Forare un sito con una sola linea di codice

Lo ha fatto un noto esperto di sicurezza, secondo cui la stessa tecnica è applicabile anche a Hotmail e Passport

Seattle (USA) - Basterebbe una sola linea di codice per oltrepassare le difese di Hotmail e Passport - rispettivamente i servizi di Web-mail e autenticazione offerti da Microsoft ai propri utenti - e permettere ad un cracker di accedere a dati sensibili e numeri di carte di credito.

È la seconda volta in un mese che l'esperto di sicurezza Jeremiah Grossman, che ha lanciato questo nuovo allarme, ha avvertito Microsoft del problema consentendole di correggere prontamente la falla.

La tecnica usata per superare le barriere dei serveroni Microsoft porta il nome di Cross Site Scripting (CSS) ed è conosciuta dagli esperti di sicurezza fin dal 1997. Oggi, come ha spiegato Grossman, si stanno però diffondendo nuove tecniche di questo tipo che sfruttano la capacità dei siti Internet e della applicazioni Web di contenere script che puntano ad altre risorse sul Web e che potrebbero consentire l'esecuzione di codice dannoso.
Grossman afferma che queste nuove tecniche dovrebbero mettere in serio allarme tutti i siti di e-commerce.

"Purtroppo - ha affermato Grossman - più il Web cresce in complessità ed interattività, più diviene vulnerabile ad attacchi d'ogni tipo." Ha poi avvertito gli sviluppatori ed i responsabili di sicurezza di "aggiornare quanto prima i propri filtri HTML in tutte le applicazioni basate sul Web, incluse Web-mail, aste on-line, chat HTML e guest book".

Secondo altri esperti, i problemi legati alle tecniche CSS sono seri, ma non meritano allarmismi: "Non credo - ha affermato l'esperto di sicurezza David Litchfield - che saranno molti gli utenti affetti da questi problemi in futuro".
TAG: sicurezza
50 Commenti alla Notizia Forare un sito con una sola linea di codice
Ordina
  • Un pò di giorni fà su www.iol.it c'era un info:
    iol non sarà attivo dalle 12 alle 7 di domani....


    Benone...
    Avranno fatto chissà quale lavoraccio i signori Administrator (no no...meglio dire root)...

    Ma come cavolo è che che con un Diamond Supra Express a 56K (notoriamente bestiale in fatto di stabilità e velocità) continuo a connettermi a 33mila e 600?

    non+autenticato
  • Che bello, ogni tanto qualcuno si accorge del fattore sicurezza! Eh, lo so, fa notizia scrivere:"Celebri siti bucabili dai cracker" oppure "Bucati server australiani dai dDOS".
    Notizie fresche ed attuali, magari strillate da un presentatore del sabato sera con evidente enfasi. (non è il caso di Punto Informatico, uno dei pochi siti 'seri' in Rete).
    Ma che cazzo, le aziende si ostinano a risparmiare sui server ("Allora, abbiamo montato tutto. Il server è pronto, adesso dobbiamo configurare soltanto il routing e..." "Ma quanto ci viene a fare?" "Ecco il preventino" "Nooooooo, è troppo!) ad assumere Amministratori super-raccomandati (e super-ignoranti), però quando si parla di bucargli il sitino bello e caro (caro caro $$$) cominciano a cagarsi sotto!
    E' ipocrisia allo stato puro!
    E allora perchè consigliare ("Beh, veramente io le consiglierei un bell'Unix..." "Unix, e cos'è? Io voglio Windows!"), perchè farsi il culo ad aggiornare giorno per giorno i bug scoperti, perchè studiare e non accontentarsi mai di quello che si sa, perchè provare tutti i possibili exploit sul server appena installato per sentir parlare un giorno emeriti ignoranti della materia che ti diranno:"Ma scusa, chi te lo fa fare?"
    "Scusa! No, scusa davvero se volevo impedire ad un ragazzino che ha studiato un paio di manuali di hacking di bucarti il server (e il culo)!"
    Sottopagato, sfruttato e raggirato!
    Ma sono felice del mio lavoro, anche se la presunzione di alcune persone mi dà sui nervi.
    Parliamo ancora di sicurezza, sempre, ad ogni ora, ma prima di parlare... 'man intelligenza'!
    (LINUX RULEZZZ!)
    Bye!


    SirMcGee
    non+autenticato
  • Salve ank'io ho sperimentato problemi kol modem usb e la red hat, so ke vede tranquillamente usb, xò nn sono riuscito a configurarlo.
    Ho letto ke Linux ha prob kon il protokollo pppoa, e ke funziona in adsl solo kol protokollo pppoe, tra l'altro usando la skeda di rete.
    Se qualcuno fosse in grado di aiutarmi e magari postasse qui qualkosa, kredo sarebbe di aiuto x tutti.
    Io ho un modem usb speedstream della efficient network (ke poi sarebbe alcatel), ho kiesto lumi anke alla efficient ma mi dikono ke allo stato nn esistono drivers x linux.
    Siccome ho notato ke siete molto ferrati su linux gradirei sapere se è possibile usare adsl kon pppoa tramite modem usb.
    Grazie a tutti x la vs. disponibilità
    non+autenticato
  • > Grazie a tutti x la vs. disponibilità

    Amico mio, la disponibilita' si riduce nel consigliare di leggere sempre le solite FAQ o manuali.
    In realta' nessuno sa risponderti, ma non ha neanche il coraggio di dire "non lo so".

    Comunque, partendo dal fatto che il modem usb e' una sola di marketing, tu hai scirtto pppoa e io non so caosa sia, mentre conosco il pppoe e so essere supportato da linux.

    Per il resto ti consiglio una bella scheda ethernet da 50k, che e' sempre meglio di un impiccio sulla scrivania.

    Di piu' non posso aiutarti, ma non sperare nell'aiuto da questi falsi amici che si sentono liberatori dell'informatica mondiale, che non sanno fare di meglio che defilarsi quando qualcosa va oltre il loro sapere.

    Il mio massimo consiglio e' smanetta, bestemmia, leggi le faq che forse qualcosa trovi.
    E soprattutto, rompi le palle ha chi ti ha dato il modem, se te lo garantisce per linux, deve spiegarti come configurarlo.

    Lo so non sono stato di grande aiuto, ma almeno ci ho provato.

    In bocca al lupo
    non+autenticato
  • sei OT!
    ripostala su it.comp.linux
    non+autenticato
  • Ebbene si, che ci crediate o no, Hotmail gira su Freebsd, ci girava prima che microsoft la acquiestasse e ancora ora ci gira, sono in porting verso NT, ma tuttora i server sono Freebsd.
    Ergo: hanno sbagliato qualcosa nell'implementazione di Passport (che gira sotto NT che io sappia) che è il sistema di autentificazione per i servizi che fanno a capo di Microsoft.
    Tu mi dirai: Usassero LInux e apache per Passport.
    Beh! questo è un altro paio di maniche Sorride

    non+autenticato


  • - Scritto da: mf
    > Ebbene si, che ci crediate o no, Hotmail
    > gira su Freebsd, ci girava prima che
    > microsoft la acquiestasse e ancora ora ci
    > gira, sono in porting verso NT, ma tuttora i
    > server sono Freebsd.
    > Ergo: hanno sbagliato qualcosa
    > nell'implementazione di Passport (che gira
    > sotto NT che io sappia) che è il sistema di
    > autentificazione per i servizi che fanno a
    > capo di Microsoft.
    > Tu mi dirai: Usassero LInux e apache per
    > Passport.
    > Beh! questo è un altro paio di maniche Sorride

    UAHUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
    IL PUNTO NON CAMBIA ANCHE SE FOSSE COME TU TUCI (E USO IL "SE FOSSE").
    TUTTO CIO' CHE FA E PRODUCE IL DRAGA DI REDMOND NEGLI ULTIMI 12 ANNI E' FATTO IN FUNZIONE DI "CONTROLLARE" IL MERCATO APPROFITTANDO DELLA SUA FORZA COSTRUITA SULLE MASSE STERMINATE DI UTONTI CHE HA TRAVIATO E CHE GLI HANNO PERMESSO DI ARRIVARE DOVE E'.
    MA IL DRAGA E' ORA QUELLO CHE E' SEMPRE STATO SIN DAGLI INIZI DEL "SUO" DOS E WIN 3.1; UN COPIONE CHE HA COPIATO MALE COSTRUENDO SO/SW TRABALLANTI E PIENI DI BUCHI E BACHI E CHE GRAZIE A INTERNET GLI CROLLERANNO ADDOSSO.
    non+autenticato
  • > Ebbene si, che ci crediate o no, Hotmail
    > gira su Freebsd, ci girava prima che
    > microsoft la acquiestasse e ancora ora ci
    > gira, sono in porting verso NT, ma tuttora i
    > server sono Freebsd.

    si, per fare da dns

    > Ergo: hanno sbagliato qualcosa
    > nell'implementazione di Passport (che gira
    > sotto NT che io sappia) che è il sistema di
    > autentificazione per i servizi che fanno a
    > capo di Microsoft.

    se scrivo male un applicativo, cosa c'entra l'os?
    anche imp o phpnuke sono pieni di buchi
    c'entra linux per caso?

