Cookie a rischio per Internet Explorer

Microsoft annuncia una patch che deve ancora arrivare. Nell'attesa, massima allerta per non farsi copiare o modificare i cookie che, talvolta, contengono informazioni sensibili

Cookie a rischio per Internet ExplorerRedmond (USA) - Arriva dal quartiere generale di Microsoft la conferma di un buco di sicurezza nelle ultime versioni del browser dell'azienda, Internet Explorer. Un buco che mette a rischio i cookie, i file di dati utilizzati da molti siti per i propri servizi online che vengono "infilati" sui computer degli utenti. La falla consente, in certe condizioni, di leggere il contenuto dei cookie o di modificarli. Il buco riguarda Internet Explorer 5.5 e Internet Explorer 6.0.

Stando ad un bollettino di sicurezza della stessa Microsoft, esiste una vulnerabilità perché è possibile costruire una URL che può consentire ai siti che la utilizzano di accedere ai cookie dei propri utenti ed eventualmente agire sui contenuti. Poiché ci sono siti che nei cookie infilano informazioni personali importanti, spiega Microsoft, ne consegue un rischio per la sicurezza delle informazioni personali contenute in quei file.

"Microsoft - si legge nella nota - sta preparando una patch per risolvere il problema ma nel frattempo invita i clienti a proteggere i propri sistemi disabilitando l'active scripting". Secondo Microsoft questo eviterà sia l'attacco via URL, sia un simile attacco che può essere perpetrato da un eventuale aggressore attraverso una email formattata in HTML.
Microsoft avverte comunque che gli utenti di Outlook che hanno installato la Outlook Email Security Update non sono comunque a rischio per quanto riguarda l'attacco via email HTML.

Secondo Jouko Pynnonen, l'esperto di sicurezza che ha individuato il buco e ne ha parlato su SecurityFocus.com, il problema sta nel fatto che il browser Microsoft gestisce certe URL costruite con "about:". Una URL che inizia con about: può contenere codice HTML che il browser esegue. Nella URL può anche essere inserito codice JavaScript.

Pynnonen ha anche indicato una pagina web, che si trova qui, che consente di testare il proprio browser e verificare il livello di rischio.

L'esperto finlandese ha anche sottolineato che Microsoft ha reagito rapidamente dopo che all'azienda è stata notificata l'esistenza del buco ed è appunto al lavoro per realizzare una patch di sicurezza per gli utenti Windows.
TAG: privacy
30 Commenti alla Notizia Cookie a rischio per Internet Explorer
Ordina
  • M$$$ avesse il suo interesse nel lasciare falle di sicurezza nei vari programmi che sviluppa??? Potrebbe avere accesso in modo del tutto gratuito a varie informazioni sugli utenti....
    Sono anni che M$$$ sviluppa software e puntualmente le prime falle che si scoprono sono quelli relativi alla sicurezza....
    La cosa inizia a puzzare...
    Inoltre pochi giorni fa ho appreso che collegando a Internet con WinXP e IE6 c'e' il rischio che la M$$$ venga a sapere se hai programmi originali o meno ( anche di terzi... )
    Se questa e' sicurezza....mah!!
    non+autenticato
  • potrebbe in teoria leggere cookie settati da altri siti, non vuol dire nulla.
    Un conto e' sapere che posso leggerli, un conto e' sapere come leggerli, cioe' a cosa corrispondono quei valori.
    Non mi pare una falla cosi' pericolosa... anche perche' se conosco il formato di un cookie, posso anche crearne di finti, senza bisogno di leggere quelli altrui....
    Nessun sito poi, tiene nei cookies dati come la carta di credito o roba del genere...

    Ciao
    non+autenticato


  • - Scritto da: maks
    > potrebbe in teoria leggere cookie settati da
    > altri siti, non vuol dire nulla.
    > Un conto e' sapere che posso leggerli, un
    > conto e' sapere come leggerli, cioe' a cosa
    > corrispondono quei valori.
    In effetti e' piu' preciso dire "puo' leggere"
    il condizionale penso sia stato usato solo
    nel senso "se e' interessato".
    Ho provato con il mio portatile con WinMe.
    Il loro server web è in grado di leggere
    tutte le info settate nei cookie.

    > Non mi pare una falla cosi' pericolosa...
    > anche perche' se conosco il formato di un
    > cookie, posso anche crearne di finti, senza
    > bisogno di leggere quelli altrui....
    > Nessun sito poi, tiene nei cookies dati come
    > la carta di credito o roba del genere...
    In effetti la sicurezza dipende anche da cosa
    i server memorizzano nei cookie.
    Purtroppo molti server utilizzano i cookie per
    gestire la sicurezza, tracciando "univocamente"
    le sessioni. Questo fintanto che il cookie
    rimane locale. Se invece il browser inizia a
    diffondere i cookie in tutto il mondo addio
    sicurezza.

    Comunque basta saperlo...
    ed aggiornare le informazioni ad ogni nuovo
    rilascio, patch, configurazione etc.etc.
    Naturalmente i problemi non esistono solo
    per i software M$, solo che i problemi dei
    SW M$ sono scandalosamente numerosi.

    >
    > Ciao
    non+autenticato
  • - Scritto da: GIO CONDOR

    > > Non mi pare una falla cosi' pericolosa...
    > > anche perche' se conosco il formato di un
    > > cookie, posso anche crearne di finti,
    > > senza bisogno di leggere quelli altrui....
    > > Nessun sito poi, tiene nei cookies dati
    > > come la carta di credito o roba del
    > > genere...

