• Scoprire una password sotto gli asterischi, si può

    Di solito non ho l’abitudine di pubblicizzare metodi che potrebbero essere utilizzati in modo malizioso, ma questa volta è necessario evidenziare una mancanza di sicurezza propria del modo di comportarsi di molti navigatori della rete.

    Si tratta della gestione delle password e della “necessità” di memorizzarle nella memoria del browser. Alla richiesta di tenere memoria della password per non doverla poi inserire successivamente, la stragrande maggioranza delle persone risponde sì.

    Questo modo di comportarsi è spesso la causa di problemi di sicurezza o semplicemente è la porta d’ingresso alle nostre informazioni personali. Praticamente siamo noi stessi a fornire le chiavi di ingresso, senza tuttavia rendercene conto.

    Se abbiamo l’abitudine di memorizzare le password nel browser, quando verrà caricata la pagina di ingresso ad un sito, automaticamente apparirà il nostro username e una bella serie di asterischi al posto della password. In alternativa potremmo scegliere uno degli username dalla lista e allo stesso modo avere la serie di asterischi che corrisponde a quella password.

    Il problema è che se una volta che vediamo gli asterischi proviamo ad inserire nell’URL il seguente codice Javascript:
    javascript:(function(){var s,F,j,f,i; s = ""; F = document.forms;for(j=0; j < F.length; ++j) { f = F[j]; for (i=0; i < f.length; ++i) { if (f[i].type.toLowerCase() == "password") s += f[i].value + "n"; } } if (s) alert("Passwords in forms on this page:nn" + s); else alert("There are no passwords in forms on this page.");})();

    verrà visualizzata una finestra di alert che ci mostra, in chiaro, la password sotto gli asterischi.

    Che significa questo? Che ad esempio se usiamo un computer comune o lasciamo il nostro PC in mano a qualcuno si potrebbe verificare che questa persona, senza accedere immediatamente alla nostra mail, carpisca la password con il trucchetto spiegato e la utilizzi in futuro.

    Questo semplice esempio spiega chiaramente quali sono i rischi di abusare della memorizzazione delle password. Ovviamente funziona con tutti i browser comuni e non può in alcun modo essere aggirato impostando, ad esempio, nel caso di Firefox, una master password nel pannello sicurezza. In quest'ultimo caso, infatti, si può evitare che un utente possa visualizzare le password e gli altri dati sensibili dal pannello degli strumenti se non dispone della chiave, ma nulla evita l'utilizzo di questo trucchetto (a meno della disabilitazione del Javascript). Il codice mostrato è presente in molti siti sul web.

    Tags:

    Se vuoi aggiornamenti su Scoprire una password sotto gli asterischi, si può inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. Alex dice:

      Ehhhh già già già già……

      Meno male che qualcuno ogni tanto illumina il volgo che così non può più ‘cadere dalle nuvole’ quando incappa in problematiche simili.

    2. Cheope dice:

      Dal mio punto di vista di sviluppatore, c’è un trucchetto per aggirare il salvataggio password dei browser.
      Basta impostare sul bottone di invio input type=”button” e associare l’azione submit() all’onclick con Javascript. In questo modo si evita che il browser chieda il salvataggio password all’invio del form, che lo script scopri asterischi in questione funzioni e che qualche bontempone in fase mistica di goating sul computer di un altro lasciato incustodito possa fare login liberamente nei siti con i dati di accesso memorizzati.

      Basta avere un minimo di quel che ci vuole. Come sviluppatori di siti web, s’intende.

      Certo, qualcuno può obiettare la necessità di avere javascript abilitato per inviare il form ftto in quel modo…
      Ma bisogna scendere a qualche compromesso ogni tanto, specialmente se si vuole migliorare la sicurezza.

    3. marco dice:

      e se qualcuno dovessere copiare il form di accesso alla nostra casella email, inserire questo script modificandolo per:
      - nn mostrare l’allert
      - visualizzare la password (magari in bianco su sfondo bianco..) nel messaggio

      qualora noi rispondessimo correremmo il rischio di regalare via il nostro log-in?

      in teoria il form dovrebbe autocompilarsi se la pagina di login e quella di lettura dell’email appartengono allo stesso dominio, esatto?

    4. Cheope dice:

      @Marco
      Scusa ma non capisco cosa intendi. Ti posso solo dire che un buon sviluppatore dovrebbe sempre usare tutti gli accorgimenti possibili per evitare il cross site scripting.

    5. marco dice:

      scusa ho tralasciato un particolare, lo script realizzato dovrebbe essere inserito all’interno di una email.
      in questo modo, se la pagina di login e la pagina di lettura della mail hanno lo stesso dominio, il form di login dupplicato nell’email si autocompilerebbe e con un javascript lo si potrebbe copiare al volo e passare tramite url ad una pagina php richiamata in un iframe.

      spero di essere stato più chiaro.. :)

    6. Cheope dice:

      @marco
      Però uno deve usare il browser per leggere le e-mail e leggerle in formato html. Le due pagine poi dovrebbero avere lo stesso identico indirizzo, non solo il dominio…
      Sì, potrebbe anche funzionare.
      Buon cracking.

    7. GM dice:

      Certo, ma c’è anche chi le email le legge in formato testo.
      Quanto a usare il browser poi non è una novità ma una moda, per esempio chi legge email da yahoo lo fa, e modificare l’header di un’email per farla apparire proveniente da un qualsiasi dominio è una tecnica banale e sfruttata da tutti coloro che fanno phishing ed è solo un esempio.
      Insomma mica è difficile sfruttare un trucco, il problema della sicurezza non sta nello scoprire le password sotto gli asterischi che oltre tutto è un trucco vecchio quanto internet, ma nel pensare con la propria testa.
      Se lascio il mio pc acceso e incustodito, non ci sarà nessuna tecnica che mi salverà da mio figlio, dal mio collega o dal mio amico.

    8. silvio dice:

      scusa ma cm posso fare a scoprire le password
      sotto gli asterischi mi potresti spiegare in paroli semplici?nn sn tanto bravo nei programmi o utilizzarlo

    9. Prova ad inserire il pezzettino di codice scritto nel post all’interno della barra degli indirizzi.

    10. Funghina dice:

      e poi una volta inserito dove si vede la password??

    Commenta

    Your email address will not be published. Required fields are marked *