    > Tu mi dirai: Usassero LInux e apache per
    > Passport.
    > Beh! questo è un altro paio di maniche Sorride
    >

    si... maniche molto corte...
    direi che staresti in canotta...
    non+autenticato
  • - Scritto da: mf
    > Ebbene si, che ci crediate o no, Hotmail
    > gira su Freebsd, ci girava prima che
    > microsoft la acquiestasse e ancora ora ci
    ci girava.
    esatto
    e ci girava bene

    > gira, sono in porting verso NT, ma tuttora i
    > server sono Freebsd.
    sbagliato
    hotmail e msn girano su server NT
    il dns gira su freebsd
    è diverso

    non+autenticato
  • > Tu mi dirai: Usassero LInux e apache per
    > Passport.
    > Beh! questo è un altro paio di maniche Sorride

    Non usate passport, usate DotGNU!
    http://www.gnu.org/projects/dotgnu/
    non+autenticato
  • Penso ci siano un paio di inesattezze.

    1) non gira più su FreeBSD & Apache da Luglio 2000

    2) non stanno facendo il porting su NT ma sono già passati a Luglio a windows 2000.

    Se hai bisogno di documentarti trovi qui le informazioni.

    http://www.microsoft.com/technet/treeview/default....
    non+autenticato
  • LA PIANTEREBBERO DI ROMPERE I MARONI CON QUOTIDIANI PERFORAMENTI.
    non+autenticato
  • Alien, mi sei tanto simpatico, ma posso chiederti una cosa? Che cavolo fai tutto il giorno? E' pazzesco, ovunque su PI ci sono tuoi post!!! Su qualunque argomento tiri sempre fuori LINUX!! dimmi, predichi la filosofia Open Source anche quando scopi???
    non+autenticato


  • - Scritto da: curioso
    > Alien, mi sei tanto simpatico, ma posso
    > chiederti una cosa? Che cavolo fai tutto il
    > giorno? E' pazzesco, ovunque su PI ci sono
    > tuoi post!!! Su qualunque argomento tiri
    > sempre fuori LINUX!! dimmi, predichi la
    > filosofia Open Source anche quando scopi???

    UHAUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
    IO SONO UN LIBERO PROFESSIONISTA, E MENTRE RISPONDO QUI HO APERTO "FINESTRE" DEL MIO LAVORO.
    USO IL MULTITHREAD...........
    NAPOLEONE DETTAVA 2 O PIU' LETTERE ALLA VOLTA, QUINDI MENTRE DETTAVA UNA LOVE-LETTER ALLA SUA AMANTE, NE DETTAVA ALTRE 2 STRATEGICHE INERENTI AL SUO "LAVORO".

    LINUX E' UN SO OPEN SOURCE DERIVATO DA UNIX CHE PRESTO SI IMPORRA' ANCHE ALGI "UTONTI" IN QUANTO ANCHE QUESTI ULTIMI SARANNO COSTRETTI A RIPARARSI DAI COLPI ALLA SICUREZZA DEI LORO SISTEMI CHE VENGONO ORMAI A VALANGA DA INTERNET.

    IO NON "PREDICO" LINUX COME UNA RELIGIONE, DIFENDO SOLO LINUX DAGLI ATTACCHI PRETORIANI DEL DRAGASACCOCCE DI REDMOND CHE HA RAPPRESENTATO L' OPPIO DEI SO NEGLI ULTIMI 12 ANNI.



    non+autenticato

  • > LINUX E' UN SO OPEN SOURCE DERIVATO DA UNIX
    > CHE PRESTO SI IMPORRA' ANCHE ALGI "UTONTI"
    > IN QUANTO ANCHE QUESTI ULTIMI SARANNO
    > COSTRETTI A RIPARARSI DAI COLPI ALLA
    > SICUREZZA DEI LORO SISTEMI CHE VENGONO ORMAI
    > A VALANGA DA INTERNET.
    >

    in quel momento l'infomratica avra' ftto un salto indietro di 30 anni.

