Black Hat: riflettori puntati sulla sicurezza dei browser web
di Fabio Gozzo, pubblicata il 29 Luglio 2010, alle 12:15 nel canale Sicurezza
“Secondo Jeremiah Grossman, CTO di WhiteHat Security, le informazioni personali memorizzate nei browser web dagli utenti sono a rischio”
Tutti i più comuni browser web sono vulnerabili ad un exploit in grado di carpire le informazioni personali degli utenti - questo sarà uno dei principali temi trattati nel corso della Black Hat 2010 conference, evento che aprirà i battenti proprio in data odierna a Las Vegas.
Jeremiah Grossman, CTO di WhiteHat Security, ha infatti annunciato che terrà un briefing intitolato "Breaking browser: Hacking Auto-Complete", nel corso del quale mostrerà come sia possibile sfruttare le funzionalità di autocompletamento del browser per rubare i dati personali degli utenti memorizzati nei browser.
Il completamento automatico è una delle funzionalità più apprezzate dagli utenti proprio perché consente di velocizzare e semplificare le procedure di log-in ed inserimento dati su siti web e forum, inclusi indirizzi, e-mail, numeri delle carte di credito, username e password.
Grossman ha dichiarato di aver realizzato exploit per vari browser, tra cui ovviamente compaiono anche Chrome, Firefox, Internet Explorer e Safari. "Nessuno dei tool che mostrerò è difficile da realizzare", ha precisato Grossman. Grossman ha inoltre reso noto di aver notificato il problema ai produttori di ciascun browser afflitto dalla vulnerabilità, ma finora nessuno di essi gli ha comunicato di avere un piano definito per risolvere il problema.
Il fatto che la vulnerabilità affligga più browser web sviluppati da produttori diversi sembra tuttavia indicare più che altro un errore nella logica di sviluppo del software piuttosto che un bug. Restiamo in attesa di scoprire come si evolverà la situazione in seguito a questo briefing.
Notizia Precedente 
Commenti (10)
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - Info
Commento # 1
di: DanieleC88
pubblicato il 29 Luglio 2010, 12:40
Si hanno notizie su come è messo Opera su questo fronte?
Commento # 2
di: djfix13
pubblicato il 29 Luglio 2010, 13:26
sono tutti uguali su questo punto di vista
Commento # 3
di: Mde79
pubblicato il 29 Luglio 2010, 14:16
Tecnicamente sì ma Opera comunque essendo poco tenuto in considerazione è più sicuro e il fatto che il tizio ha costruito tool solo per gli altri software lo conferma
Commento # 4
di: c.m.g
pubblicato il 29 Luglio 2010, 14:17
Opera è storicamente il più sicuro da questo punto di vista. in passato ci sono stati diversi ricercatori che hanno confermato ciò.
Commento # 5
di: vomito72
pubblicato il 29 Luglio 2010, 14:34
Uso Opera da anni quando non era ancora free e imho non so se è la familiarità ma lo trovo sempre un passo avanti, completissimo e molto comodo da usare.
In tutti i casi e su tutti i browser non ho mai usato l'autocompletamento
e tantomeno mi sognerei di far salvare password ad IE, con opera uso wand per le password e mi pare che siano criptate anche se ci sono tool per decriptarle o renderle visibili ma non credo che possano essere usati tramite bug del browser
In tutti i casi e su tutti i browser non ho mai usato l'autocompletamento
e tantomeno mi sognerei di far salvare password ad IE, con opera uso wand per le password e mi pare che siano criptate anche se ci sono tool per decriptarle o renderle visibili ma non credo che possano essere usati tramite bug del browser
Commento # 6
di: djfix13
pubblicato il 29 Luglio 2010, 14:43
Tutti i browser hanno integrato il salvataggio password e anche se si cripta con altra password (tipo firefox) il browser stesso ci accede liberamente quindi non è , come indicato, un vero bug ma un concetto...opera ne risente quanto gli altri infatti l'exploit è implementabile su qualunque browser il tool poi è sviluppato per la dimostrazione e quindi vengono presi in considerazione i browser + presenti su Win,Linux,Mac.
Commento # 7
di: Stargazer
pubblicato il 29 Luglio 2010, 16:11
Originariamente inviato da: DanieleC88
Si hanno notizie su come è messo Opera su questo fronte?
Io pure uso opera da parecchio però l'autocompletamento lo uso solo per login a forum
lo dice pure un detto: fidarsi è bene ma non fidarsi è meglio
Commento # 8
di: Narkotic_Pulse___
pubblicato il 29 Luglio 2010, 18:31
Originariamente inviato da: djfix13
Tutti i browser hanno integrato il salvataggio password e anche se si cripta con altra password (tipo firefox)il browser stesso ci accede liberamente...
è vero anche io uso una master password e te la chiede solo la prima volta
ma imho la master password su firefox non è per proteggere le altre password e criptarle ma è per la privacy.
se uno è al tuo pc e avvia firefox, andando su opzioni>sicurezza>password salvate può prendere qualunque tua password.
invece con la password principale si attacca al caz**
Commento # 9
di: WarDuck
pubblicato il 29 Luglio 2010, 22:45
Un mio amico sta facendo un progetto da presentare all'esame di Sicurezza Informatica in cui ha iniettato codice nell'eseguibile di firefox per intercettare le credenziali dell'autocompletamento, inoltre ha scoperto che la chiave di default usata per criptare i dati è "cablata" per così dire nel sorgente di Firefox ed è la stessa per ogni eseguibile di Firefox.
Con IE la questione è leggermente diversa perché praticamente IE usa l'url come chiave, per cui se non conosci il sito di cui vuoi avere le credenziali (e cancelli la cronologia per evitare attacchi brute-force) ti attacchi .
Con IE la questione è leggermente diversa perché praticamente IE usa l'url come chiave, per cui se non conosci il sito di cui vuoi avere le credenziali (e cancelli la cronologia per evitare attacchi brute-force) ti attacchi
.
Commento # 10
di: riazzituoi
pubblicato il 30 Luglio 2010, 12:04
.
News