    Solo un esempio: quando leggi la osta via web, o qualsiasi posto in cui ti iscrivi ti da' la possibilita' di evvitarti di riscrivere la password quando torni sulla pagina: la tua logi e password sono quindi su un coochie
    non+autenticato
  • > Solo un esempio: quando leggi la osta via
    > web, o qualsiasi posto in cui ti iscrivi ti
    > da' la possibilita' di evvitarti di
    > riscrivere la password quando torni sulla
    > pagina: la tua logi e password sono quindi
    > su un coochie

    MALE!
    io non faccio cosi'....
    io ti assegno un UID univoco e incrociando quello con l'ip di provenienza, mi ricavo i tuoi dati salavti sul server (sql, sessioni, file di testo o quello che sia).
    In piu' le sessioni hanno durata limitata.
    Se per almeno 15 minuti non c'e' accesso da quell'id vengono annullate e ritenute non piu' valide.

    Quindi, anche leggendo il cookie, non ci farebbero nulla.
    Ammesso che capiscano come usare i dati contenuti nel cookie...

    ciao
    non+autenticato


  • - Scritto da: maks

    >
    > MALE!
    > io non faccio cosi'....
    > io ti assegno un UID univoco e incrociando
    > quello con l'ip di provenienza, mi ricavo i
    > tuoi dati salavti sul server (sql, sessioni,
    > file di testo o quello che sia).


    Che bello! Così se 2 utenti si connettono da dietro lo stesso proxy&firewall ognuno può usare i dati dell'altro...... (visto fare realmente)

    non+autenticato
  • > Che bello! Così se 2 utenti si connettono da
    > dietro lo stesso proxy&firewall ognuno può
    > usare i dati dell'altro...... (visto fare
    > realmente)
    >

    no, perche' negli header http c'e' scritto se usi
    un proxy.
    Ovviamente non c'e' scritto se usi nat.
    Ma questo e' un limite di http.
    Purtroppo la natura stateless di http, non consente di tracciare al 100% la provenienza delle chiamate, per quello che e' possibile si cerca per lo meno di circoscrivere il problema.
    Ad esempio impedendo l'accesso diretto alle pagine interne di un sito se non ci si e' autenticati.
    Ad esempio utilizzando solo cookie di sessione.
    Ad esempio impedendo cose tipo "salva password".

    Tutto e' perfettibile, ma sinceramente lasciare dati sensibili nei cookie permanenti e' al limite della stupidita'.

    ciao
    non+autenticato
  • Ma tua sorella è su un cookie!
    Evita di dire ca22ate. Grazie.
    non+autenticato
  • - Scritto da: maks
    > Non mi pare una falla cosi' pericolosa...
    > anche perche' se conosco il formato di un
    > cookie, posso anche crearne di finti, senza
    > bisogno di leggere quelli altrui....
    > Nessun sito poi, tiene nei cookies dati come
    > la carta di credito o roba del genere...

    gia'... come e-trade, il corrispondente di banca sella in america, che manteneva login e password di accesso al conto corrente dell'utente in un cookie, criptati con un xor
    non+autenticato
  • scusate, voi riuscite a farlo funzionare senza passport e riuscite a personalizzare (mettere quello che diavolo volete) la home page?

    insomma riuscite ad usarlo come browser o solo come browser Microsoft?

    non+autenticato
  • Nei limiti in cui rientra win e i sw per win, la domanda è se si fà il max da parte di M$ per evitare i bug di qualunque natura, non solo quelli per la security.
    Certamente win/sw win, sono destinati ad essere un sw facilmente usabile, che come contropartita (non è possibile avere tutto) presenta dei limiti, anche nel numero di bug. Ci si concentra di più sull'usabilità (anche per il gatto di casa) del sw M$, invece che sulle performance, stabilità, sicurezza. E questo è "normale", è una scelta della M$, e chi sceglie quel sw deve sapere che questo ha quei limiti (ma M$ evita di dirlo).
    La M$ ha ammesso, che il sw open source, tende ad essere più performante, meno bug-ato, ma aggiunge è impossibile farci del buisness, anzi secondo la M$ sw open source rappresentano un danno per le aziende (sw open è antiamericano, anticapitalista, etc.). Quindi il modello di buisness della M$ è diverso, ed è una scelta magari criticabile, ma che si deve rispettare.
    Ora, nei limiti di cui gode il sw M$, cioè essere sw win e closed; la domanda è: la M$, entro i limiti suddetti, sta facendo il max per fornire l'ut. di un sw buono, il meno bug-ato possibile?
    Se si confrontano il numero di bug dei sw M$ la risposta mi viene spontanea di no.
    E cioè, pur rimanendo entro i limiti di cui sopra, si potrebbe, anzi si dovrebbe, fare meglio. Daltronde win2000 al rilascio soffriva di più di 60000 bug, e se pur si accettino i limiti suddetti mi sembrano troppi.
    Alla M$ si preferisce concentrarsi su cavolate come l'interfacce da circo, che catturano l'utente, senza badare al resto; l'importante è vendere; magari risparmiando sulle spese, e prendersela con chi individua i bug
    non+autenticato
  • ho come l'impressione che per la M$ un sw deve essere bello accattivante...poi se il funzionamento è sufficiente non è grave....e purtroppo hanno abituato l'utente medio a spendere per avere qualcosa che si presenta bene (ma ki se ne frega del plus per win!!!) a scapito della performance! peccato
    non+autenticato
  • agli esperti che hanno "sconsigliato" di utilizzarre i suoi O.S. per motivi di sicurezza ?

    forse perche' avevano ragione al 1.000 % ?
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)