Celebri siti bucabili dai cracker

Celebri siti bucabili dai cracker

Solo i piccoli chiudono un occhio sulla sicurezza? A quanto pare no visto che alcuni fra i più popolari siti web trascurano di aggiornare i propri server
Solo i piccoli chiudono un occhio sulla sicurezza? A quanto pare no visto che alcuni fra i più popolari siti web trascurano di aggiornare i propri server


Web – Nonostante i molti avvertimenti e moniti lanciati negli ultimi 18 mesi dagli esperti di sicurezza, sarebbero ancora moltissime le aziende che sottovalutano il fattore sicurezza e che spesso affidano i loro server a personale sottopagato o di scarsa esperienza.

A dirlo è Dave deVitry, esperto di sicurezza della Infigon Technologies, da tempo impegnato nel sensibilizzare le aziende sui problemi derivanti dal sottovalutare un fattore cruciale come la sicurezza. deVitry ha dimostrato come alcune delle più conosciute falle di sicurezza non affliggano solo i siti di piccola e media dimensione, come ci si potrebbe aspettare, ma anche nomi di prima grandezza come NYTimes, CNet, AOL, Lycos, Citibank, DoubleClick, MSNBC ed Excite, siti attraverso cui i cracker secondo l’esperto potrebbero arrivare in modo relativamente semplice ai dati sensibili di numerosissimi utenti. Quegli stessi siti – ha sottolineato deVitry – che spesso sbandierano la loro presunta inattaccabilità.

A più di 18 mesi dal primo avviso lanciato dal CERT, deVitry ha scoperto come i siti summenzionati – come altri riportati qui – sarebbero ancora vulnerabili ad una famiglia di falle note come Cross Site Scripting (CSS), la stessa che di recente ha interessato anche i server di Hotmail e Passport.

Attraverso il CSS – ha spiegato deVitry – è molto spesso possibile, per un cracker, far girare sul server un proprio script, modificare il sito, rubare i cookie archiviati su altre macchine o, ancora, spacciarsi per un altro utente.

“Quando il responsabile di un sito riceve specifiche informazioni su di una falla di sicurezza – ha detto deVitry – dovrebbe attivarsi immediatamente per correggere il problema”.

Per proteggersi, deVitry suggerisce agli utenti di “disabilitare JavaScript e tenerlo disattivato se non si vuole correre il rischio che i propri dati vengano aperti quando si visita una certa varietà di siti web”.

Lo scorso febbraio il CERT rilasciò invece un documento contenente informazioni dettagliate sui CSS e alcune raccomandazioni per chi amministra siti di e-commerce.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
29 nov 2001
Link copiato negli appunti