Alessandro Del Rosso

Safari e IE non difendono le password?

A sostenerlo è un ricercatore, che afferma di aver individuato una falla nel sistema di autocompletamento dei campi del browser Apple e di quello Microsoft. Problemi anche per Firefox e Chrome

Roma - La funzione di autocompletamento delle form di Safari e Internet Explorer potrebbe esporre gli utenti a gravi rischi per la sicurezza. A rivelarlo è stato il ricercatore Jeremiah Grossman, CTO di WhiteHat Security, secondo il quale l'autocompletanto può essere sfruttato da malintenzionati per ottenere dati personali come password, numeri di carta di credito e indirizzi email.

Grossman ha detto che rilascerà un attacco proof-of-concept in occasione dell'imminente conferenza Black Hat di Las Vegas, in programma la prossima settimana: questo attacco dovrebbe dimostrare come sia possibile costruire una pagina web che, senza alcuna interazione da parte dell'utente, sia in grado di sottrarre i dati relativi all'autocompletamento delle form. In pratica si tratta di un JavaScript che inserisce automaticamente lettere e numeri all'interno di un campo di testo e attende che il browser li autocompleti: ad esempio, inserendo la lettera "p" all'interno del campo "email", un sito web maligno potrebbe ottenere in risposta un indirizzo di posta elettronica che inizi per quella lettera.

Il ricercatore USA afferma che il suo attuale exploit funziona con le versioni 4 e 5 di Safari e con le versioni 6 e 7 di IE. Firefox e Chrome non sono vulnerabili a questo particolare attacco, ma Grossman afferma che soffrono di una debolezza cross-site scripting che può consentire ad un aggressore di ottenere user name e password salvate dal browser.
Il dirigente di WhiteHat Security afferma di aver avvisato Apple del problema oltre un mese fa, ma di non aver ancora ricevuto alcuna risposta.

Alessandro Del Rosso
66 Commenti alla Notizia Safari e IE non difendono le password?
Ordina
  • - Scritto da: Dovellas
    > http://www.microsoft.com/italy/windows/internet-ex


    Funzionalità: novità in Internet Explorer 8

    Visualizza qualsiasi sito senza problemi

    Ora puoi visualizzare senza problemi anche i siti Web che sono stati progettati per le versioni precedenti del browser. Se quando guardi una pagina ti accorgi che il testo o le immagini non sono allineate correttamente, ti basta utilizzare il nuovo pulsante Visualizzazione Compatibilità accanto al pulsante Aggiorna sulla barra degli indirizzi.

    Rotola dal ridere Rotola dal ridere Rotola dal ridere
  • - Scritto da: MarcDeMarc
    > - Scritto da: Dovellas
    > >
    > http://www.microsoft.com/italy/windows/internet-ex
    >
    >
    > Funzionalità: novità in Internet Explorer 8
    >
    > Visualizza qualsiasi sito senza problemi
    >
    > Ora puoi visualizzare senza problemi anche i siti
    > Web che sono stati progettati per le versioni
    > precedenti del browser. Se quando guardi una
    > pagina ti accorgi che il testo o le immagini non
    > sono allineate correttamente, ti basta utilizzare
    > il nuovo pulsante Visualizzazione Compatibilità
    > accanto al pulsante Aggiorna sulla barra degli
    > indirizzi.
    >
    > Rotola dal ridere Rotola dal ridere Rotola dal ridere

    tristezza infinita
    non+autenticato
  • e, nelle "maggiori informazioni":

    Trattandosi di una nuova versione, alcuni siti Web potrebbero non essere ancora pronti per una corretta visualizzazione con Internet Explorer 8.

    capito?
    sono i siti a non essere ancora pronti...
    non+autenticato
  • L'idea stessa della completion automatica comporta dei rischi di debolezza abbastanza evidenti.
    Che questi rischi in alcune situazioni si concretizzino mi pare una conseguenza naturale.
    Gli automatismi hanno sempre un prezzo.
    non+autenticato
  • - Scritto da: ullala

    > Gli automatismi hanno sempre un prezzo.

    Se li fai male si. Ad esempio, in questo caso l'automatismo non distingue tra interazione con l'utente e interazione con uno script.
    FDG
    10893
  • Se scelgo di usare l'autocompletamento di form, che venga riempito in automatico un campo email è quello che mi aspetto.
    Le nomi utente e password — almeno su Safari — sono abbinati a domini e mi sembra strano che per come è descritto l'attacco li possa ottenere da un pagina su altro dominio.
    Teo_
    2638
  • Anche su ie sono abbinate al dominio (user e pwd)......

