Letta 118936 volte 10 marzo 2009 alle 16.34 di netquik Fonte: Varie
Gmail: Falla CSRF in 'Change Password'
LINK:
Secondo quanto reso pubblico in rete, Gmail, il popolare servizio di posta webmail di Google, sarebbe affetto da una vulnerabilità CSRF (Cross-Site Request Forgery) che potrebbe permettere ai cybercriminali di modificare la password di accesso degli utenti del servizio, sfruttando trucchi di ingegneria sociale.

Gli attacchi di Cross-Site Request Forgery, conosciuti anche come attacchi "one click" o "session riding" e abbreviati in CSRF (Sea-Surf) o XSR quelli di cross-site scripting (XSS), quest'ultimo richiede all'attacker di iniettare un codice non autorizzato in un sito web, mentre il cross-site request forgery trasmette solamente comandi non autorizzati dall'utente riconosciuto dal sito.

xlink Google Gmail 'Filter import/export'  -  Gmail: Selezione Allegati Multipli  -  Altre 

Dalla Full Disclosure della vulnerabilità (ISecAuditors Security Advisory): "Gmail è vulnerabile ad attacchi CSRF nella funzionalità 'Change Password'. L'unico token per l'autenticazione dell'utente è un cookie di sessione, e questo cookie è inviato automaticamente dal browser ad ogni richiesta. Un attacker può creare un pagine che include richieste alla funzionalità 'Change Password' di Gmail e modificare le password degli utenti che, mentre sono autenticati, visitano la pagina dell'attacker. L'attacco è facilitato dato che la richiesta 'Change Password' può essere eseguita tramite il metodo HTTP GET invece del metodo POST normalmente utilizzato nei moduli 'Change Password'." La full disclosure della vulnerabilità include un proof of concept che mostra due esempi di exploit della falla che si traducono nella possibilità di modificare la password di un utente dopo averlo indotto a visitare una pagina web creata per lo scopo.

Bisogna evidenziare che la vulnerabilità è stata scoperta molti mesi fa, precisamente nell'estate 2007. Il team di Google, a cui la problematica è stata segnalata tempestivamente, sembra aver analizzato la debolezza del suo servizio, ma a Gennaio scorso il colosso ha affermato che questo comportamento non sarebbe stato modificato nel breve periodo, giudicandolo un problema di sicurezza non significativo.

Google risponde a The Tech Herald: "Siamo a conoscenza di questa segnalazione da un po' di tempo, e non consideriamo questo caso come una vulnerabilità significativa, dato che un exploit condotto con successo richiederebbe di indovinare la password di utente nel momento in cui questo sta visitando un potenziale sito di attacco. Non abbiamo ricevuto alcuna segnalazione che questa stia venendo sfruttata. Nonostante la probabilità molto bassa di indovinare una password in questo modo, valuteremo modi per mitigare ulteriormente la problematica. Incoraggiamo sempre gli utenti a scegliere password robuste, e abbiamo un indicatore che li aiuta a farlo".
 non ci sono commenti alla news nel forum
username:   password:
oppure con Log in with FacebookLog In with Google
   ricordami
non fai parte della community?
 Esegui l'accesso per commentare questa notizia nel forum 
 
DUST FROM THE PAST
Google smentisce la volontà di portare le caselle di posta GMail a 1 Terabyte e motiva l'accaduto con l'ammissione di un bug, come ipotizzato da Tweakness.net. Il tutto è stato prontamente corretto e…20 maggio 2004
GMail sta cambiando. Il servizio che ha rivoluzionato la webmail con il suo GByte di spazio, ha introdotto da qualche giorno nuove e importanti caratteristiche. Non c'è l'accesso POP3, ma alcune succu… 5 ottobre 2004
Google ha da qualche tempo affiancato alle iniziali funzionalità di motore di ricerca una serie di altri servizi più o meno utili e che in qualche caso hanno pure fatto discutere. Recentemente si è p…15 ottobre 2004
ULTIME NEWS - GMAIL
Google ha reso disponibile un ennesimo esperimento Labs per Gmail, il suo popolare client di posta webmail: "Traduzione del messaggio" utilizza la tecnologia Google Translate per tradurre i messaggi …20 maggio 2009
Google ha annunciato due novità per i suoi popolari servizi web, Gmail e Google Calendar: il supporto per l'importazione di contatti e messaggi di posta da altri provider per Gmail ed l'integrazione d…14 maggio 2009
Google continua a rendere disponibili nuovi esperimenti Labs per Gmail, il suo popolare servizio di posta webmail, su base settimanale; negli ultimi giorni il colosso della ricerca ha reso disponibili… 1 maggio 2009
 ONLINE
OSPITI 9
UTENTI 0
VISITE OGGI
76
 VISITE TOTALI
5.518.029
login
username:
password:
oppure con Log in with FacebookLog In with Google
ricordami
Non fai parte della community?
Creative Commons License Valid CSS!Valid HTML 4.01 Transitional
 
NEWS - TRUCCHI - DOWNLOAD - ARTICOLI - SITO - DISCLAIMER
X