domenica 22 maggio 2011

Facebook a lavoro per proteggere dal furto dei cookie di sessione


Oltre a spingere per l'HTTPS, Facebook sta lavorando con Google, Yahoo! e Mozilla su una specifica in grado di proteggere i cookie di sessione da furti anche tramite connessioni non crittografate. Chiamata autenticazione di accesso MAC, la specifica è attualmente un progetto Internet Engineering Task Force (IETF) ed è pensato per fornire la verifica di crittografia per alcune porzioni di richieste HTTP. MAC, in questo contesto si riferisce al codice di autenticazione del messaggio, una stringa univoca generata dal client, che consente al server di verificare che la richiesta non sia stata fatta prima. 

Questo impedisce gli attacchi man-in-the-middle che si basano su intercettazioni e riproducono le richieste da e verso il client. "Stiamo lavorando con Yahoo!, Google e Mozilla su questa specifica al fine di dare a tutti i siti web un modo per garantire che le informazioni di sessione non vengano alterati o manomessi", ha detto Facebook in un post dettagliato sul blog degli sviluppatori, dopo le recenti modifiche adottate per garantire maggiore sicurezza sulla sua piattaforma. La società ha chiesto agli sviluppatori di acquisire un certificato SSL e HTTPS per rendere le loro applicazioni compatibili entro il 1 ottobre

Questo annuncio è stato accolto con una certa ostilità da parte degli sviluppatori che non vogliono sostenere costi aggiuntivi connessi con la distribuzione SSL. "Contrariamente ad alcuni commenti che abbiamo sentito, l'acquisizione di un certificato SSL è relativamente poco costoso, e il costo continuo del supporto SSL per la maggior parte delle applicazioni è basso. Quanto prima la vostra applicazione supporterà i protocolli HTTPS e la nostra piattaforma sarà più sicura", ha sottolineato Facebook. Inoltre, gli sviluppatori dovranno anche attuare OAuth 2.0, uno standard di autenticazione che viene fornito con protezione da cross-site request forgery (CSRF). 

Questo sistema permette di ottenere l'access_tokens, che dà alle applicazioni le chiavi di accesso ai profili degli utenti, più sicuro e affidabile. Molte applicazioni legati ai sistemi di autenticazione di Facebook sono stati recentemente trovate a condividere inavvertitamente questi token con inserzionisti pubblicitari e altre terze parti. Infine, gli sviluppatori sono stati invitati a rivedere e ad aggiornare le politiche della piattaforma di Facebook e assicurarsi che le loro applicazioni siano conformi ad esse. 

Essi vietano specificamente la condivisione di UID o Access token con terzi. Oltre alla tecnologia, la Casa Bianca e il National Institute of Standards & Tecnology (NIST) hanno lavorato per costruire una strategia nazionale per costruire il Trusted Identity in Cyberspace. L'obiettivo del National Strategy for Trusted Identities in Cyberspace (NSTIC) è focalizzato sul coinvolgimento del settore per aumentare la sicurezza e la privacy sul web quando si tratta di firma nei siti web. Facebook sta lavorando con il NIST per condividere le migliori pratiche e discutere di come OAuth possa contribuire a questo framework.

1 commento: