giovedì 30 luglio 2009

Come bloccare il cross-site automatico

Per rendere la navigazione web più prudente e sicura è necessario comprendere e monitorate il meccanismo del cross-site.
Le richieste Cross-site fanno in modo che il vostro browser benga indirizzato ad un sito web completamente diverso rispetto a quello che si voleva visitare. Spesso sono meccanismi legittimi o quantomeno non pericolosi come nel caso di annunci pubblicitari. Ma spesso vengono usati da aziende di statistica per conoscere le vostre abitudini di navigazione, comprese le pagine specifiche visualizzate tutto il giorno.

Il Cross-site scripting (XSS) è una vulnerabilità che affligge siti web dinamici che impiegano un insufficiente controllo dell'input . Un XSS permette ad un attaccante di inserire codice al fine di modificare il contenuto della pagina web visitata. In questo modo si potranno sottrarre dati sensibili presenti nel browser degli utenti che visiteranno successivamente quella pagina. Gli attacchi alle vulnerabilità XSS hanno effetti dirompenti per i siti con un elevato numero di utenti, dato che è sufficiente una sola compromissione per colpire chiunque visiti la stessa pagina.

Questa vulnerabilità è dovuta a errori dei programmatori, che molto spesso trascurano completamente la validazione delle informazioni passate in input con le richieste HTTP.

Per verificare la vulnerabilità di un sito è sufficiente (ad esempio) provare ad inserire del codice javascript nel suo campo di ricerca allo scopo di produrre effetti sulla pagina risultante, causando l'esecuzione del codice inserito.
Tra le operazioni che è possibile indurre il browser ad eseguire vi sono l'invio del contenuto di cookie a terze parti e l'aggiunta di elementi (X)HTML alla pagina, operazione che può servire facilmente a sottrarre credenziali di autenticazione per mezzo di un modulo di inserimento contraffatto sovrapposto ad un modulo originariamente presente nella pagina web.

Un altro caso pericoloso è quello del Cross-Site Request Falsificazione (CSRF) : attacchi in cui il vostro browser viene sollecitato a fare una richiesta a un altro sito web e altri siti web che si pensa (la persona), inteso a effettuare la richiesta. Il Cross-site request forgery, spesso abbreviato in CSRF diversamente dal cross-site scripting (XSS), che sfrutta la fiducia di un utente in un particolare sito, il CSRF sfrutta la fiducia di un sito nel browser di un utente.


Insomma : mi sembra chiaro che è quanto mai opportuno trovare il modo di bloccare un cross-site automatico per autorizzare solo i casi ritenuti più che sicuri.

Per ottenere lo scopo è disponibile un add-on gratuito per firefox : RequestPolicy .
Questo programma avvierà solo i cross-site autorizzati specificamente dall'utente.
Però , poichè l'impostazione di default è quella di bloccare qualunque cross-site , inizialmente il risultato sarà alquanto antipatico in quanto , per ogni sito non verrà visualizzato nessun link esterno , comprese le immagini e le pubblicictà adsense. Come qualunque altro addon firefox il plugin può essere disattivato in ogni momento.

Nessun commento:

Posta un commento

featured-content