Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
Inviato: 29 Set 2008 09:51 Oggetto: Il clickjacking mette tutti i browser a rischio |
|
|
Commenti all'articolo Il clickjacking mette tutti i browser a rischio
Ogni navigatore può cadere vittima di un "furto del click": è previsto dagli standard di Internet e non esiste una patch.
Foto via Fotolia
|
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 29 Set 2008 10:21 Oggetto: |
|
|
Articolo ha scritto: | disattivando i plugin, | Quali? |
|
Top |
|
|
daysleeper Semidio
Registrato: 24/04/08 23:01 Messaggi: 371
|
Inviato: 29 Set 2008 12:41 Oggetto: |
|
|
se usi firefox,nella scheda "plugin" di gmail notifier metti il flag su tutte le opzioni
|
|
Top |
|
|
fulmine Dio maturo
Registrato: 23/03/08 15:54 Messaggi: 3345 Residenza: olimpio
|
Inviato: 29 Set 2008 12:55 Oggetto: |
|
|
Era una cosa impensabile fin'ora, pensa un pò io clicco su una cosa e mi appare una pagina che non centra nulla con quello che mi aspettavo.
Citazione: | Non si tratta dunque di una tecnica nuova, di una vulnerabilità sconosciuta improvvisamente apparsa o della distrazione di qualche programmatore: è invece qualcosa che esiste da tempo ma il cui sfruttamento per ingannare gli utenti sta conoscendo una crescita in questo periodo. |
Perchè l'hanno tenuta nascosta, poi che senso ha una cosa del genere, si sa che risulterebbe solo un modo come sta succedendo già di indirizzare gli utenti su siti inaspettati. Non c'è un modo per far vedere questa pagina che ne so, in negativo, qualche programma che permetta di individuarne la presenza. Cose dell'altro mondo. |
|
Top |
|
|
maury Dio maturo
Registrato: 29/11/07 15:10 Messaggi: 1576 Residenza: Genova - Tra Reti e Caffè - CUPCO Member
|
Inviato: 29 Set 2008 12:59 Oggetto: |
|
|
Infatti ...
Utilizzando Firefox con gmail notifier ho messo di default le impostazioni descritte da daysleeper ...
Se un sito mi da "affidamento" posso decidere se permetterlo in maniera Temporanea oppure Permanente ...
Durante la navigazione standard è tutto disabilitato, non vedrò tutto il sito o potrò utilizzarlo al 100% ma decisamente "mi sento più sicuro" ...
E' chiaro che se il sito che reputo sicuro viene "bucato", posso incorrere nei problemi di sicurezza descritti nell'articolo.
Oppure se lo credo erroneamente un sito sicuro ed abilito tutto ... |
|
Top |
|
|
ioSOLOio Amministratore
Registrato: 12/09/03 18:01 Messaggi: 16342 Residenza: in un sacco di...acqua
|
Inviato: 29 Set 2008 13:38 Oggetto: |
|
|
Citazione: | L'utente che visiterà quella pagina crederà di cliccare sui suoi elementi; in realtà cliccherà su quelli contenuti nell'Iframe (steso come un foglio di plastica trasparente sulla pagina, per usare un'analogia chiara e ampiamente utilizzata) e sarà preda di chi avrà preparato il sito. |
credo che il punto cruciale, che a mio avviso ne diminuisce un poco la pericolosità, è la parte "arà preda di chi avrà preparato il sito".
Ovvero..l'iframe è una "porzione" di pagina che può anche non essere percepita chiaramente dall'utente..e può anche puntare a un sito esterno.
Ma l'iframe è preparato dal titolare del sito medesimo per cui se l'iframe ci tira un brutto scherzo, è come se ce lo tirasse una qualsiasi delle pagine del sito.
Salvo casi di violazioni del sito in questione da parte di terzi, che vadano a modificare le pagine inserendo un loro iframe...ma non so quanto sia conveniente in termini di tempo, risultati (dovrebbe comunque essere qualcosa di coerente con il sito per non apparire troppo) |
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 29 Set 2008 14:23 Oggetto: |
|
|
ioSOLOio ha scritto: | Ma l'iframe è preparato dal titolare del sito medesimo per cui se l'iframe ci tira un brutto scherzo, è come se ce lo tirasse una qualsiasi delle pagine del sito.
Salvo casi di violazioni del sito in questione da parte di terzi, | E faking e phishing a parte .... . |
|
Top |
|
|
{stefano} Ospite
|
Inviato: 30 Set 2008 06:47 Oggetto: |
|
|
iframe non c'entra, al massimo un lyaut trasparente, ma poi per cosa??? ?? ? ?? ??? |
|
Top |
|
|
fulmine Dio maturo
Registrato: 23/03/08 15:54 Messaggi: 3345 Residenza: olimpio
|
Inviato: 30 Set 2008 07:31 Oggetto: |
|
|
maury ha scritto: | Infatti ...
Utilizzando Firefox con gmail notifier ho messo di default le impostazioni descritte da daysleeper ...
Se un sito mi da "affidamento" posso decidere se permetterlo in maniera Temporanea oppure Permanente ...
Durante la navigazione standard è tutto disabilitato, non vedrò tutto il sito o potrò utilizzarlo al 100% ma decisamente "mi sento più sicuro" ...
E' chiaro che se il sito che reputo sicuro viene "bucato", posso incorrere nei problemi di sicurezza descritti nell'articolo.
Oppure se lo credo erroneamente un sito sicuro ed abilito tutto ... |
Va bene ma è un continuo attiva e disattiva script.
Poi da questo articolo posso dedurre che in pratica clickjacking oltre a questi rischi può essere usato per... avete mai sentito parlare di messaggi subliminali? |
|
Top |
|
|
stefanomnn Mortale adepto
Registrato: 04/05/06 20:30 Messaggi: 33
|
Inviato: 30 Set 2008 07:35 Oggetto: |
|
|
una ottima misura di sicurezza è
rifiutare i cookies da terze parti, che è una opzione che ormai tutti i browser permettono! non risolve tutti i problemi ma ne diminuisce un bel po! |
|
Top |
|
|
billy61 Mortale devoto
Registrato: 19/09/07 14:02 Messaggi: 6
|
Inviato: 30 Set 2008 09:30 Oggetto: |
|
|
Navigare (Browsing) e' un po' come guidare l'automobile, guidare esclusivamente in funzione della segnaletica orizzontale e/o verticale che sia, non ci da' la sicurezza di evitare incidenti.
Cosa voglio dire, voglio dire che come tutti gli strumenti, anche il Browser va conosciuto, i malintenzionati giocano molto sul click troppo facile e rapido dei naviganti.
Quando ci vengono chieste azioni, occorre capire chi le chiede, una piccola, ma preziosa precauzione, e' leggere cosa visualizza la barra di stato e confrontarla con cosa e' visualizzato con la barra degli indirizzi;
mi rendo conto che questo implica il conoscere il protocollo HTTP e un po' di linguaggio HTML, ma non vedo altra soluzione, la prudenza e' necessaria.
A conferma di chi sostiene che la questione e' antica, voglio ricordare i classici FRAME, inventati proprio per gestire piu' pagine HTML all'interno di una pagina principale e anche loro pur non avendo una tag <Layer> premettevano di costruire frame di 1 px praticamente invisibili e quindi ...
Non ultimo quando si naviga si dovrebbe evitare di essere Administrator (per i sistemi Windows) e/o Root (per i sistemi Unix/Linux), questo per evitare che vengano installate cose a nostra insaputa.
Avere la consapevolezza che il codice HTML e' codice attivo e come tale puo' dare ordini sia al nostro Computer sia al Server che ci sta inviando la pagina, e' la prima cosa da metabolizzare. |
|
Top |
|
|
calimero Mortale pio
Registrato: 17/06/08 15:07 Messaggi: 23
|
Inviato: 30 Set 2008 14:12 Oggetto: |
|
|
billy61 ha scritto: | Navigare (Browsing) e' un po' come guidare l'automobile, guidare esclusivamente in funzione della segnaletica orizzontale e/o verticale che sia, non ci da' la sicurezza di evitare incidenti.
Cosa voglio dire, voglio dire che come tutti gli strumenti, anche il Browser va conosciuto, i malintenzionati giocano molto sul click troppo facile e rapido dei naviganti.
Quando ci vengono chieste azioni, occorre capire chi le chiede, una piccola, ma preziosa precauzione, e' leggere cosa visualizza la barra di stato e confrontarla con cosa e' visualizzato con la barra degli indirizzi;
mi rendo conto che questo implica il conoscere il protocollo HTTP e un po' di linguaggio HTML, ma non vedo altra soluzione, la prudenza e' necessaria.
|
Giustissimo. Ma su centinaia di milioni di utenti quanti sanno della potenziale pericolosità di un click e hanno l'accortezza, di 'navigare' con i piedi di piombo??? Ecco perchè credo che sia indispensabile che i browser risolvano il problema con una patch il più presto possibile. |
|
Top |
|
|
|