Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Vai al contenuto

Falle informatiche, non tutte sono degne di nota (e lo dice Google)


Cerchi un hosting economico per il tuo sito o blog? Tophost ti aspetta (clicca qui)

Quando si parla di sicurezza informatica non ci sono dubbi che il fascino e l’interesse non siano da poco: Google stessa ha in effetti lanciato il Vulnerability Rewards Program, che è una specie di contest periodico dedicato a chi riesca a trovare falle nei servizi di Google, Youtube e Blogger. Sono considerate possibili vulnerabilità  quelle che rientrano nelle seguenti categorie:

  • Cross-site scripting (XSS), forse uno dei problemi più subdoli diffusi sui vari siti web, che deriva dalla mancanza di controlli sui campi dei form (ad esempio di ricerca o di iscrizione)
  • Cross-site request forgery (CSRF) , che è una variante più complessa di XSS e si basa sulla “fiducia” che un software ripone, tipicamente, nella bontà  di una richiesta, giocando sul fatto che la natura della stessa può essere facilmente nascosta o travisata.
  • Mixed-content scripts, legato invece a casi di furto d’identità ;
  • Authentication / authorization flaws, ovvero difetti e travisamenti sull’identità  reale di un utente e sui suoi permessi;
  • Server-side code execution bugs, ovvero errori sul codice sorgente del server (PHP ASP ecc.)

Gli esperti di sicurezza informatica sono quindi avvisati, perchè nel sito sono riportati anche i premi per chi riesca a scovare falle inedite.


Cerchi un hosting economico per il tuo sito o blog? Tophost ti aspetta (clicca qui)

Screen 2015-01-05 alle 00.54.18Le casistiche sono complesse da analizzare e spesso anche solo da inquadrare, e sono davvero numerose: è bene quindi tenere conto di ciò che non è classificabile come rischio per la sicurezza. Esperti non ci si improvvisa, insomma, ed è per questo che alla lista precedente dobbiamo affiancarne una di rischi fake in termini di sicurezza, quantomeno nell’ottica del team di Google.

I punti pseudo-critici o relativamente contenuti sono, invece:

  • accesso ad informazioni persistenti sulla cronologia mediante il tasto “indietro” dopo il logout (un rischio relativo, visto che quello di avere un keylogger installato sul proprio PC è molto più concreto);
  • cookie persistenti dopo il logout;
  • possibilità  di associare indirizzi Gmail a nominativi reali;
  • bug relativi a prodotti recentemente acquisiti da Google;
  • l’idea che la vittima si autoinietti codice (auto-XSS), circostanza contro cui ci sarebbe davvero poco da fare, in effetti;
  • clickjacking effettuato in circostanze poco realistiche, o troppo complicati da far credere.
Ti potrebbe interessare:  Troll sui social che manipolano l'opinione pubblica

Bisogna quindi stare attenti ad analizzare ogni caso, ed evitare di inviare segnalazioni relative a casi troppo ristretti o difficilmente riproducibili. La sfida è sempre aperta: il 2014 è stato un anno davvero terribile in termini di sicurezza informatica, e si spera che le cose possano migliorare rapidamente già  nei prossimi mesi, anche grazie al contributo di numerosi esperti che troveranno problemi e, sperabilmente, li sveleranno.

 

 

Da non perdere 👇👇👇



Questo portale web esiste da 4439 giorni (12 anni), e contiene ad oggi 4022 articoli (circa 3.217.600 parole in tutto) e 12 servizi online gratuiti. – Leggi un altro articolo a caso
Non ha ancora votato nessuno.

Ti sembra utile o interessante? Vota e fammelo sapere.

Questo sito contribuisce alla audience di sè stesso.
Il nostro network informativo: Lipercubo.it - Pagare.online - Trovalost.it.