| V I S U A L I Z Z A D I S C U S S I O N E |
| admin |
Inserito il - 02/11/2004 : 11:32:12
Raffica di falle per Google
by Paolo Attivissimo
Brutto periodo per Google. Il suo servizio di posta, Gmail, è bucabile,
secondo The Register:
http://www.theregister.co.uk/2004/10/29/gmail_vuln/
Basterebbe infatti conoscere il nome utente (che è indicato
pubblicamente nell'indirizzo della casella Gmail) per scavalcare la
password che protegge la casella di posta corrispondente. L'aggressore
può usare un link in formato XSS per rubare dal PC della vittima il
cookie di Gmail e usarlo per autenticarsi al posto dell'utente e quindi
prendere il controllo della casella.
Anche Google Desktop Search, il programma gratuito per "Googlare" il
proprio computer, ha grossi problemi di sicurezza:
http://www.theregister.co.uk/2004/10/21/google_desktop_security_vuln/
La falla, ora risolta parzialmente da Google, consentiva (grazie a
Javascript) a un sito ostile di ricevere i risultati delle ricerche
fatte dall'utente nel proprio disco rigido, venendo quindi a conoscenza
del contenuto del computer della vittima. Sgradevole.
Non è finita: l'italiano Salvatore Aranzulla ha snidato altre due falle
nei servizi di Google. La prima riguarda ancora il Desktop Search, e
consente a un aggressore di modificare le pagine delle ricerche
iniettando script situati su server esterni e quindi acquisire
informazioni spacciandosi per un sito affidabile.
http://theinquirer.net/?article=19323 (in inglese)
http://mirabilweb.altervista.org/pagina.php?pagina=google_bug (in italiano)
La seconda riguarda le pubblicità di Google: siccome il loro contenuto
non è filtrato, si possono iniettare script che modificano le pagine che
l'utente apparentemente riceve da Google, aprendo la porta a ogni sorta
di truffe e attacchi basati sulla fiducia che praticamente tutti gli
utenti della Rete ripongono nel celebre motore di ricerca.
http://mirabilweb.altervista.org/pagina.php?pagina=google_bug2 (italiano)
In attesa che Google rimedi a queste falle, è altamente consigliabile
(come sempre) evitare ove possibile di lasciare attivi Javascript e
altri linguaggi di scripting nel proprio computer durante la navigazione
in Rete, come descritto in dettaglio nell'Acchiappavirus, il libro che
potete sempre scaricare gratuitamente dal mio sito o, a quanto pare,
procurarvi già ora in libreria (anche se la data ufficiale di
pubblicazione sarebbe il 10 novembre).
Ciao da Paolo.
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
(C) 2004 by Paolo Attivissimo (www.attivissimo.net).
Distribuzione libera, purché sia inclusa la presente dicitura.
|
|
|
![[AmadeuX BiblioForum]](https://www.amadeux.it/forum/immagini/amadeuxcomm1.jpg "[AmadeuX BiblioForum]")
