SicurezzaInutile continuare con il terrorismo ai soli danni di Internet Explorer 8, qui bisogna fare chiarezza ! Questa frase è quella che ha pronunciato (quasi sicuramente) l’esperto di sicurezza Aditya K Sood quando ha rilasciato il demo che spiega come i vendors Firefox e Chrome  non siano ancora riusciti a trovare una “cura” al tipo di attacco detto clickjacking. Ma cosa significa ClickJacking ? Altro non si tratta che la redirezione (non richiesta) dei click del mouse che si effettuano su un link verso una destinazione differente da quella prevista. Il ClickJacking viene usato spesso con scopi fraudolenti.

Come funziona il demo di Aditya K Sood ?

Il demo è stato creato inizialmente per dimostrare che Google Chrome è vulnerabile al clickjacking, possiamo sfruttare la demo anche per testare Firefox. La DEMO dimostra che il link che punta a Yahoo.com mostra effettivamente l’url http://yahoo.com nella status bar ma, quando ci clicchiamo sopra con il mouse saremo rediretti su xxsed.com, ciò significa che Google Chrome e Mozilla Firefox possono essere soggetti ad un exploit a scopo di phishing.

Internet Explorer 8 RC e Opera promossi a pieni voti

Abbiamo effettuato un piccolo test con Internet Explorer 8 RC e Opera 9.6.3 , entrambi i browser hanno passato il test a pieni voti. La spiegazione è presto data, entrambi hanno una protezione anti-clickjacking, cosa assente da Firefox (per ora). Anche Heise Security ha approfondito l’argomento spingendosi a testare Firefox con l’estensione – plugin NoScript ricevendo nessun messaggio sull’attacco. Un ulteriore test rivelava che solo la disabilitazione di JavaScript aiutava l’utente a evitare la redirezione.

Maggiori Informazioni

Maggiori informazioni sul Clickjacking ed il tipo di test condotto da Aditya K Sood sono disp0nibili leggendo l’articolo “Clickjacking

Aggiornamenti

L’articolo di Heise Online ha suscitato non poche polemiche, ecco la rettifica dopo la risposta che hanno ricevuto da Giorgio Maone, lo sviluppatore dell’estensione NoScript.

“That’s not Clickjacking by any stretch of imagination, and hardly malicious: you just get on a “surprise” destination, but nothing more since it can’t do any of the cross-site evils (e.g. bypassing CSRF protection) of the real thing.”

Attenzione ! Abbiamo cambiato dominio !

Prosegui la lettura su Pausa Web !