
La prossima versione di Firefox, la numero 60, avrà incluso un’importante tool di sicurezza per impedire che attacchi di tipo CSRF (Cross-site request forgery, poi vi spiego di cosa si tratta) vengano perpetuati ai propri utenti durante la navigazione in modo del tutto anonimo da parte di pirati informatici.
Il browser Mozilla, Firefox, è sempre aggiornato sul tema della sicurezza; non lascia mai nulla al caso e il suo team di esperti si prodiga per avere sempre le ultime tecnologie che possano proteggere l’utente durante la navigazione web.
In questo caso introdurrà nella futura versione, che uscirà a breve, la numero 60 una protezione contro l’utilizzo dei cookies in modo inappropriato.
COS’È L’ATTACCO DI TIPO CSRF?
CSRF è un acronimo inglese che si legge Cross-site request forgery, ve lo spiego in parole molto povere se volete qualcosa di più dettagliato andate su Wikipedia CSRF.
Questo tipo di attacco sfrutta la debolezza del protocollo web per cui le sessioni vengono loggate sui cookies e non verificate se la richiesta è legittima; mi spiego meglio con un esempio:
Siamo iscritti ad una banca online che quando effettuiamo il log in memorizza e salva la nostra connessione su un cookie. Bene ogni volta che ci colleghiamo al sito la comodità del cookie è che non dobbiamo sempre inserire nome utente e password in quanto sono salvate (non è tecnicamente così ma rende l’idea, nda) sul nostro browser.
Mettiamo che il sito della nostra banca si chiami: www.bancadelcavolo.it, bene quando effettuiamo un bonifico il sito della nostra banca ci rimanda all’URL
https://www.bancadelcavolo.it/bonifico.php?ibancliente=XXX&importo=2222&conferma=ok
Ora l’indirizzo è veramente assurdo e mai nessuna banca (me lo auguro, nda) imposterà una politica del genere ma è per rendere l’idea.
L’attacco è molto semplice io, pirata informatico, ti mando per email una pagina da visitare (che magari parla di donne nude che sugli uomini fa sempre un certo effetto 🙂 ) che al suo interno include un frame che apre l’URL che vi ho scritto sopra però con il mio IBAN e l’importo che voglio. In automatico quando il sito della Banca del Cavolo legge il vostro cookie effettua l’operazione perchè per il programma siete correttamente connessi!
Questo in soldoni è l’attacco.
Mozilla Firefox dalla versione numero 60 avrà un maggiore controllo da parte dei cookies; rilevando se veramente siamo connessi a quel sito oppure qualcuno se ne sta approfittando!
Purtroppo, come detto prima, tale tipo di attacco è un grandissimo bug del protocollo, per risolverlo bisognerebbe riscrivere tutto.
Fonte: [via]