A rischio gli account MS Passport?

Lo sostiene un giovane bug hunter italiano, secondo cui in pochi secondi è possibile agire sui cookie degli utenti per sottrarre i dati di accesso ai servizi Passport

Roma - A breve distanza dalla scoperta di un potenziale problema di phishing su MSN, il giovane hacker italiano Salvatore Aranzulla ha reso noto l'esistenza di un bug nella piattaforma Passport sviluppata da Microsoft, la stessa che governa l'autenticazione e l'accesso degli utenti ad una molteplicità di servizi web.

Passport, come ben sanno i lettori di Punto Informatico, consente in sostanza di utilizzare un unico accesso (username + password) per usufruire di tutti i servizi convenzionati, perlopiù servizi offerti da MSN. Una eventuale falla, come quella di cui parla Aranzulla, potenzialmente mette a rischio la riservatezza dei singoli servizi utilizzati dagli utenti.

Il bug riguarda, spiega Aranzulla, il cookie che la piattaforma salva nel PC dell'utente all'atto del login e che ne consente l'identificazione per gli accessi successivi. "Mediante un bug da me scoperto nella versione francese (e già ho detto molto) di MSN - afferma Aranzulla - posso facilmente, in un minuto circa (...) rubare il cookie di un utente Passport per poi riutilizzarlo per sostituirlo al mio e, pertanto, identificarmi come il proprietario".
Aranzulla ha naturalmente segnalato il problema a Microsoft, che per ora non ha rilasciato commenti sulla questione. "Finché la falla non viene corretta - scrive Aranzulla - mi auto-censuro, non rilasciando altri dettagli, per evitare applicazioni non proprio a titolo di studio. Il bug da me scoperto è di tipo XSS".

Il consiglio del bug hunter agli utenti Passport è quello di disattivare Javascript finché il problema non sarà risolto, una cautela che può mettere al riparo da possibili furti di identità digitale.
TAG: microsoft
44 Commenti alla Notizia A rischio gli account MS Passport?
Ordina
  • lo vorrei scaricare
    non+autenticato
  • "Cookies were never designed to be an authentication mechanism. But anyone trying to deploy a Web application today doesn't really have much choice," said Marc Slemko, a Seattle-based security expert who has previously discovered cookie-related security problems at Microsoft's Passport service.

    Qui dice che e' stato Marc Slemko a scoprire il problemino su Passport ed e' un articolo di wired??

    Ma allora che centra Salvatore??

    non+autenticato

  • - Scritto da: Anonimo
    > "Cookies were never designed to be an
    > authentication mechanism. But anyone trying to
    > deploy a Web application today doesn't really
    > have much choice," said Marc Slemko, a
    > Seattle-based security expert who has previously
    > discovered cookie-related security problems at
    > Microsoft's Passport service.
    >
    > Qui dice che e' stato Marc Slemko a scoprire il
    > problemino su Passport ed e' un articolo di
    > wired??
    >
    > Ma allora che centra Salvatore??
    >

    RiIleggi bene l'articolo, dice che i cookie non sono stati progettati per essere usati come meccanismo di autenticazione.

    MSN e molti altri portali si affidano ai cookie per tenere traccia dell'utente loggato.
    E' chiaro che un meccanismo del genere è sicuro ,fino a quando in quel portale non c'è un XSS , o che in qualche modo qualcuno ti freghi il cookie.
    non+autenticato
  • e' irraggiugibileDeluso

    Non e' che sia una grave perdita comunqueA bocca aperta

    Anch'io ho scoperto un grave bug riesco a rubare tutte la password di accesso al sistema, basta solo che voi vi mettiate alle spalle di chi sta digit.... ha! basta ho gia' detto troppo, ho segnalato la cosa alla Microsoft ma il tipo ha cominciato a ridere e non ha ancora smesso, allegri quelli della MicrosoftDelusoDeluso
    non+autenticato

  • - Scritto da: Anonimo
    > e' irraggiugibileDeluso
    >
    > Non e' che sia una grave perdita comunqueA bocca aperta
    >

    non credo!
    da buon hacker avrà sicuramente spulciato le eventuali vulnerabilità del suo cms, e magari fixate rendendolo ultrablindato!Deluso
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > e' irraggiugibileDeluso
    > >
    > > Non e' che sia una grave perdita comunqueA bocca aperta
    > >
    >
    > non credo!
    > da buon hacker avrà sicuramente spulciato le
    > eventuali vulnerabilità del suo cms, e magari
    > fixate rendendolo ultrablindato!Deluso

    mi autoriquoto
    se vai sul suo vecchio sito trovi la spiegazione di cosa è successo http://mirabilweb.altervista.org/

    che tristezzaTriste
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > >
    > > - Scritto da: Anonimo
    > > > e' irraggiugibileDeluso
    > > >
    > > > Non e' che sia una grave perdita comunqueA bocca aperta
    > > >
    > >
    > > non credo!
    > > da buon hacker avrà sicuramente spulciato le
    > > eventuali vulnerabilità del suo cms, e magari
    > > fixate rendendolo ultrablindato!Deluso
    >
    > mi autoriquoto
    > se vai sul suo vecchio sito trovi la spiegazione
    > di cosa è successo
    > http://mirabilweb.altervista.org/
    >
    > che tristezzaTriste

