Cookie, una minaccia per le comunicazioni cifrate

L'implementazione della tecnologia dei cookie nei browser Web potrebbe portare alla compromissione delle sessioni HTTPS, avvertono i ricercatori. Il bug è già noto da tempo, le patch esistono ma il pericolo persisterà anche in futuro
L'implementazione della tecnologia dei cookie nei browser Web potrebbe portare alla compromissione delle sessioni HTTPS, avvertono i ricercatori. Il bug è già noto da tempo, le patch esistono ma il pericolo persisterà anche in futuro

Dal CERT della Carnegie Mellon University arriva l’ allarme su una vulnerabilità connessa allo standard RFC 2965, tecnologia per la gestione degli stati HTTP comunemente nota come “cookie” e implementata in maniera non sicura nella maggior parte dei browser. Il rischio consiste nella possibile compromissione delle comunicazioni crittografiche HTTPS.

I cookie non forniscono garanzie per quanto riguarda l’integrità dell’autenticazione, avvertono i ricercatori fin dal mese di agosto, e la vulnerabilità in oggetto potrebbe permettere a un malintenzionato di bypassare la protezione teoricamente garantita da una connessione criptata.

Non esiste meccanismo che permetta di garantire l’autenticazione dei cookie per i sottodomini, né di isolare una porta di rete: sfruttando le due caratteristiche, in teoria è possibile sfruttare un cookie impostato via HTTP (porta 80) per un sottodominio ( per.esempio.com ) per “impersonare” una comunicazione HTTPS (porta 443) sul dominio principale ( esempio.com ).

I cookie HTTPS possono avere impostata una “flag” di sicurezza, dicono ancora i ricercatori, ma i browser più usati (inclusi Firefox, Internet Explorer, Chrome, Opera, Safari e altri) non eseguono gli opportuni controlli sul come tale flag sia stata attivata. In realtà la falla è già stata comunicata da tempo e risulta chiusa nelle versioni più recenti dei suddetti browser.

Tutto risolto, quindi? Niente affatto: i ricercatori continuano a ribadire la pericolosità dei cookie , un meccanismo di autenticazione che viene spesso tralasciato o considerato a basso rischio ma che continuerà a riservare spiacevoli sorprese sul fronte della (in)sicurezza.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

29 09 2015
Link copiato negli appunti