Alfonso Maruccia

Cookie, una minaccia per le comunicazioni cifrate

L'implementazione della tecnologia dei cookie nei browser Web potrebbe portare alla compromissione delle sessioni HTTPS, avvertono i ricercatori. Il bug Ŕ giÓ noto da tempo, le patch esistono ma il pericolo persisterÓ anche in futuro

Roma - Dal CERT della Carnegie Mellon University arriva l'allarme su una vulnerabilità connessa allo standard RFC 2965, tecnologia per la gestione degli stati HTTP comunemente nota come "cookie" e implementata in maniera non sicura nella maggior parte dei browser. Il rischio consiste nella possibile compromissione delle comunicazioni crittografiche HTTPS.

I cookie non forniscono garanzie per quanto riguarda l'integrità dell'autenticazione, avvertono i ricercatori fin dal mese di agosto, e la vulnerabilità in oggetto potrebbe permettere a un malintenzionato di bypassare la protezione teoricamente garantita da una connessione criptata.

Non esiste meccanismo che permetta di garantire l'autenticazione dei cookie per i sottodomini, né di isolare una porta di rete: sfruttando le due caratteristiche, in teoria è possibile sfruttare un cookie impostato via HTTP (porta 80) per un sottodominio (per.esempio.com) per "impersonare" una comunicazione HTTPS (porta 443) sul dominio principale (esempio.com).
I cookie HTTPS possono avere impostata una "flag" di sicurezza, dicono ancora i ricercatori, ma i browser più usati (inclusi Firefox, Internet Explorer, Chrome, Opera, Safari e altri) non eseguono gli opportuni controlli sul come tale flag sia stata attivata. In realtà la falla è già stata comunicata da tempo e risulta chiusa nelle versioni più recenti dei suddetti browser.

Tutto risolto, quindi? Niente affatto: i ricercatori continuano a ribadire la pericolosità dei cookie, un meccanismo di autenticazione che viene spesso tralasciato o considerato a basso rischio ma che continuerà a riservare spiacevoli sorprese sul fronte della (in)sicurezza.

Alfonso Maruccia
Notizie collegate
  • SicurezzaHTTPS Everywhere, contro la pecora mangiacookieIl tool di EFF pensato per forzare l'uso della connessione protetta sui servizi che la supportano si aggiorna, rendendo pi¨ efficaci le proprie difese contro l'estensione ruba-cookie Firesheep
  • SicurezzaTracciamento, supercookie alla riscossaUn nuovo tool permette di tenere traccia delle abitudini di navigazione degli utenti anche in modalitÓ di navigazione anonima. Il problema riguarda tutti i browser pi¨ recenti, a esclusione delle ultime release di Firefox
4 Commenti alla Notizia Cookie, una minaccia per le comunicazioni cifrate
Ordina
  • si ok, ma il cattivo di turno deve entrare nel tuo computer prima

    o come dice un vecchio adagio: "se qualcuno ti entra nel pc, allora all bets are off"

    c'è scritto pure sulla home page di Keepass
    non+autenticato
  • - Scritto da: collione
    > si ok, ma il cattivo di turno deve entrare nel
    > tuo computer
    > prima

    Questo e' vero se il computer e' tuo.

    Oggi come oggi la stragrande maggioranza dei computer e' del SO non e' di chi ha comprato il ferro, e il SO risponde al suo padrone.
  • - Scritto da: panda rossa
    > - Scritto da: collione
    > > si ok, ma il cattivo di turno deve entrare
    > nel
    > > tuo computer
    > > prima
    >
    > Questo e' vero se il computer e' tuo.
    >
    > Oggi come oggi la stragrande maggioranza dei
    > computer e' del SO non e' di chi ha comprato il
    > ferro, e il SO risponde al suo
    > padrone.

    dire queste cose, considerando il profilo del lettore medio, e' sprecare il fiato.
    non+autenticato
  • - Scritto da: panda rossa

    > Oggi come oggi la stragrande maggioranza dei
    > computer e' del SO non e' di chi ha comprato il
    > ferro, e il SO risponde al suo
    > padrone.

    nel qual caso è confermata la condizione iniziale, ovvero che "il cattivo di turno deve entrare nel tuo computer"

    chiaramente quando parlo di computer mi riferisco a roba senza spyware ( camuffato da sistema operativo ) preinstallato
    non+autenticato