Problemi di cookies per IE e Mozilla

Tre diffusi browser condividono uno stesso problema di sicurezza legato alla gestione dei cookies. Un aggressore potrebbe sfruttare la falla per rubare l'identità di un utente sul Web. Ma è un'eventualità remota

Roma - La società di sicurezza inglese Westpoint Security ha scoperto una vulnerabilità di sicurezza relativa alla gestione dei cookies che affligge tre fra i principali browser Web in circolazione: Internet Explorer, Mozilla e Konqueror.

Il problema, descritto in questo advisory, consiste nella possibilità, per un sito Web, di scrivere delle informazioni all'interno di un cookie appartenente ad un diverso dominio: questa possibilità potrebbe essere sfruttata da un cracker, attraverso la creazione di una pagina Web malevola, per rubare all'utente il Session ID necessario per entrare in un sito o accedere ad un servizio on-line. Il bug scoperto da Westpoint può tuttavia essere utilizzato con domini differenti da ".com", ".net", ".mil", ".org", ".gov", ".edu", nor ".int" e solo nel caso in cui la seconda parte del dominio sia più lunga di due caratteri.

La falla, considerata di basso rischio, interessa tutte le versioni di Mozilla e di Mozilla Firefox, Konqueror 3.x (fino a KDE 3.2.3) e IE dalla 5.01 alla 6.x. Opera ne è invece immune. Al momento solo KDE.org ha rilasciato una patch.
TAG: sicurezza
76 Commenti alla Notizia Problemi di cookies per IE e Mozilla
Ordina
  • Non capisco una cosa, nell'articolo di P.I. si parla di tutte le versioni di Firefox "La falla, considerata di basso rischio, interessa tutte le versioni di Mozilla e di Mozilla Firefox, Konqueror 3.x (fino a KDE 3.2.3) e IE dalla 5.01 alla 6.x. Opera ne è invece immune", mentre lell'advisory si dice "Tested:
    Internet Explorer 6.0 for Windows 2000, all patches
    Konqueror 3.1.4 for SuSE 9.0
    Mozilla Firefox 0.9.2 for Windows 2000
    Opera 7.51 for Windows 2000".
    La versione 0.9.2 di Firefox non è certo l'ultima e allora?
    non+autenticato
  • Perché se c'è una falla su alcuni servizi internet, essplorer c'è sempre in mezzo?
    Non è che alla microzozz lo facciano apposta?
    Va bè qui abbiamo in ballo anche mozilla e altri, ma il mio è un discorso + ampio.
    Essplorer c'è sempre in mezzo, a volte anche da solo (hihihihi). Bah.Fan Apple

  • - Scritto da: serginogillo
    > Perché se c'è una falla su
    > alcuni servizi internet, essplorer
    > c'è sempre in mezzo?

    Perchè IE ha il 95% del mercato dei browser! E la gente si dedica a trovare i buchi di questo. Degli altri non gliene frega niente a nessuno. Può non piacere ma è così.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: serginogillo
    > > Perché se c'è una falla su
    > > alcuni servizi internet, essplorer
    > > c'è sempre in mezzo?
    >
    > Perchè IE ha il 95% del mercato dei
    > browser! E la gente si dedica a trovare i
    > buchi di questo. Degli altri non gliene
    > frega niente a nessuno. Può non
    > piacere ma è così.

    Non piace e NON e' cosi.

    Puo' essere anche vero che gli sforzi a cercare bug su ie siano maggiori a causa della sua maggior diffusione, ma la risposta corretta alla sua domanda e' che IE e' comunque un colabrodo.
    non+autenticato
  • > Perchè IE ha il 95% del mercato dei
    > browser!

    Puoi indicarmi la fonte di questo dato?
    Io ti indico la mia che da i.e. (tutte le versioni) sotto l'80%

    http://www.w3schools.com/browsers/browsers_stats.a...
    non+autenticato
  • La mia invece fornisce dati sostanzialmente diversi, per esempio:

    http://www.thecounter.com/stats/2004/September/bro...

