• Una falla del filtro XSS minaccia Internet Explorer 8

    Una pericolosa vulnerabilità di tipo “Cross-Site Scripting” affligge Internet Explorer 8. Il problema noto già da tempo agli esperti di sicurezza è però recentemente arrivato alle orecchie di siti e blog di tutto il mondo.

    La falla riguarda il filtro XSS, lo stesso che Internet Explorer 8 dovrebbe utilizzare per proteggere gli utenti da attacchi di questo tipo: oltre al danno la beffa. Un sito Web maligno può infatti utilizzare la protezione XSS di IE8 per inserire del codice modificato in una qualsiasi altra pagina Web che utilizzi del codice JavaScript, a meno che il sito “vittima” non abbia indicato a IE8 di spegnere il filtro XSS. Le applicazioni di Google, ad esempio, sono già state “messe in sicurezza”.

    Uno dei primi ad accorgersi della vulnerabilità è stato Giorgio Maone, autore delle estensioni (per Firefox) FlashGot e NoScript. Maone sul suo blog spiega la principale differenza tra il funzionamento di NoScript e la protezione anti-XSS di IE8. Mentre quest’ultimo intercetta le risposte dai server e le modifica per pulirle da eventuale codice maligno, NoScript intercetta le richieste del client e in questo modo non può essere ingannato da eventuali risposte modificate ad arte.

    Maone fa inoltre notare come il problema non riguardi un baco nell’implementazione ma sia un difetto di progettazione del filtro. È questo il principale motivo dell’enorme ritardo di risposta (che ancora non c’è) di Microsoft, che pure è a conoscenza della vulnerabilità da alcuni mesi.

    La soluzione non è quindi banale e all’utente non restano molte possibilità. Può confidare che i siti si premuniscano disabilitando il filtro di Internet Explorer con l’header “X-XSS-Protection: 0“. Oppure può passare ad un altro browser. Si accettano suggerimenti.

    Tags:

    Se vuoi aggiornamenti su Una falla del filtro XSS minaccia Internet Explorer 8 inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. Piero dice:

      >> Oppure può passare ad un altro browser. Si accettano suggerimenti.

    2. emmebì dice:

      Chi è informaticamente saggio è già passato altrove (gli altri stiano bene dove stanno).

      Tuttavia di falle se ne incontrano in tutti i browser: più che sulla falla in sè io punterei l’accento sul solito atteggiamento dello struzzo di Microsoft.

    3. Aska dice:

      Si può aspettare la patch senza navigare in siti di dubbia provenienza, senza cliccare su tutti i link che passano davani.

      Senza scatenare una browser war, quello che ho appena scritto bisognerebbe farlo sempre e con qualsiasi browser.

      Ricordo inoltre che per molti utenti “passare ad un altro browser” è una soluzione inapplicabile poichè non sanno che cosa sia un browser.
      Per mia madre “Firefox = Internet” ma lei non ha effettuato nessuna scelta, ho scelto io per lei. (se sceglievo Opera o IE o Chrome, per lei era uguale)

    Commenta

    Your email address will not be published. Required fields are marked *