News: tutti i segreti di Internet

Google, raffica di falle

Condividi:         ale 1 02 Novembre 04 @ 14:00 pm

Dopo questa news parliamo ancora di bug di google con Paolo Attivissimo.

(C) 2004 by Paolo Attivissimo
Brutto periodo per Google. Il suo servizio di posta, Gmail, è bucabile, secondo The Register:
http://www.theregister.co ... uk/2004/10/29/gmail_vuln/

Basterebbe infatti conoscere il nome utente (che è indicato pubblicamente nell'indirizzo della casella Gmail) per scavalcare la password che protegge la casella di posta corrispondente. L'aggressore può usare un link in formato XSS per rubare dal PC della vittima il cookie di Gmail e usarlo per autenticarsi al posto dell'utente e quindi prendere il controllo della casella.

Anche Google Desktop Search, il programma gratuito per "Googlare" il proprio computer, ha grossi problemi di sicurezza: http://www.theregister.co ... le_desktop_security_vuln/

La falla, ora risolta parzialmente da Google, consentiva (grazie a Javascript) a un sito ostile di ricevere i risultati delle ricerche fatte dall'utente nel proprio disco rigido, venendo quindi a conoscenza del contenuto del computer della vittima. Sgradevole.

Non è finita: l'italiano Salvatore Aranzulla ha snidato altre due falle nei servizi di Google. La prima riguarda ancora il Desktop Search, e consente a un aggressore di modificare le pagine delle ricerche iniettando script situati su server esterni e quindi acquisire informazioni spacciandosi per un sito affidabile.
http://theinquirer.net/?article=19323 (in inglese)
http://mirabilweb.altervi ... ina.php?pagina=google_bug (in italiano)

La seconda riguarda le pubblicità di Google: siccome il loro contenuto non è filtrato, si possono iniettare script che modificano le pagine che l'utente apparentemente riceve da Google, aprendo la porta a ogni sorta di truffe e attacchi basati sulla fiducia che praticamente tutti gli utenti della Rete ripongono nel celebre motore di ricerca.
http://mirabilweb.altervi ... na.php?pagina=google_bug2 (italiano)

In attesa che Google rimedi a queste falle, è altamente consigliabile (come sempre) evitare ove possibile di lasciare attivi Javascript e altri linguaggi di scripting nel proprio computer durante la navigazione in Rete, come descritto in dettaglio nell'Acchiappavirus, il libro che potete sempre scaricare gratuitamente dal mio sito o, a quanto pare, procurarvi già ora in libreria (anche se la data ufficiale di pubblicazione sarebbe il 10 novembre).

Ciao da Paolo
www.attivissimo.net



Un commento a "Google, raffica di falle":
ale ale il 03 Novembre 04 @ 11:33 am

Scoperta una vulnerabilità in Gmail
Già risolta, la falla permetteva a un cracker di accedere agli account di posta degli utenti registrati.

Google ha risolto una vulnerabilità nel proprio servizio di posta elettronica Gmail. La falla avrebbe permesso a cracker di accedere ai vari account.

Il problema riguardava le modalità di autenticazione degli utenti. L'hacker israeliano che ha scoperto al falla ha spiegato che bastava dirottare l’utente su un particolare link per scoprire i dati di accesso memorizzati nel cookie di login.

Secondo quanto comunicato da Google solo un utente Gmail è stato vittima di questa vulnerabilità.

Gmail è stato annunciato agli inizi di aprile ed è un servizio di webmail (ossia è possibile accedere ai messaggi via Internet, senza doverli scaricare in locale) con 1 GB di spazio per la memorizzazione di allegati ed e-mail. E' tuttora in fase beta.

News tratta da 01net.it

Lascia un commento

Insulti, volgarità e commenti ritenuti privi di valore verranno modificati e/o cancellati.
Nome:

Commento:
Conferma visiva: (ricarica)

Inserisci la targa della città indicata nell'immagine.

Login | Iscriviti

Username:

Password: