Falle informatiche, non tutte sono degne di nota (e lo dice Google)

Argomenti: ,
Pubblicato il: 05-01-2015 01:21 , Ultimo aggiornamento: 09-09-2021 17:48

Quando si parla di sicurezza informatica non ci sono dubbi che il fascino e l’interesse non siano da poco: Google stessa ha in effetti lanciato il Vulnerability Rewards Program, che è una specie di contest periodico dedicato a chi riesca a trovare falle nei servizi di Google, Youtube e Blogger. Sono considerate possibili vulnerabilità quelle che rientrano nelle seguenti categorie:

  • Cross-site scripting (XSS), forse uno dei problemi più subdoli diffusi sui vari siti web, che deriva dalla mancanza di controlli sui campi dei form (ad esempio di ricerca o di iscrizione)
  • Cross-site request forgery (CSRF) , che è una variante più complessa di XSS e si basa sulla “fiducia” che un software ripone, tipicamente, nella bontà di una richiesta, giocando sul fatto che la natura della stessa può essere facilmente nascosta o travisata.
  • Mixed-content scripts, legato invece a casi di furto d’identità;
  • Authentication / authorization flaws, ovvero difetti e travisamenti sull’identità reale di un utente e sui suoi permessi;
  • Server-side code execution bugs, ovvero errori sul codice sorgente del server (PHP ASP ecc.)

Gli esperti di sicurezza informatica sono quindi avvisati, perchè nel sito sono riportati anche i premi per chi riesca a scovare falle inedite.

Screen 2015-01-05 alle 00.54.18Le casistiche sono complesse da analizzare e spesso anche solo da inquadrare, e sono davvero numerose: è bene quindi tenere conto di ciò che non è classificabile come rischio per la sicurezza. Esperti non ci si improvvisa, insomma, ed è per questo che alla lista precedente dobbiamo affiancarne una di rischi fake in termini di sicurezza, quantomeno nell’ottica del team di Google.

I punti pseudo-critici o relativamente contenuti sono, invece:

  • accesso ad informazioni persistenti sulla cronologia mediante il tasto “indietro” dopo il logout (un rischio relativo, visto che quello di avere un keylogger installato sul proprio PC è molto più concreto);
  • cookie persistenti dopo il logout;
  • possibilità di associare indirizzi Gmail a nominativi reali;
  • bug relativi a prodotti recentemente acquisiti da Google;
  • l’idea che la vittima si autoinietti codice (auto-XSS), circostanza contro cui ci sarebbe davvero poco da fare, in effetti;
  • clickjacking effettuato in circostanze poco realistiche, o troppo complicati da far credere.

Bisogna quindi stare attenti ad analizzare ogni caso, ed evitare di inviare segnalazioni relative a casi troppo ristretti o difficilmente riproducibili. La sfida è sempre aperta: il 2014 è stato un anno davvero terribile in termini di sicurezza informatica, e si spera che le cose possano migliorare rapidamente già nei prossimi mesi, anche grazie al contributo di numerosi esperti che troveranno problemi e, sperabilmente, li sveleranno.

 

 

Nessun voto disponibile

Che te ne pare?

Grazie per aver letto Falle informatiche, non tutte sono degne di nota (e lo dice Google) di Salvatore Capolupo su Trovalost.it
Falle informatiche, non tutte sono degne di nota (e lo dice Google) (Guide, Assistenza Tecnica, Internet)

Articoli più letti su questi argomenti:

Seguici su Telegram: @trovalost