Una pericolosa vulnerabilità di tipo “Cross-Site Scripting” affligge Internet Explorer 8. Il problema noto già da tempo agli esperti di sicurezza è però recentemente arrivato alle orecchie di siti e blog di tutto il mondo.
La falla riguarda il filtro XSS, lo stesso che Internet Explorer 8 dovrebbe utilizzare per proteggere gli utenti da attacchi di questo tipo: oltre al danno la beffa. Un sito Web maligno può infatti utilizzare la protezione XSS di IE8 per inserire del codice modificato in una qualsiasi altra pagina Web che utilizzi del codice JavaScript, a meno che il sito “vittima” non abbia indicato a IE8 di spegnere il filtro XSS. Le applicazioni di Google, ad esempio, sono già state “messe in sicurezza”.
Uno dei primi ad accorgersi della vulnerabilità è stato Giorgio Maone, autore delle estensioni (per Firefox) FlashGot e NoScript. Maone sul suo blog spiega la principale differenza tra il funzionamento di NoScript e la protezione anti-XSS di IE8. Mentre quest’ultimo intercetta le risposte dai server e le modifica per pulirle da eventuale codice maligno, NoScript intercetta le richieste del client e in questo modo non può essere ingannato da eventuali risposte modificate ad arte.
Maone fa inoltre notare come il problema non riguardi un baco nell’implementazione ma sia un difetto di progettazione del filtro. È questo il principale motivo dell’enorme ritardo di risposta (che ancora non c’è) di Microsoft, che pure è a conoscenza della vulnerabilità da alcuni mesi.
La soluzione non è quindi banale e all’utente non restano molte possibilità. Può confidare che i siti si premuniscano disabilitando il filtro di Internet Explorer con l’header “X-XSS-Protection: 0“. Oppure può passare ad un altro browser. Si accettano suggerimenti.
>> Oppure può passare ad un altro browser. Si accettano suggerimenti.
di Piero - 26 novembre 2009 - 10:40
Chi è informaticamente saggio è già passato altrove (gli altri stiano bene dove stanno).
Tuttavia di falle se ne incontrano in tutti i browser: più che sulla falla in sè io punterei l’accento sul solito atteggiamento dello struzzo di Microsoft.
di emmebì - 26 novembre 2009 - 11:15
Si può aspettare la patch senza navigare in siti di dubbia provenienza, senza cliccare su tutti i link che passano davani.
Senza scatenare una browser war, quello che ho appena scritto bisognerebbe farlo sempre e con qualsiasi browser.
Ricordo inoltre che per molti utenti “passare ad un altro browser” è una soluzione inapplicabile poichè non sanno che cosa sia un browser.
Per mia madre “Firefox = Internet” ma lei non ha effettuato nessuna scelta, ho scelto io per lei. (se sceglievo Opera o IE o Chrome, per lei era uguale)
di Aska - 26 novembre 2009 - 11:22