Al momento stai visualizzando Falle informatiche, non tutte sono degne di nota (e lo dice Google)

Falle informatiche, non tutte sono degne di nota (e lo dice Google)

  • Autore dell'articolo:
  • Categoria dell'articolo:News

Quando si parla di sicurezza informatica non ci sono dubbi che il fascino e l’interesse non siano da poco: Google stessa ha in effetti lanciato il Vulnerability Rewards Program, che è una specie di contest periodico dedicato a chi riesca a trovare falle nei servizi di Google, Youtube e Blogger. Sono considerate possibili vulnerabilità  quelle che rientrano nelle seguenti categorie:

  • Cross-site scripting (XSS), forse uno dei problemi più subdoli diffusi sui vari siti web, che deriva dalla mancanza di controlli sui campi dei form (ad esempio di ricerca o di iscrizione)
  • Cross-site request forgery (CSRF) , che è una variante più complessa di XSS e si basa sulla “fiducia” che un software ripone, tipicamente, nella bontà  di una richiesta, giocando sul fatto che la natura della stessa può essere facilmente nascosta o travisata.
  • Mixed-content scripts, legato invece a casi di furto d’identità ;
  • Authentication / authorization flaws, ovvero difetti e travisamenti sull’identità  reale di un utente e sui suoi permessi;
  • Server-side code execution bugs, ovvero errori sul codice sorgente del server (PHP ASP ecc.)

Gli esperti di sicurezza informatica sono quindi avvisati, perchè nel sito sono riportati anche i premi per chi riesca a scovare falle inedite.

Screen 2015-01-05 alle 00.54.18Le casistiche sono complesse da analizzare e spesso anche solo da inquadrare, e sono davvero numerose: è bene quindi tenere conto di ciò che non è classificabile come rischio per la sicurezza. Esperti non ci si improvvisa, insomma, ed è per questo che alla lista precedente dobbiamo affiancarne una di rischi fake in termini di sicurezza, quantomeno nell’ottica del team di Google.

Pubblicità - Continua a leggere sotto :-)

I punti pseudo-critici o relativamente contenuti sono, invece:

  • accesso ad informazioni persistenti sulla cronologia mediante il tasto “indietro” dopo il logout (un rischio relativo, visto che quello di avere un keylogger installato sul proprio PC è molto più concreto);
  • cookie persistenti dopo il logout;
  • possibilità  di associare indirizzi Gmail a nominativi reali;
  • bug relativi a prodotti recentemente acquisiti da Google;
  • l’idea che la vittima si autoinietti codice (auto-XSS), circostanza contro cui ci sarebbe davvero poco da fare, in effetti;
  • clickjacking effettuato in circostanze poco realistiche, o troppo complicati da far credere.

Bisogna quindi stare attenti ad analizzare ogni caso, ed evitare di inviare segnalazioni relative a casi troppo ristretti o difficilmente riproducibili. La sfida è sempre aperta: il 2014 è stato un anno davvero terribile in termini di sicurezza informatica, e si spera che le cose possano migliorare rapidamente già  nei prossimi mesi, anche grazie al contributo di numerosi esperti che troveranno problemi e, sperabilmente, li sveleranno.

Pubblicità - Continua a leggere sotto :-)
Cerchi alternative a Google Adsense per il tuo sito? Prova TheMoneytizer!
Usa il codice 189ed7ca010140fc2065b06e3802bcd5 per ricevere 5 € dopo l'iscrizione

 

 

👇 Contenuti da non perdere 👇



Questo portale web esiste da 4695 giorni (13 anni), e contiene ad oggi 4356 articoli (circa 3.484.800 parole in tutto) e 23 servizi online gratuiti. – Leggi un altro articolo a caso

Numero di visualizzazioni (dal 21 agosto 2024): 0
Pubblicità - Continua a leggere sotto :-)
Segui il canale ufficiale Telegram @trovalost https://t.me/trovalost
Seguici su Telegram: @trovalost

Trovalost.it

Ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti relativi all'informatica. Credits immagini: pexels.com, pixabay.com, wikipedia.org, Midjourney, StarryAI, se non diversamente specificato.