skip to main | skip to sidebar

[IxT] Raffica di falle per Google

[IxT] Raffica di falle per Google 1.11.04 5 commenti Aggiungi un commento

Brutto periodo per Google. Il suo servizio di posta, Gmail, è bucabile, secondo The Register.

Basterebbe infatti conoscere il nome utente (che è indicato pubblicamente nell'indirizzo della casella Gmail) per scavalcare la password che protegge la casella di posta corrispondente. L'aggressore può usare un link in formato XSS per rubare dal PC della vittima il cookie di Gmail e usarlo per autenticarsi al posto dell'utente e quindi prendere il controllo della casella.

Anche Google Desktop Search, il programma gratuito per "Googlare" il proprio computer, ha grossi problemi di sicurezza.

La falla, ora risolta parzialmente da Google, consentiva (grazie a Javascript) a un sito ostile di ricevere i risultati delle ricerche fatte dall'utente nel proprio disco rigido, venendo quindi a conoscenza del contenuto del computer della vittima. Sgradevole.


Non è finita: l'italiano Salvatore Aranzulla ha snidato altre due falle nei servizi di Google. La prima riguarda ancora il Desktop Search, e consente a un aggressore di modificare le pagine delle ricerche iniettando script situati su server esterni e quindi acquisire informazioni spacciandosi per un sito affidabile:

http://theinquirer.net/?article=19323 (in inglese)

http://mirabilweb.altervista.org/pagina.php?pagina=google_bug (in italiano)

La seconda riguarda le pubblicità di Google: siccome il loro contenuto non è filtrato, si possono iniettare script che modificano le pagine che l'utente apparentemente riceve da Google, aprendo la porta a ogni sorta di truffe e attacchi basati sulla fiducia che praticamente tutti gli utenti della Rete ripongono nel celebre motore di ricerca:
http://mirabilweb.altervista.org/pagina.php?pagina=google_bug2 (italiano)

In attesa che Google rimedi a queste falle, è altamente consigliabile (come sempre) evitare ove possibile di lasciare attivi Javascript e altri linguaggi di scripting nel proprio computer durante la navigazione in Rete, come descritto in dettaglio nell'Acchiappavirus, il libro che potete sempre scaricare gratuitamente dal mio sito o, a quanto pare, procurarvi già ora in libreria (anche se la data ufficiale di pubblicazione sarebbe il 10 novembre).
Etichette: , ,
Segnala, vota, condividi, salva l'articolo tramite:
Pubblicazione iniziale: 1.11.04 5 commenti Aggiungi un commento
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi.
Siate civili e verrete pubblicati, qualunque sia la vostra opinione: gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
Commenti
Commenti (5)
Una cosa non ho capito, vale anche per gli utenti mac?
Paolo, scusa se il commento non c'entra niente con il post; cosa ci dici riguardo la legge secondo cui qualsiasi documento che gira per Internet debba essere registrato alle Biblioteche centrali? Io sapevo qualcosa, per esempio, se il documento non è aggiornato con regolarità poteva non rientrare nei termini stabiliti dalla legge, ma adesso vedo tutti un po' in fibrillazione; ma soprattutto, se io, come dire, me ne frego, come cavolo fanno a "scovare" chi non ha mandato il materiale? Già è un mistero l'eventuale stivaggio (e la catalogazione) del materiale inviato...
Grazie e scusa il poema.
(tigrazza)
Già, disattivare Javascript e DirectX...
il problema è che Gmail NON funziona senza DirectX.

Credo di essere stato tra le prime vittime:
ad ogni accesso Gmail, mi ritrovo un worm. :(
Essendo protetto con firewall ed antivirus, e consentendo il directX SOLO su Gmail, non è strano tutto ciò?

Le lunghe puse down del server Gmail nelle ultime ore, non lasciano presagire nulla di buono, le falle evidentemente sono reali.
ciao leggo solo oggi nel tuo blog
vedo che dai molti consigli agli utenti posso dunque chiederti di risolvermi un rebus per me?
Ti spiego meglio
Metti che fino a questa estate avevo casella di posta e blog da qualche parte
Metti per certo che ho dovuto cancellare tutto e da mesi non accedo più a nessuna casella di posta e che ho il terrore a farne una nuova
Ipotizza che per impulso vai in un blog e rispondi ad un post con un commento anonimamente come sto facendo adesso con te
Bene il dilemma è questo per me....come fa il creatore di questo blog a risalire al mio blog (cancellato da me mesi addietro) dal mio IP datosi che ho l'opzione di ip variabile ad ogni connessione?
Grazie per quello che potrai suggerirmi.
Quello che dici non ha senso... l'ip indica la macchina da cui stai scrivendo non quella in cui risiede il server di posta o il blog.

per risalire ad una persona da un ip si guardano i log di connessione di chi ti fornisce la linea.