Vai al contenuto

Falle informatiche, non tutte sono degne di nota (e lo dice Google)

Screen 2015 01 05 alle 00.54.18
Vuoi inviare SMS pubblicitari? Prova SMSHosting (clicca qui) . PROMO sconto sul primo acquisto: usa il codice PRT96919

Aggiornato il: 07-05-2023 13:28
Quando si parla di sicurezza informatica non ci sono dubbi che il fascino e l’interesse non siano da poco: Google stessa ha in effetti lanciato il Vulnerability Rewards Program, che è una specie di contest periodico dedicato a chi riesca a trovare falle nei servizi di Google, Youtube e Blogger. Sono considerate possibili vulnerabilità  quelle che rientrano nelle seguenti categorie:

  • Cross-site scripting (XSS), forse uno dei problemi più subdoli diffusi sui vari siti web, che deriva dalla mancanza di controlli sui campi dei form (ad esempio di ricerca o di iscrizione)
  • Cross-site request forgery (CSRF) , che è una variante più complessa di XSS e si basa sulla “fiducia” che un software ripone, tipicamente, nella bontà  di una richiesta, giocando sul fatto che la natura della stessa può essere facilmente nascosta o travisata.
  • Mixed-content scripts, legato invece a casi di furto d’identità ;
  • Authentication / authorization flaws, ovvero difetti e travisamenti sull’identità  reale di un utente e sui suoi permessi;
  • Server-side code execution bugs, ovvero errori sul codice sorgente del server (PHP ASP ecc.)
Navigare al sicuro? Proteggi la tua connessione su internet con NordVPN (clicca qui)

Gli esperti di sicurezza informatica sono quindi avvisati, perchè nel sito sono riportati anche i premi per chi riesca a scovare falle inedite.

Screen 2015-01-05 alle 00.54.18Le casistiche sono complesse da analizzare e spesso anche solo da inquadrare, e sono davvero numerose: è bene quindi tenere conto di ciò che non è classificabile come rischio per la sicurezza. Esperti non ci si improvvisa, insomma, ed è per questo che alla lista precedente dobbiamo affiancarne una di rischi fake in termini di sicurezza, quantomeno nell’ottica del team di Google.

I punti pseudo-critici o relativamente contenuti sono, invece:

  • accesso ad informazioni persistenti sulla cronologia mediante il tasto “indietro” dopo il logout (un rischio relativo, visto che quello di avere un keylogger installato sul proprio PC è molto più concreto);
  • cookie persistenti dopo il logout;
  • possibilità  di associare indirizzi Gmail a nominativi reali;
  • bug relativi a prodotti recentemente acquisiti da Google;
  • l’idea che la vittima si autoinietti codice (auto-XSS), circostanza contro cui ci sarebbe davvero poco da fare, in effetti;
  • clickjacking effettuato in circostanze poco realistiche, o troppo complicati da far credere.
Ti potrebbe interessare:  In arrivo la "Pro Mode" (in beta) su tutti i Mac con macOS Catalina

Bisogna quindi stare attenti ad analizzare ogni caso, ed evitare di inviare segnalazioni relative a casi troppo ristretti o difficilmente riproducibili. La sfida è sempre aperta: il 2014 è stato un anno davvero terribile in termini di sicurezza informatica, e si spera che le cose possano migliorare rapidamente già  nei prossimi mesi, anche grazie al contributo di numerosi esperti che troveranno problemi e, sperabilmente, li sveleranno.

Vuoi un hosting per il tuo sito? Prova Keliweb (clicca qui)

 

 

Questo blog pubblica contenuti ed offre servizi free da 12 anni. – Leggi un altro articolo a caso – Per informazioni contattaci
Non ha ancora votato nessuno.

Ti sembra utile o interessante? Vota e fammelo sapere.

cyberpunk 12

Ingegnere informatico per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Credits immagini: pexels.com, pixabay.com, wikipedia.org, Midjourney, StarryAI, se non diversamente specificato. Questo sito non contiene necessariamente suggerimenti, pareri o endorsement da parte del proprietario del progetto e/o espressi a titolo personale. Per contatti clicca qui

Segui il canale Youtube @Tecnocrazia23
Leggi anche:
Tag: