CSS rende il Web sempre più insicuro

Sul Web si diffonde a macchia d'olio un tipo di vulnerabilità che pone seri rischi per la sicurezza e la privacy degli utenti. Il CERT lancia (ancora) l'allarme


Pittsburgh (USA) – Non si placano le preoccupazioni degli esperti di sicurezza riguardo un diffuso tipo di vulnerabilità, conosciuto come Cross Site Scripting (CSS), che affliggerebbe un numero sempre in crescita di siti Web anche molto celebri.

I CSS sono falle che non mettono a repentaglio la sicurezza di un sito quanto, piuttosto, quella degli utenti: attraverso un attacco CSS un cracker potrebbe infatti essere in grado di rubare password, numeri di carte di credito, cookie ed altre informazioni sensibili.

La situazione appare sufficientemente grave da indurre il CERT a pubblicare, a due anni di distanza dal primo e dettagliato avviso di sicurezza , un nuovo documento in cui si descrive il problema e si offrono soluzioni per porvi rimedio.

“I siti Web considerano questa vulnerabilità di minore importanza – ha spiegato Jason Rafail del CERT – ma per i visitatori si tratta di un problema di sicurezza e di privacy piuttosto grosso”.

Nonostante la grande attenzione che gli esperti hanno dato alla questione negli ultimi tempi, i siti colpiti da questa vulnerabilità sono triplicati nel giro di un solo anno e fra quelli a rischio si contano giganti del calibro di AOL, Ebay, MSN, Excite, Lycos e molti altri ancora.

Secondo quanto riportato dal CERT, gli attacchi di tipo CSS sfrutterebbero la possibilità di inviare codice malizioso verso un utente attraverso un sito Web insospettabile. Questo tipo di attacchi viene spesso lanciato inducendo gli utenti a cliccare sul link di una e-mail o di una pagina Web appositamente “confezionate”.

L’allarme era stato lanciato di recente anche dall’esperto di sicurezza Dave de Vitry che sul proprio sito mantiene una lista aggiornata dei siti più celebri vulnerabili al CSS.

All’epoca, de Vitry suggeriva agli utenti del Web di “disabilitare JavaScript e tenerlo disattivato se non si vuole correre il rischio che i propri dati vengano aperti quando si visita una certa varietà di siti web”. Ma, secondo il CERT, questa precauzione non protegge gli utenti da tutti gli altri tipi di script e inficia notevolmente la corretta visualizzazione di molte pagine Web.

Il CERT si augura che in futuro i browser Web possano essere in grado di bloccare tutti gli script che non riportino la firma digitale di un organo di fiducia. Fino ad allora, raccomanda il CERT, i navigatori dovranno porre molta attenzione ai link contenuti nelle e-mail o in siti non noti che puntano verso risorse esterne.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Nanobots
    Pensate a nanobots che ci aggiusteranno il computer guasto, che ci ottimizzeranno il sistema, e ci toglieranno i bugs dai software!Questi non me li voglio perdere! :-)
  • Anonimo scrive:
    Interessante...
    Il fatto di poter riparare i chip danneggiati è una svolta importante, ma la cosa più importante è il processo per la fabbricazione dei chips. Il chip viene suddiviso in differenti aree funzionali, ed è questo che permette (indirettamente) la capacità di fare "riparazioni ai chips".
  • Anonimo scrive:
    HP un grsso chipmaker ???
    non lo sapevo, e che tipo di chipproduce ???
    • Anonimo scrive:
      Oh, yes!
      Non fabbrica CPU per PC (anche se ne progetta l'architettura, vedi PA-RISC) ma produce chipset e chip per una svariata schiera di dispositivi, dalle stampanti alle calcolatrici, dai dispositivi di networking a quelli di storage.- Scritto da: GIO CONDOR
      non lo sapevo, e che tipo di chip
      produce ???
    • Anonimo scrive:
      Re: HP un grosso chipmaker ???
      Ma perche' non elevate un po' il livello dei vostri commenti? Spesso piuttosto che un commento di mezza riga e' preferibile non fare nessun commento!!! E' piu' il tempo che sprecate a fare click che quello utilizzato per il commento! Una notizia cosi' importante (come tantissime di simile importanza) dovrebbe accendere un lungo ed articolato scambio di idee!!! (per lo meno!).
  • Anonimo scrive:
    speriamo bene
    + piccolo = - materiale e -prezzo + piccolo = + veloce e - consumo .... almeno spero :)
    • Anonimo scrive:
      Re: speriamo bene
      - Scritto da: gix
      + piccolo = - materiale e -prezzo
      + piccolo = + veloce e - consumo
      .... almeno spero :)Non ti affezionare a questa tua teoria! :)
Chiudi i commenti