Al momento stai visualizzando Scoperta vulnerabilità  informatica su browser iOS e Safari: riguarda una violazione della same-origin policy

Scoperta vulnerabilità  informatica su browser iOS e Safari: riguarda una violazione della same-origin policy

  • Autore dell'articolo:
  • Categoria dell'articolo:News

A quanto pare la questione risale ad almeno gli ultimi quattro mesi da oggi (quindi orientativamente da ottobre 2021), i dispositivi iOS e iPadOS di Apple, in particolare il browser Safari, sarebbero affette da un bug in grado di fare trapelare parte delle identità  degli utenti nonchè l’attività  di navigazione in tempo reale. Nello specifico, la violazione riguarda la same-origin policy, un noto e consolidato meccanismo di sicurezza per il web, in grado di limitare il modo in cui un documento o uno script caricato da un certo sito possa interagire con una risorsa di un’altra origin.

A livello tecnico, due URL hanno la stessa origin se possiedono, da specifiche:

  1. lo stesso protocollo (HTTP o HTTPS);
  2. lo stesso host;
  3. la stessa porta (opzionalmente, se esplicitata);
  4. il path specifico (esempio/di/path) può anche essere diverso, sebbene a parità  degli altri fattori.

Per intenderci, se consideriamo un URL di esempio del tipo:

Pubblicità - Continua a leggere sotto :-)

http://store.sito.com/dir/page.html

avrà  la stessa origin di

http://store.sito.com/dir2/other.html

ma NON di

https://store.sito.com/page.html

e nemmeno di

http://news.sito.com/dir/page.html

La same-origin policy è un meccanismo di sicurezza fondamentale per far funzionare il web, e generalmente i browser come Chrome e Firefox sono piuttosto attenti che venga rispettato; di fatto, sembrerebbe che Safari sia molto più permissivo in tal senso, come è stato dimostrato da un sito demo appositamente creato (safarileaks.com). Safari in sostanza permette ad uno script che gira su un’origin A di venire a conoscere i siti aperti in altre tab del browser, cosଠcome parte dei fingerprint che identificano l’utente in rete.

Pubblicità - Continua a leggere sotto :-)
Cerchi alternative a Google Adsense per il tuo sito? Prova TheMoneytizer!
Usa il codice 189ed7ca010140fc2065b06e3802bcd5 per ricevere 5 € dopo l'iscrizione

Una screenshot esemplificativa del problema tratta dal sito demo, fonte e documentazione: https://fingerprintjs.com/blog/indexeddb-api-browser-vulnerability-safari-15/

 

L’idea di fondo è che il bug, che riguarda il componente IndexedDB ed il WebKit nello specifico, venga risolto nei prossimi giorni, anche perchè è stato aperto un bug report a riguardo, nonchè un repository ufficiale su Github che documenta nel dettaglio il problema rilevato. IndexedDB è un vero e proprio database transazionale come MySQL, che viene condiviso tra le varie sessioni aperte nelle tab di Safari e viene, in altri termini, usato come vettore di attacco. Avendo un DB condiviso tra le varie tab, uno script malevolo non sarebbe soltanto in grado di rilevare i siti che stiamo visitando, ma anche l’ID di Google associato univocamente ad un login su Youtube, ad esempio.

Si attendono sviluppi in merito, oltre ad aggiornamenti specifici per il browser Safari.

https://www.youtube.com/watch?v=Z7dPeGpCl8s

Pubblicità - Continua a leggere sotto :-)
Sei un webmaster? Prova TheMoneytizer per il tuo sito

👇 Contenuti da non perdere 👇



Trovalost esiste da 4660 giorni (13 anni), e contiene ad oggi 4351 articoli (circa 3.480.800 parole in tutto) e 23 servizi online gratuiti. – Leggi un altro articolo a caso

Numero di visualizzazioni (dal 21 agosto 2024): 0
Pubblicità - Continua a leggere sotto :-)
Segui il canale ufficiale Telegram @trovalost https://t.me/trovalost
Seguici su Telegram: @trovalost

Trovalost.it

Ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti relativi all'informatica. Credits immagini: pexels.com, pixabay.com, wikipedia.org, Midjourney, StarryAI, se non diversamente specificato.