Gli avvertimenti di Czagan, specializzato nei test di penetrazione e direttore di Silesia Security Lab, arrivano a breve distanza dall’allarme lanciato dal CERT su una vulnerabilità dello standard RFC 6265: i cookie impostati su connessioni HTTP potrebbero essere sfruttati per compromettere le comunicazioni criptate (HTTPS) e impersonare un sito Web legittimo in un attacco di tipo “Man-in-the-Middle”.

Il ricercatore sostiene di aver identificato vulnerabilità connesse all’uso dei cookie nel 70% dei siti analizzati: anche se da soli potrebbero risultare innocui, una volta usati in concomitanza con altri vettori di attacco questi ultimi potrebbero condurre a gravi problematiche di sicurezza nonostante l’eventuale uso dell’autenticazione a doppio fattore.

Czagan avrebbe recentemente scoperto un problema nella gestione dei cookie (flag “HTTPOnly”) su Safari, e prevede che in futuro gli attacchi basati sull’abuso dello standard RFC 6265 potrebbero fare di tutto fuorché sparire dalla circolazione.

Via | The Register

CommentaDi' la tua

Il tuo indirizzo email non sarà mostrato pubblicamente. I campi obbligatori sono contrassegnati da *