Cookie, una minaccia per le comunicazioni cifrate

L'implementazione della tecnologia dei cookie nei browser Web potrebbe portare alla compromissione delle sessioni HTTPS, avvertono i ricercatori. Il bug è già noto da tempo, le patch esistono ma il pericolo persisterà anche in futuro

Roma – Dal CERT della Carnegie Mellon University arriva l’ allarme su una vulnerabilità connessa allo standard RFC 2965, tecnologia per la gestione degli stati HTTP comunemente nota come “cookie” e implementata in maniera non sicura nella maggior parte dei browser. Il rischio consiste nella possibile compromissione delle comunicazioni crittografiche HTTPS.

I cookie non forniscono garanzie per quanto riguarda l’integrità dell’autenticazione, avvertono i ricercatori fin dal mese di agosto, e la vulnerabilità in oggetto potrebbe permettere a un malintenzionato di bypassare la protezione teoricamente garantita da una connessione criptata.

Non esiste meccanismo che permetta di garantire l’autenticazione dei cookie per i sottodomini, né di isolare una porta di rete: sfruttando le due caratteristiche, in teoria è possibile sfruttare un cookie impostato via HTTP (porta 80) per un sottodominio ( per.esempio.com ) per “impersonare” una comunicazione HTTPS (porta 443) sul dominio principale ( esempio.com ).

I cookie HTTPS possono avere impostata una “flag” di sicurezza, dicono ancora i ricercatori, ma i browser più usati (inclusi Firefox, Internet Explorer, Chrome, Opera, Safari e altri) non eseguono gli opportuni controlli sul come tale flag sia stata attivata. In realtà la falla è già stata comunicata da tempo e risulta chiusa nelle versioni più recenti dei suddetti browser.

Tutto risolto, quindi? Niente affatto: i ricercatori continuano a ribadire la pericolosità dei cookie , un meccanismo di autenticazione che viene spesso tralasciato o considerato a basso rischio ma che continuerà a riservare spiacevoli sorprese sul fronte della (in)sicurezza.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Fetente scrive:
    BANCOMAT con Windows
    non serve aggiungere molti altri dettagli.
    • ... scrive:
      Re: BANCOMAT con Windows
      - Scritto da: Fetente
      non serve aggiungere molti altri dettagli.Purtroppo la stragrande maggioranza dei Bancomat usa Windows. Il che è a dir poco ridicolo, indecente. Ma che senso ha portarsi dietro tutto quell'ambaradan di software e vulnerabilità per le limitatissime funzioni che deve compiere un bancomat?
Chiudi i commenti