News decisamente interessante, via html.it: i ricercatori di Fortify hanno rilasciato un advisory in cui segnalano una nuova classe di vulnerabilita’, che hanno denominato JavaScript Hijacking.
Detto in breve – per gli addetti e gli interessati si rimanda all’analisi di Fortify, 10 pagine molto chiare e dettagliate (in inglese, in pdf) -: se abbiamo un applicazione Ajax che usa javascript per trasmettere dati, quei dati possono essere intercettati. Se i dati sono di tipo sensibile, l’applicazione è vulnerabile.
Una vulnerabilità di questo tipo (= ascrivibile a questa classe) era stata individuata (e fixata) a inizio Gennaio in GMail, dove a essere trasmessi via js erano i dati dei contatti (la rubrica) dell’utente di posta.
In precedenza, sempre attraverso una vulnerabilità js, ad avere problemi era stato il servizio mail di Yahoo – giugno 2006, worm chiamato Yamanner.
Fortify ha preso in analisi i 12 framework Ajax + diffusi – Direct Web Remoting (DWR), Microsoft ASP.NET Ajax (Atlas), xajax, Google Web Toolkit (GWT), Prototype, Script.aculo.us, Dojo, Moo.fx, jQuery, Yahoo! UI, Rico e MochiKit. Solo il primo sembra possedere delle protezioni efficaci contro eventuali attacchi di tipo javascript hijacking.
Il testo di Fortify spiega anche perchè le applicazioni web tradizionali non sono affette da questa vulnerabilità, mentre quelle del cosiddetto web 2.0, ovvero le “rich Web applications”, sì. Entra nei dettagli, illustrando come JSON – JasaScript Object Notation -, il formato più usato per gli scambi di dati via js, sia vulnerabile… Vengono forniti esempi su come sia possibile forgiare la richiesta di un client, … Per finire con le raccomandazioni sulle cose che si possono fare per mettersi al riparo da questo tipo di attacchi.
I possibili problemi di sicurezza legati alle applicazioni sviluppate in Ajax non sono una novità assoluta, si veda ad esempio questo articolo, sempre da html.it, dove quasi un anno fa si evidenziava il monito di Billy Hoffman, intervenuto alla Black Hat Security Conference con un intervento provocatoriamente intitolato “Ajax (in)security”, che insisteva sull’importanza di usare in modo consapevole Ajax, sfruttando le sue potenzialità ma conoscendone anche le possibili vulnerabilità.
Interessante, molto interessante.
Se ne parlerà, molto probabilmente, in Cialtroni nello Spazio, la trasmissione di approfondimento informatico che il Circolab di Brescia tiene su Radio Onda d’Urto – martedi’, ore 12:40, e poi sul sito, da scaricare.