    Veramente più che un dos, questo sembra un attocco al DNS, non si riesce a trovare la corrispontenza tra il sito e l'indirizzo IP
    non+autenticato
  • ma dai ma come si faA bocca aperta
    sia questi fantomatici Staralo che Salvatore sono
    una massa di lameroni
    Rotola dal ridere

    http://mirabilweb.altervista.org/
    non+autenticato

  • - Scritto da: Anonimo
    > ma dai ma come si faA bocca aperta
    [CUT]

    [11.50.45] ReDBlaCk: ti ricordo che stai parlando con un membro degli
    staralo
    [11.50.49] ReDBlaCk: se voglio chiamo gli altri
    [11.50.55] ReDBlaCk: e tutti insieme ti facciamo il culo a papera

    Ma quanti anni ha sta gente 5 ?
    Deluso
    non+autenticato
  • ma non vedo manco piu mirabilandia o come si chiama il sito su altervista O_o
    non+autenticato

  • - Scritto da: Anonimo
    > e' irraggiugibileDeluso

    strano, è ancora irraggiungibile.
  • siete pazzi, vi sembra corretto dire "...il giovane hacker italiano..."?
    perchè, ecco, se questo bimbo è un "hackerone" allora chi sviluppa linux o windows, o comunque qualsiasi programmatore chi è?? un super-hacker?????? [ah, non sto' intendendo il programmatore del gestionale in visualbasic...]

    non per dire, ma dire a quel bambino che è un hacker la prendo come una offesa a chi invece è stato un vero hacker [non sto' parlando di me, definirsi hacker=non esserlo].... e disicucro un bambino che mi trova un "bug" del genere, anche se non lo sbandiera hai quattro venti per far parlare di sé, non è un hacker lo stesso.....
    non+autenticato

  • Attento che l'invidia corrode lo spirito e poi ti ritrovi vecchio e zitello prima del tempo senza capire perche'
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Attento che l'invidia corrode lo spirito e poi ti
    > ritrovi vecchio e zitello prima del tempo senza
    > capire perche'

    non penso che qualcuno si invidioso di un lamer....
    cmq era un'obiezione sopratutto contro l'uso scorretto del termine "hacker"......
    non+autenticato

  • - Scritto da: Anonimo
    > siete pazzi, vi sembra corretto dire "...il
    > giovane hacker italiano..."?
    > perchè, ecco, se questo bimbo è un "hackerone"
    > allora chi sviluppa linux o windows, o comunque
    > qualsiasi programmatore chi è?? un
    > super-hacker?????? [ah, non sto' intendendo il
    > programmatore del gestionale in visualbasic...]
    >
    > non per dire, ma dire a quel bambino che è un
    > hacker la prendo come una offesa a chi invece è
    > stato un vero hacker [non sto' parlando di me,
    > definirsi hacker=non esserlo].... e disicucro un
    > bambino che mi trova un "bug" del genere, anche
    > se non lo sbandiera hai quattro venti per far
    > parlare di sé, non è un hacker lo stesso.....

    Vabbe', ok, bravo, credo proprio tu sia il migliore del tuo condominio !
    Adesso lo vuoi imparare l'italiano ? ("hai" quattro venti)

    E, ancora, quando la smetterete TUTTI di considerare il programmatore del gestionale in Visual Basic un programmatore di Serie D ?

    Per ogni software/sviluppo/chiamalocomevuoi di una certa dimensione c'e' una suddivisione. Assegnata a diverse persone. Ogni persona sviluppa esattamente (se non meno) quanto c'e' da sviluppare per un Gestionale.
    C'e' la capra e c'e' quello un po' piu' furbo.
    Che si chiami VisualBasicGestioneFattureRapido o Windows Server 2007.

    ...tralascio il mio Background...

    Svegliatevi !
    non+autenticato
  • ....sarebbe una novità un "bug"(se si puo' chiamare così) del genere?
    blah.........


    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 12 discussioni)