Internet Explorer e SSL: coppia pericolosa

Internet Explorer e SSL: coppia pericolosa

Buco nella gestione delle connessioni sicure, rischi per gli utenti?
Buco nella gestione delle connessioni sicure, rischi per gli utenti?


Koln (Germania) – Il browser più diffuso al mondo avrebbe seri problemi nel validare i certificati dei siti che richiedono accessi “sicuri”, come banche, sistemi di pagamento online e altri servizi.

Il buco è stato scoperto alla fine di novembre ma è stato reso pubblico solo sabato scorso da E-matters , un’azienda che realizza siti Web in Germania.

In sostanza IE non sarebbe in grado di autenticare il certificato del sito che richiede una connessione “sicura” al browser attraverso il sistema del secure sockets layer (SSL), una tecnologia che non solo permette di crittare i dati scambiati tra browser e server ma che dovrebbe permettere anche il riconoscimento del sito che imposta la connessione con SSL. Il problema è proprio qui: IE non riconoscerebbe come falsi i certificati copiati da altri siti oppure già scaduti.

E-matters ha confermato di aver prontamente avvisato Microsoft del problema che però a tutt’oggi sembra ancora incapace di reagire opportunamente ad un problema che potenzialmente espone molti utenti a possibili frodi.

Secondo l’azienda tedesca, Microsoft avrebbe confermato il problema e avrebbe dichiarato che la soluzione è particolarmente difficile da trovare perché si tratta di codice che incide sui sistemi di crittografia del browser.

Il buco sarebbe comunque solo su IE (versioni 5.x e 6), mentre sia Netscape (4.7 e 6.1) che Opera (5.1) sembrano in grado di avvertire l’utente di una connessione SSL che il certificato potrebbe non essere “buono”.

Per maggiori dettagli sul problema è possibile leggere l’Advisory 01/2001: IE https certificate attack .

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 27 dic 2001
Link copiato negli appunti