Sicurezza/Una brutta falla per Netscape

Dopo Microsoft è la volta di Netscape Navigator mostrare qualche falla nella sicurezza: si tratta di una pericolosa debolezza nel protocollo SSL, utilizzato per il commercio elettronico e l'home banking

Negli articoli precedenti abbiamo visto come ActiveX e Microsoft possano causare gravi problemi di sicurezza al nostro sistema. Questa settimana tratteremo, invece, una falla nel prodotto di punta della "rivale" Netscape.

Molto velocemente, la falla riguarda il protocollo sicuro SSL e le rispettive navigazioni/transazioni sicure sul web. Il problema è stato risolto rilasciando documentazione sull'argomento e un aggiornamento per tutti i possessori di Navigator/Communicator 4.* (quelli testati sono il 4.72, 4.61 e 4.07, ma quasi certamente vale anche per le altre versioni).
Tutti i link utili potrete trovare nell'ultima parte dell'articolo.

Per chi non conoscesse cos'è il protocollo sicuro SSL (Secure Socket Layer), basti sapere che questo si incarica di creare una sorta di "tunnel " fra l'utente ed il sito a cui è collegato: tutto ciò che transita all'interno di questo tunnel viene crittografato in modo da renderlo abbastanza sicuro da occhi indiscreti (leggi hacker).
In pratica, quando voi vi connettete ad un server sicuro, il server "presenta" al vostro browser il proprio certificato contenente la propria chiave pubblica, a questo punto il browser esegue tre verifiche:

- il certificato deve essere stato rilasciato (e quindi contrassegnato) dalle società autorizzate come Verisign, Thawte, eccetera;

- il certificato non deve essere scaduto (la data di scadenza deve essere più vecchia della data del sistema operativo dove il browser è installato);

Il certificato deve essere "marchiato" solo per il server a cui vi state connettendo (ad esempio: voi siete connessi a www.punto-informatico.it e il certificato deve essere contrassegnato solo ed esclusivamente per www.punto-informatico.it).

Se queste condizioni sono vere, il browser accetta il certificato e accede alla pagine su protocollo sicuro, altrimenti visualizza un avvertimento all'utente lasciando a lui la scelta se operare ugualmente oppure annullare l'operazione.
TAG: sicurezza