giovedì 3 giugno 2010

Nuovo allarme per i browser web: il Clickjacking sui siti web


Una nuova vulnerabilità tormenta i browser Web: il clickjacking. In cosa consiste? Noi clicchiamo su un link "sicuro", ma la nostra azione viene reidiretta su un oggetto diverso e potenzialmente dannoso. Tipicamente la vulnerabilità sfrutta JavaScript o Iframe. La tecnica è stata rilevata per la prima volta nel dicembre 2008 da Robert Hansen e Jeremiah Grossman. Per esempio: l'utente fa click su un link per accedere ad una pagina web e questa azione viene rediretta a sua insaputa su un pulsante per attivare una certa azione. 

In questo modo è possibile costringere l'utente a fare quasi qualunque cosa all'interno di una pagina web. Come si può capire, si tratta di una vulnerabilità potenzialmente molto pericolosa. Questo meccanismo di redirezione può essere implementato in almeno due modi diversi: via Javascript oppure usando un Iframe nascosto. Hansen e Grossman stanno attualmente lavorando con Microsoft, Mozilla e Apple per trovare rapidamente una soluzione al problema; purtroppo, poiché si tratta di una debolezza insita nella progettazione di alcuni standard del World Wide Web, non è ancora chiaro quale tipologia di soluzione verrà adottata. 

I dettagli di questa tecnica non sono ancora del tutto noti perché Adobe (la software house che produce "Flash" e "Reader") ha chiesto che vengano tenuti nascosti ancora un pò per darle il tempo di eliminare una vulnerabilità, collegata a questa, che interessa uno dei suoi prodotti. Tuttavia, è già evidente che non basta disabilitare l'interprete Javascript all'interno del browser per rendersi immuni dall'attacco, dunque si renderebbe necessario disabilitare anche le funzionalità relative a IFRAME. L'iframe, dall'inglese inline frame, è un elemento HTML

Si tratta infatti di un frame (un pacchetto di bit che costituisce un'unità strutturata di informazioni) "ancorato" all'interno della pagina, equivale cioè ad un normale frame, ma con la differenza di essere un elemento inline, cioè una "cornice interna" della pagina. L'iframe viene generalmente utilizzato per mostrare il contenuto di una pagina web, o di una qualsivoglia risorsa, all'interno di un riquadro in una seconda pagina principale. Il clickjacking basato sulla tecnica del tag IFRAME, consiste nel nascondere un inner frame all'interno della pagina web e fare in modo che i click effettuati sulla pagina finiscano, in realtà per "colpire" gli elementi di questo inner frame. 

In pratica è come mettere un foglio di carta trasparente sopra alla pagina e fare in modo che l'utente scriva su di esso invece che sulla pagina visibile. Il problema riguarda tutti i browser web, perchè questa vulnerabilità deriva dal modo in cui è strutturato e gestito il tag IFRAME e dal modo in cui è stata progettata una parte degli standard del World Wide Web (HTML, Javascript, etc.). Solo i browser molto, molto vecchi come Internet Explorer fino alla Release 4.0 esclusa, Netscape Navigator fino alla Release 4.0 esclusa, etc. ed i browser "solo testo", come Lynx e Links, ne sono immuni. La loro immunità è dovuta al fatto che non supportano le funzionalità necessarie per sfruttare questa vulnerabilità. 

Dato che si tratta di un "bug" nella progettazione stessa di alcuni standard del World Wide Web non c'è una soluzione semplice e definitiva. Nel frattempo, si possono limitare i rischi disabilitando l'interprete Javascript del browser e disabilitando la gestione del tag IFRAME (ma non tutti i browser permettono tale possibilità). Se utilizzate Mozilla Firefox, potete installare il plug-in NoScript. Dalla pagina delle "preferenze" di questo plug-in, impostate a true l'opzione "forbid IFRAME" ("proibisci IFRAME"). In generale è opportuno non insistere in attività "interattive" su siti sconosciuti. Ad esempio, è meglio evitare i giochi online realizzati con Adobe Flash, che generano una grande quantità di click.

Nessun commento:

Posta un commento