterebbero la possibilitÓ di inviare codice malizioso verso un utente attraverso un sito Web insospettabile. Questo tipo di attacchi viene spesso lanciato inducendo gli utenti a cliccare sul link di una e-mail o di una pagina Web appositamente "confezionate".

L'allarme era stato lanciato di recente anche dall'esperto di sicurezza Dave de Vitry che sul proprio sito mantiene una lista aggiornata dei siti pi¨ celebri vulnerabili al CSS.

All'epoca, de Vitry suggeriva agli utenti del Web di "disabilitare JavaScript e tenerlo disattivato se non si vuole correre il rischio che i propri dati vengano aperti quando si visita una certa varietÓ di siti web". Ma, secondo il CERT, questa precauzione non protegge gli utenti da tutti gli altri tipi di script e inficia notevolmente la corretta visualizzazione di molte pagine Web.

Il CERT si augura che in futuro i browser Web possano essere in grado di bloccare tutti gli script che non riportino la firma digitale di un organo di fiducia. Fino ad allora, raccomanda il CERT, i navigatori dovranno porre molta attenzione ai link contenuti nelle e-mail o in siti non noti che puntano verso risorse esterne.
TAG: sicurezza
21 Commenti alla Notizia CSS rende il Web sempre pi¨ insicuro
Ordina
  • ho visto il sito con la lista
    il massimo che si riesce a fare e' leggere i PROPRI cookie....
    faccio prima a leggerli dall'HD..
    non capisco...

    ciao
    non+autenticato
  • - Scritto da: maks
    > ho visto il sito con la lista
    > il massimo che si riesce a fare e' leggere i
    > PROPRI cookie....
    > faccio prima a leggerli dall'HD..
    > non capisco...
    >
    > ciao
    se sul tuo browser gira codice che puo' leggere dall'HD, tale codice puo' anche inviare i dati letti ad esempio ad un cgi che li registra, il fatto che gli exploit di esempio che hai visto non lo facciano e' normale essi devono solo dimostrare che cio' e' possibile (o meglio e' possibile con IEOcchiolino.
    non+autenticato
  • ma anche linux e mac OS sono a rischio questa volta?
    non+autenticato
  • Sviluppo siti, questo vuol dire che i miei
    javascript andranno firmati da un ente terzo, da pagare, per avere l'esecuzione in automatico di un programmino di certificazione che piazza la sua sigletta.
    Oppure devo prendere e adattare alle mie
    esigenze uno script gia' firmato, e pagare,
    perche' dichiarato sicuro.

    Ma alla fine non sara' tutto un magna magna?
    Io voglio tutelare i miei pochi visitatori,
    tranquillizzarli, ma alla fine questo lo potra' pagare solo una azienda che quei costi li recupera dai suoi clienti.

    A morte il gratis su internet! Viva il gratis su internet!
    non+autenticato


  • - Scritto da: Massimo Rainato
    > Sviluppo siti, questo vuol dire che i miei
    > javascript andranno firmati da un ente
    > terzo, da pagare, per avere l'esecuzione in
    > automatico di un programmino di
    > certificazione che piazza la sua sigletta.
    > Oppure devo prendere e adattare alle mie
    > esigenze uno script gia' firmato, e pagare,
    > perche' dichiarato sicuro.
    >
    > Ma alla fine non sara' tutto un magna magna?
    > Io voglio tutelare i miei pochi visitatori,
    > tranquillizzarli, ma alla fine questo lo
    > potra' pagare solo una azienda che quei
    > costi li recupera dai suoi clienti.
    >
    > A morte il gratis su internet! Viva il
    > gratis su internet!


    ...beh...non sarebbe una pessima idea per rimuovere un po' di gratis degradante...

    ...purtroppo sarà sempre peggio fino a quando tutti i siti non saranno obbligati alla certificazione...
    non+autenticato
  • - Scritto da: ToioX
    > ...purtroppo sarà sempre peggio fino a
    > quando tutti i siti non saranno obbligati
    > alla certificazione...
    cosa??? obbligati? ma scherzi? A questo punto e' meglio obbligare la gente a non usare browser la cui sicurezza e' risibile.
    non+autenticato
  • prima ASP che nessuno sa + se sta X active server pages o per application service proviser...

    ora CSS che personalmente conoscevo solo come cascade style sheet.

    Per chi ha studiato ingegneria o logistica... ricordate MRP?