    Nell'articolo si parla cm di vecchie versioni di ie: 6e.7
    non+autenticato
  • - Scritto da: Teo_
    > Se scelgo di usare l'autocompletamento di form,
    > che venga riempito in automatico un campo email è
    > quello che mi aspetto.
    >
    > Le nomi utente e password — almeno su Safari —
    > sono abbinati a domini e mi sembra strano che per
    > come è descritto l'attacco li possa ottenere da
    > un pagina su altro
    > dominio.

    l'attacco è carino e ben pensato.. praticamente con uno javascript simula l'inserimento della prima lettera sul form che poi viene autocompletata e grabbata e lo stesso funziona anche con la carta di credito.. ben pensato.. bravo grossman
  • - Scritto da: lordream

    > l'attacco è carino e ben pensato.. praticamente
    > con uno javascript simula l'inserimento della
    > prima lettera sul form che poi viene
    > autocompletata e grabbata e lo stesso funziona
    > anche con la carta di credito.. ben pensato..
    > bravo
    > grossman

    Con la carta di credito non può funzionare, almeno su Mac, perché l'auto completamento non inserisce automaticamente campi numerici.
  • - Scritto da: Teo_

    > Se scelgo di usare l'autocompletamento di form,
    > che venga riempito in automatico un campo email è
    > quello che mi aspetto.

    Dovrebbe funzionare solo quando è l'utente a inserire i caratteri, non javascript. È questo il problema.
    FDG
    10893
  • - Scritto da: FDG
    > - Scritto da: Teo_
    >
    > > Se scelgo di usare l'autocompletamento di form,
    > > che venga riempito in automatico un campo email
    > è
    > > quello che mi aspetto.
    >
    > Dovrebbe funzionare solo quando è l'utente a
    > inserire i caratteri, non javascript. È questo il
    > problema.

    Ah, beh, allora invece che tentare con i caratteri, su Safari si fa prima con il comando "freccia giù".
    Continua a sembrarmi un problema minimo, anche perché un form che mi fa memorizzare i dati di carta di credito non l’ho ancora trovato. Stesso discorso del login automatico o di altri automatismi: si tratta di scegliere il compromesso più adatto alle proprie esigenze fra comodità e sicurezza.
    Teo_
    2638
  • penso che sui servers https non funzioni l'exploit
    non+autenticato
  • beh.. non è importante se funziona o meno.. è interessante sopratutto il metodo.. partendo da quei presupposti si possono fare attacchi piu articolati e pericolosi.. grossmann ci ha visto giusto.. [ot]spero la redazione mandi qualcuno al meeting a LA magari annunziata visti i trascorsi lol
  • - Scritto da: Teo_

    > > Dovrebbe funzionare solo quando è l'utente a
    > > inserire i caratteri, non javascript. È questo il
    > > problema.
    >
    > Ah, beh, allora invece che tentare con i
    > caratteri, su Safari si fa prima con il comando
    > "freccia giù".

    Scusa la domanda, ma hai capito quello che ho scritto?
    FDG
    10893
  • - Scritto da: FDG
    > - Scritto da: Teo_
    >
    > > > Dovrebbe funzionare solo quando è l'utente a
    > > > inserire i caratteri, non javascript. È
    > questo
    > il
    > > > problema.
    > >
    > > Ah, beh, allora invece che tentare con i
    > > caratteri, su Safari si fa prima con il comando
    > > "freccia giù".
    >
    > Scusa la domanda, ma hai capito quello che ho
    > scritto?

    Sì, se il javascript simula il tasto freccia giù due volte, becca il primo dato di riempimento automatico invece che fare passare tutto l’alfabeto.
    Teo_
    2638
  • - Scritto da: Teo_
    > - Scritto da: FDG
    > > - Scritto da: Teo_
    > >
    > > > > Dovrebbe funzionare solo quando è l'utente a
    > > > > inserire i caratteri, non javascript. È
    > > questo
    > > il
    > > > > problema.
    > > >
    > > > Ah, beh, allora invece che tentare con i
    > > > caratteri, su Safari si fa prima con il
    > comando
    > > > "freccia giù".
    > >
    > > Scusa la domanda, ma hai capito quello che ho
    > > scritto?
    >
    > Sì, se il javascript simula il tasto freccia giù
    > due volte, becca il primo dato di riempimento
    > automatico invece che fare passare tutto
    > l’alfabeto.

    Ripeto: "dovrebbe funzionare solo quando è l'utente a inserire i caratteri, non javascript". Il tasto "freccia" che carattere è?
    FDG
    10893
  • Certo che chi usa prodotti microsoft pensando di essere al sicuro farebbe meglio a fare un corso base di tecnica compiuteristica
    Ma chi è che memorizza le password su IE?????
  • eh si che commento da gran tecnico, la sagra delle banalita' proprio
    non+autenticato
  • - Scritto da: CrepaFlash
    > eh si che commento da gran tecnico, la sagra
    > delle banalita'
    > proprio

    secondo te bisogna essere dei gran tecnici di compiutersistica x sapere la scarsità di sicurezza dei prodotti ciofeca?
    fai un corso base x inesperti e vedrai che impari qualche cosa Occhiolino
  • No, ma almeno la parola computer la sappiamo scrivere. A bocca aperta
    non+autenticato
  • allora scrivi bene la parola mentre ti rubano le password Sorride
  • Peccato non usi ne' l'uno ne' l'altro.

