Pittsburgh (USA) – Non si placano le preoccupazioni degli esperti di sicurezza riguardo un diffuso tipo di vulnerabilità, conosciuto come Cross Site Scripting (CSS), che affliggerebbe un numero sempre in crescita di siti Web anche molto celebri.
I CSS sono falle che non mettono a repentaglio la sicurezza di un sito quanto, piuttosto, quella degli utenti: attraverso un attacco CSS un cracker potrebbe infatti essere in grado di rubare password, numeri di carte di credito, cookie ed altre informazioni sensibili.
La situazione appare sufficientemente grave da indurre il CERT a pubblicare, a due anni di distanza dal primo e dettagliato avviso di sicurezza , un nuovo documento in cui si descrive il problema e si offrono soluzioni per porvi rimedio.
“I siti Web considerano questa vulnerabilità di minore importanza – ha spiegato Jason Rafail del CERT – ma per i visitatori si tratta di un problema di sicurezza e di privacy piuttosto grosso”.
Nonostante la grande attenzione che gli esperti hanno dato alla questione negli ultimi tempi, i siti colpiti da questa vulnerabilità sono triplicati nel giro di un solo anno e fra quelli a rischio si contano giganti del calibro di AOL, Ebay, MSN, Excite, Lycos e molti altri ancora.
Secondo quanto riportato dal CERT, gli attacchi di tipo CSS sfrutterebbero la possibilità di inviare codice malizioso verso un utente attraverso un sito Web insospettabile. Questo tipo di attacchi viene spesso lanciato inducendo gli utenti a cliccare sul link di una e-mail o di una pagina Web appositamente “confezionate”.
L’allarme era stato lanciato di recente anche dall’esperto di sicurezza Dave de Vitry che sul proprio sito mantiene una lista aggiornata dei siti più celebri vulnerabili al CSS.
All’epoca, de Vitry suggeriva agli utenti del Web di “disabilitare JavaScript e tenerlo disattivato se non si vuole correre il rischio che i propri dati vengano aperti quando si visita una certa varietà di siti web”. Ma, secondo il CERT, questa precauzione non protegge gli utenti da tutti gli altri tipi di script e inficia notevolmente la corretta visualizzazione di molte pagine Web.
Il CERT si augura che in futuro i browser Web possano essere in grado di bloccare tutti gli script che non riportino la firma digitale di un organo di fiducia. Fino ad allora, raccomanda il CERT, i navigatori dovranno porre molta attenzione ai link contenuti nelle e-mail o in siti non noti che puntano verso risorse esterne.
Ti potrebbe interessare
25 gen 2002