    L'attendibilità delle statistiche "globali" l'ho sempre vista con molta diffidenza, a prescindere dalle fonti (sempre diverse...). Per quanto riguarda invece i lavori che seguo direttamente, monitorati via server senza troppe complicazioni con servizi esterni, le percentuali sono abbastanza allineate con IE (dal 4 in su) che gira sul 90% circa (il più basso totalizza un 89, il più alto 95%). Trattasi di siti di tipologie diverse e dagli accessi abbastanza diversificati, dal centinaio/giorno al migliaio/giorno. Non è certo un traffico mostruoso ma sono dati raccolti meticolosamente anche per interesse personale.

    * Nota
    probabilmente valori elevati per browser diversi da IE si ottengono con i siti dedicati al mondo dell'informatica. È facile trovare Mozilla e affini su PI, è più complicato averli su un sito di un ospedale, per esempio.

    ==================================
    Modificato dall'autore il 21/09/2004 11.41.45
    186

  • - Scritto da: Anonimo
    >
    > - Scritto da: serginogillo
    > > Perché se c'è una falla su
    > > alcuni servizi internet, essplorer
    > > c'è sempre in mezzo?
    >
    > Perchè IE ha il 95% del mercato dei
    > browser! E la gente si dedica a trovare i
    > buchi di questo. Degli altri non gliene
    > frega niente a nessuno. Può non
    > piacere ma è così.

    Stavolta non e` colpa sua, ma di un qui-pro-quo nelle specifiche del come avrebbero dovuto funzionare i cookies. Hanno sbagliato tutti, ma in realta` non ha sbagliato nessuno perche` tutti si attenevano a delle specifiche ben precise. Anche prendersela con chi aveva ideato le specifiche non avrebbe molto senso: ai tempi in cui furono concepite probabilmente non esistevano domini come ".ltd.uk" e quindi la vulnerabilita` non era prevedibile. E` pura sfortuna, insomma.
    non+autenticato
  • Quando gli altri browser (ma anche gli altri OS) avranno una quota di mercato molto più significativa (rispetto a IE/Windows) allora inizieranno a fiorire virus, worm, spyware, bachi di tutti i tipi anche per loro.

    Se tu facessi un virus e dovessi scegliere, cosa colpiresti? Il 90% del parco utenti o il 10%?
    186
  • - Scritto da: army

    > Se tu facessi un virus e dovessi scegliere,
    > cosa colpiresti? Il 90% del parco utenti o
    > il 10%?

    E tu cosa colpiresti, il 90% o il 100%?
    non+autenticato
  • Mah, io colpirei il 90%. Probabilmente sbaglio ma secondo me chi studia virus e worm è nel 99.99% dei casi un anti-Microsoft e un pro-Open/pro-alternativa. Quindi punta a screditare il 90% e salvaguardare quel 10% restante (fatto di altri OS, altri browser, ecc...).
    186

  • - Scritto da: army
    > Mah, io colpirei il 90%. Probabilmente
    > sbaglio ma secondo me chi studia virus e
    > worm è nel 99.99% dei casi un
    > anti-Microsoft e un
    > pro-Open/pro-alternativa. Quindi punta a
    > screditare il 90% e salvaguardare quel 10%
    > restante (fatto di altri OS, altri browser,
    > ecc...).

    Un po' prevenuto, non credi ?
    non+autenticato
  • Ho per l'appunto specificato "probabilmente sbaglio". Magari si magari no, tu perchè pensi di no?
    186
  • Lasciatelo navigare in pace.

    In fondo lui è il migliore. Forse la differenza vi sembrerà sottile, ma è quella che passa fra dilettanti (tutti i browser) e i professionisti (Opera).


    Ora sbranatemi pure. Tanto ho ragione io.


    non+autenticato

  • - Scritto da: Anonimo
    > Lasciatelo navigare in pace.
    >
    > In fondo lui è il migliore. Forse la
    > differenza vi sembrerà sottile, ma
    > è quella che passa fra dilettanti
    > (tutti i browser) e i professionisti
    > (Opera).
    >
    >
    > Ora sbranatemi pure. Tanto ho ragione io.

    Si... va bene... hai ragione.... però adesso sbrigati che devi andare a scuola...
    non+autenticato

  • - Scritto da: Anonimo
    > Lasciatelo navigare in pace.
    >
    > In fondo lui è il migliore. Forse la
    > differenza vi sembrerà sottile, ma
    > è quella che passa fra dilettanti
    > (tutti i browser) e i professionisti
    > (Opera).
    >
    >
    > Ora sbranatemi pure. Tanto ho ragione io.
    >
    >

    Ne prendo atto. Ma pure col dilettantesco entusiasmo si può rimediare ai propri errori. E questo lo può fare Mozilla come MS. E' una questione di VOLERLO fare.
    non+autenticato



  • > Ne prendo atto. Ma pure col dilettantesco
    > entusiasmo si può rimediare ai propri
    > errori. E questo lo può fare Mozilla
    > come MS. E' una questione di VOLERLO fare.


    Vero, basta vedere come la Mozilla fondation cerca meticolasamente i bug gravi di sicurezza.

    Cmq io reputo Opera il migliore!

    Ma non faccio queste Troll
    non+autenticato
  • L'advisory dice che non e` chiaro.
    Forse ha una lista di domini di secondo livello noti.
    non+autenticato
  • perche settano l'opzione cervello on prima della
    compilazione ovvero al momento della scrittura del
    codice.

    Gli altri probabilmente hanno solo seguito l'RFC piu'
    preoccupati di essere compatibili che di capire quello
    che stavano facendo. In informatica succede spesso.

    Non sai quante volte mi hanno consegnato troiai di
    programmi e alle mie rimostranze dicevano, ma
    guarda che tanto funziona.

    GIO CONDOR
    non+autenticato
  • Per caso hai letto tutto del bug. Ti sei informato seguendo i link. No perchè gli stessi sviluppatori di Opera non son convinti della bontà del loro sistema. Inoltre hai dato un occhiato in bugzilla.
    Credo di no, in caso contrario avresti notato che è da parecchio tempo che hanno notato il problema e che stanno interrogandosi su come risolverlo.

    Sarebbe opportuno chiudersi perchè si ricevono programmi pasticciati. Anche il miglior programmatore non può far molto se deve seguire specifiche sbagliate.

    In questo caso una specifica non contempla un possibile errore. E' necessario risolverlo ma non si può rompere il protocollo perchè in caso contrario anche applicazioni legali non funzionerebbero. Cosa faresti tu? Io sinceramente analizzarei il problema, e notando come in questo caso che comunque la vulnerabilità è bassa, e il bug si presenta solo se chi ha progettato il sito è stato un cane (infatti solo se ha impostato come dominio del cookie quello che è in effetti un TLD) forse io avrei scelto di aspettare a rompere gli standard e avrei iniziato ad approfondire il problema...

    Come ho detto non so cosa avresti fatto tu. Una cosa comunque avresti dovuto fare, settare l'opzione cervello on

    LOL
    non+autenticato
  • Mi chiedo come saltino fuori dei problemi del genere.
    Comuni a piu' browser, ma solo se il dominio e' piu' lungo di 2 caratteri?
    Mah...
    non+autenticato

  • - Scritto da: Anonimo
    > Mi chiedo come saltino fuori dei problemi
    > del genere.
    > Comuni a piu' browser, ma solo se il dominio
    > e' piu' lungo di 2 caratteri?
    > Mah...

    Si vede che i parser se li scrivono a mano, anzichè farseli generare da un po' di regole grammaticali (vedi ANTLR e affini).
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Mi chiedo come saltino fuori dei
    > problemi
    > > del genere.
    > > Comuni a piu' browser, ma solo se il
    > dominio
    > > e' piu' lungo di 2 caratteri?
    > > Mah...
    >
    > Si vede che i parser se li scrivono a mano,
    > anzichè farseli generare da un po' di
    > regole grammaticali (vedi ANTLR e affini).

