Gli ultimi post di Edit
AJAX: basi di sicurezza
Martedì 18 Luglio 2006 - 10:00
di Francesco Caccavella
Qualche giorno fa un bell'articolo pubblicato su SecurityFocus, di cui forniremo abbiamo fornito una traduzione fra alcuni giorni sul nostro canale dedicato alla sicurezza informatica, ha riproposto il tema della sicurezza nella progettazione di applicazioni Web, in particolare di applicazioni scritte in AJAX.
Dopo aver spiegato cosa è AJAX, gli autori passano subito al tema dell’articolo: "AJAX non introduce intrinsecamente nuove vulnerabilità nel mondo delle applicazioni Web" e le applicazioni scritte con questa tecnologia "hanno di fronte le stesse problematiche delle applicazioni Web classiche". Ma "non sono state messe a punto buone pratiche comuni" che possono condurre a brutte sorprese. AJAX non è insicuro di per sé, ma il cambiamento di modello di programmazione potrebbe favorire delle pessime, dal punto di vista della sicurezza, abitudini. E allora ecco alcune "zone" su cui concentrare l'attenzione per quanto riguarda la sicurezza.
Continua a leggere AJAX: basi di sicurezza
Categoria: Sicurezza | Permalink | Commenti (4)
Anche i CSS sono un pericolo (su IE)
Lunedì 5 Dicembre 2005 - 11:16
di Cesare Lamanna
Non sono un super-esperto di sicurezza, ma, per quel che ricordo, mai un problema di vulnerabilità era stato collegato ai CSS.
La storia è quella del bug di Internet Explorer che secondo l’isrealiano Matan Gillon potrebbe mettere seriamente a repentaglio la sicurezza di dati sensibili presenti sul PC di un utente che usi il browser di Microsoft in combinazione con Google Desktop 2. Ne parlano, tra gli altri, Yahoo! News, InfoWorld e Punto Informatico.
Provando a caricare la pagina dell’exploit messa a punto da Gillon con diversi browser, si capisce subito che IE è l’unico ad essere vulnerabile a questo tipo di attacco che il programmatore israeliano ha definito CSSXSS (Cascading Style Sheets Cross Site Scripting).
In sintesi, Internet Explorer è troppo permissivo quando si tratta di gestire l’importazione di file esterni con la direttiva @import o con la funzione Javascript addImport. Entrambe sono destinate, come molti sanno, all’inclusione di file CSS, ma il browser di Microsoft, in certe condizioni, non chiude le porte come dovrebbe di fronte a codice non CSS.
Vi rimando all’advisory pubblicato da Gillon per ulteriori, interessanti dettagli tecnici.
Categoria: Sicurezza | Permalink | Commenti (1)