    Ho altro sul mio compiuter
    non+autenticato
  • - Scritto da: hacher
    > Certo che chi usa prodotti microsoft pensando di
    > essere al sicuro farebbe meglio a fare un corso
    > base di tecnica compiuteristica

    perchè secondo te usare Firefox, che oltretutto non ha uno straccio di sandbox, ti rende più sicuro?
    Beccati questa news: "Firefox 3.6.7 corregge 14 vulnerabilità di sicurezza, 8 delle quali classificate con il massimo livello di rischio"
    http://punto-informatico.it/2949655/PI/News/mozill...
    non+autenticato
  • Almeno Firefox le corregge... Con la lingua fuori
    Fan Linux
    -----------------------------------------------------------
    Modificato dall' autore il 23 luglio 2010 08.37
    -----------------------------------------------------------
  • e per quanto tempo è stato vulnerabile??? e quante altre ce ne sono ancora aperte? tante!
    non+autenticato
  • Ce le linki tutte?
    non+autenticato
  • - Scritto da: sburrotto
    > e per quanto tempo è stato vulnerabile??? e
    > quante altre ce ne sono ancora aperte?
    > tante!


    ma state a scherzare o dite sul serio?.. mozilla lavora per tappare le falle e utilizza sistemi di rilevazione dei bug oltre a pagare per chi rileva le falle.. safari è il browser con piu bug al mondo e lo segue a ruota IE.. lamentatevi di loro invece di lamentarvi di mozilla che invece lavora costantemente alla sicurezza
  • Un Mac che esce dalla fabbrica non ha molte opzioni attive per difendersi dagli altri.
    Ad esempio se uno accende il computer non gli viene chiesta la password e chiunque può curiosare sull'attività dell'utente.
    Anzi, con la cronologia lunga e dettagliata che si tiene, è possibile vedere le pagine visitate anche di un mese fa con tanto di anteprima, leggibilissimi anche se con caratteri piccoli.

    Almeno questa è la mia esperienza con un MacBook Pro unibody che ha 15 giorni di vita.
    non+autenticato
  • Che dire..imparerai ad usarlo anche tu..
    I settings esistono per un motivo, oltretutto si tratta di preferenze..il mio computer non finisce mai in mano altrui, perciò la cronologia mi torna parecchio utile..certo, se uno si guarda siti porno tutto il giorno e poi cede la postazione alla moglie, magari merita anche di essere "beccato"..
    ;)
    non+autenticato
  • magari è la volta buona che la moglie trova un idea originale..
    non+autenticato
  • Io lo so usare, almeno cerco di imparare e capire.
    Però mi spaventa che tutti quelli che ho trovato in giro hanno le impostazioni come da fabbrica...
    Certo come i pc Windows del resto, non è una discriminante solo della Mela.

    La prima cosa che ho fatto è far chiedere la password e bloccare le impostazioni, per sloccare le quali è necessario digitare nuovamente la password.

    Siti porno nessuno per ora ma mi sono preoccupato un po' quando ho visto le pagine in chiaro con dati sensibili già compilati, opppure quasi tutte le ricerche su Google (l'anteprima mostra la prima pagina dei risultati).

    Devo farci un po' su la mano ancora.Occhiolino
    non+autenticato
  • - Scritto da: Nome e cognome
    > Io lo so usare, almeno cerco di imparare e capire.
    > Però mi spaventa che tutti quelli che ho trovato
    > in giro hanno le impostazioni come da
    > fabbrica...
    > Certo come i pc Windows del resto, non è una
    > discriminante solo della
    > Mela.

    Il 99% dei sistemi mantiene la configurazione di fabbrica, solo che mentre la configurazione di fabbrica di M$ e' del tipo "permetti tutto a cani&porci", quella di linux e' "non permettere niente a nessuno".
    Del mac non so perche' io coi giocattoli ho smesso da piccolo.
  • Provali , si sono evoluti anche i giocattoli
    non+autenticato
  • - Scritto da: nodo
    > Provali , si sono evoluti anche i giocattoli

    Purtroppo ho solo 2000 euro da buttar via, non credo che bastino.
  • Un cervello te lo puoi permettere lo stesso
    non+autenticato
  • - Scritto da: Pandaffan
    > Un cervello te lo puoi permettere lo stesso

    Un cervello e' incompatibile con Apple: e' chiaramente scritto nei prerequisiti.
  • Mi li linki? Così verifichiamo che invece il cervello è incompatibile con te!
    non+autenticato
  • gne gne gne l' ultima parola la devo dire io... lol
    non+autenticato