Kiui

La notizia che Mozilla ha iniziato ad implementare, in alcune build di Firefox, il Content Security Policy (CSP) fa ben sperare.

Di cosa si tratta?

Innanzitutto, una breve premessa.

Occore precisare che una fra le tecniche più utilizzate per penetrare una Web Application è l’XSS (o CSS, da non confondere con i fogli di stile a cascata), ovvero il Cross Site Scripting. Per un semplice motivo: individuare la vulnerabilità che consente di sfruttare tale tecnica, all’intero di un sito web, è davvero cosa facile. E la tecnica assicura risultati eccellenti per il furto di sessioni.

Per esempio, per la più semplice vulnerabilità basta individuare, scavando tra i Form e gli Url del sito, che ci siano dei parametri che vengano passati all’applicazione in GET o POST. Per testare se il sito è vulnerabile, basta inserire in tali parametri un codice js:

<script>javascript:alert(document.cookie)</script>

Se tale parametro viene “stampato” da qualche parte nell’HTML, senza essere adeguatamente sanitizzato lato server per esempio così (fidatevi, succede molto più spesso di quanto si possa immaginare):

echo $_GET['param'];

Possiamo dunque far eseguire codice javascript arbitrario sulla macchina di chi si collega a un determinato Url del sito, appositamente manomesso. Pensiamo, per esempio, ad un utente appena loggatosi sul sito della sua banca (che ha raggiunto un URL leggermente modificato, il cui dominio ed il server sono esattamente quelli della sua banca). Rubare la sua session.id in certi casi è già sufficiente per poter accedere all’area riservata.

In uno scenario come questo è da sottolineare come, oltre ad una vulnerabilità lato server, si sfrutti il browser della vittima per portare a termine l’attacco.

Il Content Security Policy di Mozilla viene in aiuto dello sviluppatore che sta progettando una web application, proprio intervenendo lato client. Che cosa fa? Permette a chi sviluppa di determinare delle policy di interazione tra browser e applicazione web, come regole su quali domini (ed host) sono abilitati ad inviare e ricevere richieste, o vietare l’esecuzione di determinati script all’infuori di quelli definiti e richiamati nell’html. Offre inoltre protezione contro gli attacchi CSRF (Cross Site Requestary Forge, molto simili a quelli CSS ma che non sfruttano vulnerabilità sulla web application, ma la fiducia dell’utente).

Tornando al cliente e alla sua banca online. Se è dotato di Mozilla con CSP, sarà il browser stesso ad intervenire: agirà in base alle policy (che la banca speriamo abbia definito) per comprendere e bloccare in tempo reale l’attacco XSS.

Che dire? Se già la protezione che offrono i browser rispetto al phishing o ai malware active-x stanno facendo la loro parte, non resta che sperare nell’affermazione di questo progetto Mozilla. E che gli altri produttori di browser seguano la stessa strada.

Fermo restando che, come ribadito dallo stesso team di Mozilla, il CSP è da considerarsi come un aiuto e non la soluzione alla sicurezza di un’applicazione web.

Avevo già segnalato un pò di tempo fa la riuscitissima campagna Viral di TMobile che aveva visto protagonisti, nell’evento più clamoroso, decine di migliaia di persone a Trafalgar Square coinvolte in un Karaoke 2.0. Sull’onda del successo di quell’evento ne segnalo un’altro che a me personalmente ha lasciato a bocca ...

Le App per iPad sono sulla bocca di tutti. Sono il pensiero principale degli utenti Apple che non vedono l&rsquo;ora di scoprire nuovi modi per sfruttare a pieno il loro tablet. Il mondo delle App per iPad &egrave;, per questo motivo, in grande fermento e tante aziende ci si stanno lanciando dentro offrendo quindi tanti nuovi modi di usare l&rsquo;iPad. Per chi vuole addentrarsi un p&ograve; di...

Dagli anni ottanta in poi il mestiere del Dj ha preso sempre pi&ugrave; piede. E&rsquo; normale che sia approdato anche su iPhone, considerato l&rsquo;enorme fascino... &nbsp;