    E` spiegato dall'advisory: la questione e` partita da una delle regole dei cookies, diffusa tramite un RFC (Request For Comments, una forma di pubblicazione per concetti di base di uno standard, di un protocollo di trasmissione, ecc.). La regola prevedeva che il browser rifiutasse di impostare un cookie che "appartiene" (cioe` puo` e deve essere ritrasmesso) a un dominio di primo livello, altrimenti detto TLD. Cose come .com, .net, .org, .it... sono tutti TLD. La regola pero` non tiene conto di domini di secondo livello che agiscono in tutto e per tutto come domini di primo livello, cioe` .ltd.uk, .co.uk, .com.br, e simili. Questi probabilmente sono stati introdotti in seguito, senza pensare che avrebbero causato questo problema.

    Il browser, in sintesi, pensa che ".com.br" sia un dominio proprio di un sito che si chiama "com" e che si trova in Brasile. Invece, ".com.br" e` un dominio pubblico, e dovrebbe essere trattato alla stregua di un TLD.

    Chi si e` attenuto piu` strettamente alle regole dell'RFC in questione risulta oggi vulnerabile, ma d'altronde, come anche lo staff di Opera ha ammesso, controlli piu` stretti fatti a questo punto potrebbero "spezzare" il funzionamento di molti servizi web che si basano su cookies per riconoscere gli utenti. Cioe` quasi tutti. Un bel problema, non c'e` che dire.

    Cosi` com'e` mi sembra difficilotta da sfruttare, per quel che ho capito i casi sono due: o un dominio di secondo livello che "fa le veci" di uno di primo livello, come nei casi riportati; oppure lo stesso dominio che per una superficialita` nei controlli puo` condividere cookies fra aree protette e non (un cookie da http passa anche su https). Nel secondo caso spero vivamente di aver capito che comunque l'aggressore dovrebbe avere la possibilita` di registrare un cookie sotto quel dominio.
    non+autenticato
  • scusa non ho capito, ammetto di non aver letto l'RFC.

    Ma a me risultava che da un server col nome :
    www.io.tutti.it
    posso scrivere un cookie per
    www.io.tutti.it
    io.tutti.it
    tutti.it
    it   <- escluso dalla RFC

    mentre non mi risulta che sia possibile scrivere cookies per
    altri sottodomini 'vicini', almeno non mi e' riuscito le poche
    volte in cui ci ho provato.
    www.tu.tutti.it
    tu.tutti.it

    Gio Condor
    non+autenticato

  • - Scritto da: Anonimo
    > scusa non ho capito, ammetto di non aver
    > letto l'RFC.
    >
    > Ma a me risultava che da un server col nome :
    > www.io.tutti.it
    > posso scrivere un cookie per
    > www.io.tutti.it
    > io.tutti.it
    > tutti.it
    > it   <- escluso dalla RFC
    >
    > mentre non mi risulta che sia possibile
    > scrivere cookies per
    > altri sottodomini 'vicini', almeno non mi e'
    > riuscito le poche
    > volte in cui ci ho provato.
    > www.tu.tutti.it
    > tu.tutti.it
    >
    > Gio Condor

    Ah, ma non e` che anch'io sia tanto sicuro, ma da quel che ho capito e` come se tu potessi scrivere un cookie per ".it", e quello ti venisse rispedito dal browser per il fatto che il sito e` in un sottodominio di ".it". A tutti i siti che stanno in ".it". Con .it in effetti non si puo`, ma il browser non discerne ".ltd.uk" credendolo un plausibile dominio di secondo livello. Non e` che abbia fatto delle prove, comunque.

    Sul mio sito ho un problema che tenderebbe a farmi pensare che non e` possibile una cosa del genere: essendo accessibile da tre domini leggermente diversi, un set diverso di cookies risultano associati (e ben separati) a ciascuna variante. La cosa piu` clamorosa e` che considera "www.anywherebb.com" come qualcosa di diverso da "anywherebb.com", come se il "www." contasse, e separa i cookie del sottodominio "www" dagli altri, e allora boh? Pero` se dicono che e` possibile, mi fido...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)