    Ma, mi chiedo, lo fanno apposta?
    non+autenticato
  • Pensavo la stessa cosa. Ho aperto questa notizia perchè pensavo "sta a vedere che adesso hanno trovato anche il modo di infettare un foglio di stile" e invece... mah! In ogni caso ci sono meno problemi che con gli acronimi che utilizza la marina statunitense!!!
    non+autenticato

  • > mah! In ogni caso ci sono meno problemi che
    > con gli acronimi che utilizza la marina
    > statunitense!!!

    adesso ce la spieghi
    non+autenticato


  • - Scritto da: SiN
    > ora CSS che personalmente conoscevo solo
    > come cascade style sheet.
    >

    Sta anche per Content Scrambling System, il sistema utilizzato per proteggere il contenuto dei DVD dalla copia...

    Ciao

    Ewok
    non+autenticato


  • - Scritto da: SiN
    > prima ASP che nessuno sa + se sta X active
    > server pages o per application service
    > proviser...
    >
    > ora CSS che personalmente conoscevo solo
    > come cascade style sheet.
    >
    > Per chi ha studiato ingegneria o
    > logistica... ricordate MRP?
    >
    >
    > Ma, mi chiedo, lo fanno apposta?

    Figurati che quando ho visto il titolo di questo forum mi è venuto un colpo!
    Cosa saranno mai riusciti a fare attraverso una innocua cascade style sheet?
    A bocca aperta
    non+autenticato
  • Siamo stati in tanti a preoccuparci, meno male che era una bolla di sapone...
    non+autenticato
  • hai perfettamente ragione...
    non+autenticato
  • in realtà a voler essere cattivi, sembra che qualcuno (mah?) non voglia che la gente si difenda
    Mi spiego: IE (tanto per non fare nomi) è configurato in maniera da lasciare porte e finestre aperte a chiunque, e nemmeno aiuta molto chi vuole proteggersi (Mozilla, invece incorpora un gestore di cookie che permette di leggerli e rimuoverli)
    meditiamo...
    non+autenticato


  • - Scritto da: ishitawa
    > in realtà a voler essere cattivi, sembra che
    > qualcuno (mah?) non voglia che la gente si
    > difenda
    > Mi spiego: IE (tanto per non fare nomi) è
    > configurato in maniera da lasciare porte e
    > finestre aperte a chiunque, e nemmeno aiuta
    > molto chi vuole proteggersi (Mozilla, invece
    > incorpora un gestore di cookie che permette
    > di leggerli e rimuoverli)
    > meditiamo...

    Tu non hai mai usato IE6:

    Strumenti > Opzioni Internet > Elimina cookie

    ...oppure

    Strumenti > Opzioni Internet > Privacy

    o ancora...

    Visualizza > Rapporto Privacy

    ...Internet explorer è l'unico browser che rispetta pienamente lo standard P3P.

    Gli altri sono giocattoli colorati...
    non+autenticato
  • - Scritto da: ToioX
    >
    > Tu non hai mai usato IE6:
    > Strumenti > Opzioni Internet > Elimina cookie
    > ...oppure
    > Strumenti > Opzioni Internet > Privacy
    > o ancora...
    > Visualizza > Rapporto Privacy
    >
    > ...Internet explorer è l'unico browser che
    > rispetta pienamente lo standard P3P.
    se bonasera   
    > Gli altri sono giocattoli colorati...
    ahahahahah lynx e' un giocattolo colorato? a me, il browser che piu' si adatta a tale descrizione, sembra proprio IE che al contrario di quello che dici se ne frega degli standard e ha piu' bug che righe di codice (chiunque segua bugtraq lo puo' confermare; specie negli ultimi tempi).
    non+autenticato
  • Anche il Web browser Opera ha una gestione dei cookies con diverse opzioni per rifiutare, accettare, verificarne il contenuto, ecc.

    http://www.opera.com

    Ma se leggete spesso Punto Informatico.. lo conoscete sicuramente Occhiolino

    Saluti

    M.
    non+autenticato
  • Usando sistemi operativi diversi da windows, come Linux e Mac OS, che non hanno vulnerabilita' cosi' accentuate.
    non+autenticato
  • - Scritto da: zx+
    > Usando sistemi operativi diversi da windows,
    > come Linux e Mac OS, che non hanno
    > vulnerabilita' cosi' accentuate.

    be' non e' proprio cosi' in linux e' pericoloso lavorare come root io ho cambiato nome al mio root e l'ho chiamato giobbe cosi' e' piu' sicuro ma forse dovrei anche mettere una pasword di root cioe' giobbe
    non+autenticato

  • - Scritto da: ???
    > Sorride

    beh che dire per difesa puoi cominciare con un cagnolone senza rotelle poi magari le aggiungi come il mio pero' se la difesa e' importante fai come me vai in cina studia 30 anni il baguazhang quando torni non ti riconosce piu' nessuno si sono dimenticati di te e non ti danno piu' fastidio ma se parliamo di browser installa pure debian e mozzilla
    non+autenticato