Dal CERT della Carnegie Mellon University arriva l’ allarme su una vulnerabilità connessa allo standard RFC 2965, tecnologia per la gestione degli stati HTTP comunemente nota come “cookie” e implementata in maniera non sicura nella maggior parte dei browser. Il rischio consiste nella possibile compromissione delle comunicazioni crittografiche HTTPS.
I cookie non forniscono garanzie per quanto riguarda l’integrità dell’autenticazione, avvertono i ricercatori fin dal mese di agosto, e la vulnerabilità in oggetto potrebbe permettere a un malintenzionato di bypassare la protezione teoricamente garantita da una connessione criptata.
Non esiste meccanismo che permetta di garantire l’autenticazione dei cookie per i sottodomini, né di isolare una porta di rete: sfruttando le due caratteristiche, in teoria è possibile sfruttare un cookie impostato via HTTP (porta 80) per un sottodominio ( per.esempio.com ) per “impersonare” una comunicazione HTTPS (porta 443) sul dominio principale ( esempio.com ).
I cookie HTTPS possono avere impostata una “flag” di sicurezza, dicono ancora i ricercatori, ma i browser più usati (inclusi Firefox, Internet Explorer, Chrome, Opera, Safari e altri) non eseguono gli opportuni controlli sul come tale flag sia stata attivata. In realtà la falla è già stata comunicata da tempo e risulta chiusa nelle versioni più recenti dei suddetti browser.
Tutto risolto, quindi? Niente affatto: i ricercatori continuano a ribadire la pericolosità dei cookie , un meccanismo di autenticazione che viene spesso tralasciato o considerato a basso rischio ma che continuerà a riservare spiacevoli sorprese sul fronte della (in)sicurezza.
Alfonso Maruccia
Ti potrebbe interessare
29 set 2015