    ciao ciao
    non+autenticato


  • - Scritto da: penetrator
    >
    > > LINUX E' UN SO OPEN SOURCE DERIVATO DA
    > UNIX
    > > CHE PRESTO SI IMPORRA' ANCHE ALGI "UTONTI"
    > > IN QUANTO ANCHE QUESTI ULTIMI SARANNO
    > > COSTRETTI A RIPARARSI DAI COLPI ALLA
    > > SICUREZZA DEI LORO SISTEMI CHE VENGONO
    > ORMAI
    > > A VALANGA DA INTERNET.
    > >
    >
    > in quel momento l'infomratica avra' ftto un
    > salto indietro di 30 anni.
    >
    > ciao ciao
    Non credo si arrivera' a questo punto,*nix e' immortale , deve ancora nascere un so a quel livello.
    Per quanto riguardo l'accoppiata consiglierei Openbsd + apache

    ciao
    non+autenticato
  • > Non credo si arrivera' a questo punto,*nix
    > e' immortale , deve ancora nascere un so a
    > quel livello.

    finche' tutti si ostineranno a farne dei cloni, senza usare il cervello per inventarsi qualcosa di nuovo, probabilmente hai ragione...
    cmq Plan9 dei Bell Labs, Qnx, BeOS sono tutti indubbiamente superiori a unix, ma un sysadm non lo ammettera' mai che il suo OS preferito e' la cosa piu' lontana dalla mente umana che si possa immaginare...
    e' come se di fronte al telefono con i tastini numerati qualcuno avesse detto "il disco rotante e' immortale, ancora deve nascere un sistema come questo".. che ti garantisce tunnel carpali con tanta facilita' aggiungerei

    > Per quanto riguardo l'accoppiata
    > consiglierei Openbsd + apache
    >

    de gustibus..
    nulla da eccepire sulle scelte altrui.
    non+autenticato
  • > Qnx, BeOS

    Guarda che si parlava di server, non di desktop, multimedialità o sistemi embedded...
    non+autenticato


  • - Scritto da: penetrator
    >
    > > LINUX E' UN SO OPEN SOURCE DERIVATO DA
    > UNIX
    > > CHE PRESTO SI IMPORRA' ANCHE ALGI "UTONTI"
    > > IN QUANTO ANCHE QUESTI ULTIMI SARANNO
    > > COSTRETTI A RIPARARSI DAI COLPI ALLA
    > > SICUREZZA DEI LORO SISTEMI CHE VENGONO
    > ORMAI
    > > A VALANGA DA INTERNET.
    > >
    >
    > in quel momento l'infomratica avra' ftto un
    > salto indietro di 30 anni.
    >

    QUESTO ERA VERO 30 ANNI FA COI PROGRAMMATORI SAPIENTONI MASTERIZZATI "UNIX" CHIUSI NELLA LORO TORRE D' AVORIO.
    NON PIU' ORA.
    SE PARLIAMO DI VERI SO PARLIAMO DI UNOIX O DERIVATI, NON CERO DEI SO WINDRAGA CHE SONO ALTRA COSA.

    > ciao ciao
    non+autenticato
  • > QUESTO ERA VERO 30 ANNI FA COI PROGRAMMATORI
    > SAPIENTONI MASTERIZZATI "UNIX" CHIUSI NELLA
    > LORO TORRE D' AVORIO.
    > NON PIU' ORA.
    > SE PARLIAMO DI VERI SO PARLIAMO DI UNOIX O
    > DERIVATI, NON CERO DEI SO WINDRAGA CHE SONO
    > ALTRA COSA.
    >   

    chi ha mai parlato di windows alien???
    ho mai detto la parola windows?
    indubbiamente i sistemi unix sono antiquati e si sono rinnovati poco.
    E' vero che funzionano, ma se non si evolvono spariranno...
    non+autenticato
  • - Scritto da: penetrator
    > e si sono rinnovati poco.
    già qua....

    > E' vero che funzionano, ma se non si
    > evolvono spariranno...
    senti ma, se ho un sistema che fa ESATTAMENTE TUTTO QUELLO PER CUI MI SERVE benissimo e nel modo che volgio io, perchè dovrei prendermi la briga di evolverlo, modificarlo, col rischio di introdurre difetti??

    Funziona già bene, fa quello per cui l'ho comprato...
    non+autenticato
  • > Funziona già bene, fa quello per cui l'ho
    > comprato...

    ripeto, anche la carrozza assolveva perfettamente ai suoi compiti, torneresti indietro?

    c'e' stato chi ha detto che il telefono era un'invenzione inutile per gli americani, o chi ha detto che il mercato dei computer era valutabile in 5 unita' in tutto il mondo.
    Quest ultimo tizio e' poi divenatto dirigente IBM.
    Se nessuno te la mostra, non saprai mai che (o semplicemente se) esiste una via migliore.

    E' possibile che io mi sbagli, ben inteso.
    Ma l'informatica e' la scienza che evolve piu' rapidamente, rimanere indietro perche' preoccupati dal cambiamento e' un peccato mortale.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)