Alfonso Maruccia

Cookie, una minaccia per le comunicazioni cifrate

L'implementazione della tecnologia dei cookie nei browser Web potrebbe portare alla compromissione delle sessioni HTTPS, avvertono i ricercatori. Il bug è già noto da tempo, le patch esistono ma il pericolo persisterà anche in futuro

Roma - Dal CERT della Carnegie Mellon University arriva l'allarme su una vulnerabilità connessa allo standard RFC 2965, tecnologia per la gestione degli stati HTTP comunemente nota come "cookie" e implementata in maniera non sicura nella maggior parte dei browser. Il rischio consiste nella possibile compromissione delle comunicazioni crittografiche HTTPS.

I cookie non forniscono garanzie per quanto riguarda l'integrità dell'autenticazione, avvertono i ricercatori fin dal mese di agosto, e la vulnerabilità in oggetto potrebbe permettere a un malintenzionato di bypassare la protezione teoricamente garantita da una connessione criptata.

Non esiste meccanismo che permetta di garantire l'autenticazione dei cookie per i sottodomini, né di isolare una porta di rete: sfruttando le due caratteristiche, in teoria è possibile sfruttare un cookie impostato via HTTP (porta 80) per un sottodominio (per.esempio.com) per "impersonare" una comunicazione HTTPS (porta 443) sul dominio principale (esempio.com).
I cookie HTTPS possono avere impostata una "flag" di sicurezza, dicono ancora i ricercatori, ma i browser più usati (inclusi Firefox, Internet Explorer, Chrome, Opera, Safari e altri) non eseguono gli opportuni controlli sul come tale flag sia stata attivata. In realtà la falla è già stata comunicata da tempo e risulta chiusa nelle versioni più recenti dei suddetti browser.

Tutto risolto, quindi? Niente affatto: i ricercatori continuano a ribadire la pericolosità dei cookie, un meccanismo di autenticazione che viene spesso tralasciato o considerato a basso rischio ma che continuerà a riservare spiacevoli sorprese sul fronte della (in)sicurezza.

Alfonso Maruccia
Notizie collegate
  • SicurezzaHTTPS Everywhere, contro la pecora mangiacookieIl tool di EFF pensato per forzare l'uso della connessione protetta sui servizi che la supportano si aggiorna, rendendo più efficaci le proprie difese contro l'estensione ruba-cookie Firesheep
  • SicurezzaTracciamento, supercookie alla riscossaUn nuovo tool permette di tenere traccia delle abitudini di navigazione degli utenti anche in modalità di navigazione anonima. Il problema riguarda tutti i browser più recenti, a esclusione delle ultime release di Firefox
4 Commenti alla Notizia Cookie, una minaccia per le comunicazioni cifrate
Ordina
  • si ok, ma il cattivo di turno deve entrare nel tuo computer prima

    o come dice un vecchio adagio: "se qualcuno ti entra nel pc, allora all bets are off"

    c'è scritto pure sulla home page di Keepass
    non+autenticato
  • - Scritto da: collione
    > si ok, ma il cattivo di turno deve entrare nel
    > tuo computer
    > prima

    Questo e' vero se il computer e' tuo.

    Oggi come oggi la stragrande maggioranza dei computer e' del SO non e' di chi ha comprato il ferro, e il SO risponde al suo padrone.
  • - Scritto da: panda rossa
    > - Scritto da: collione
    > > si ok, ma il cattivo di turno deve entrare
    > nel
    > > tuo computer
    > > prima
    >
    > Questo e' vero se il computer e' tuo.
    >
    > Oggi come oggi la stragrande maggioranza dei
    > computer e' del SO non e' di chi ha comprato il
    > ferro, e il SO risponde al suo
    > padrone.

    dire queste cose, considerando il profilo del lettore medio, e' sprecare il fiato.
    non+autenticato
  • - Scritto da: panda rossa

    > Oggi come oggi la stragrande maggioranza dei
    > computer e' del SO non e' di chi ha comprato il
    > ferro, e il SO risponde al suo
    > padrone.

    nel qual caso è confermata la condizione iniziale, ovvero che "il cattivo di turno deve entrare nel tuo computer"

    chiaramente quando parlo di computer mi riferisco a roba senza spyware ( camuffato da sistema operativo ) preinstallato
    non+autenticato