Leaderboards
Leaderboards
Direttore responsabile Raffaella Zelia Ruscitto
Skyscraper 1
Skyscraper 1
Skyscraper 2
Skyscraper 2

La barra del browser potrebbe mentire

di Michele Pinassi*

SIENA. “Ho evitato Internet ma solo fino a quando l’avvento del web non l’ha trasformata in una tale magnifica opportunità di perdere tempo da non poterle più resistere” (William Gibson)

Secondo il Google security team, la barra del browser è un elemento fondamentale per verificare la sicurezza e l’attendibilità di un sito web.

Tante volte, anche attraverso le pagine di questo blog, ho indicato come sia fondamentale verificare sempre – soprattutto nel caso di phishing – gli URL dei siti web: sono un elemento imprescindibile per attestare l’identità di un soggetto.

L’URL – Universal Resource Locator – è univoco ed identifica in maniera certa un determinato elemento, come un sito web o una pagina, una immagine o un documento etc etc etc…

Eric Lawrence, creatore di “Fiddler; ex-IE, now Chrome“, chiama la linea subito sotto la barra degli indirizzi “The line of death“: è la linea di demarcazione tra i contenuti web, subito sotto, e quelli controllati dal browser, sopra, che contengono appunto la barra degli indirizzi, oltre a eventuali voci di menù e/o bookmarks.

La Line of Death e le zone sotto il controllo del sito web

Nell’immagine qui sopra, ho evidenziato in rosso le aree del browser che dipendono dal sito web: il titolo della pagina, all’interno del tag <title>, l’URL (www.zerozone.it) e l’icona (favicon.ico). Il contenuto del sito viene visualizzato subito sotto.

In nessun caso dovrebbe essere data la possibilità di accedere, dal web, all’area sopra la LoD (Line of Death), in particolare alla barra degli indirizzi: parafrasando con un esempio più digeribile anche ai profani, è come se una trasmissione televisiva potesse farci credere di essere su Rai 1 mentre, invece, siamo sintonizzati su Rete 4.

A quanto pare, però, sono già state identificate almeno due vulnerabilità piuttosto preoccupanti su questo fronte.

Homograph Attack

La prima è relativa ad una feature chiamata IDN –International Domain Name– che permette di usare un encoding UTF, chiamato Punycode, nella address bar: permette, ad esempio, di poter avere URL in cinese mandarino o con le dieresi. Ma permette anche di usare caratteri simili ad altri, in un tecnica di attacco chiamata homograph attack: It may not be obvious at first glance, but “аpple.com” uses the Cyrillic “а” (U+0430) rather than the ASCII “a” (U+0061).

I browser moderni, come Google Chrome, incorporano già dei sistemi di protezione da questo tipo di attachi (IDN in Google Chrome), che però non proteggono nel caso il carattere sia un po’ meno simile: provate voi stessi ad incollare, nella barra del browser, l’URL xn--80ak6aa92e.com:

Edge Browser Address Bar Spoofing

L’altra vulnerabilità, che però sembra coinvolgere solo i browser Microsoft Edge e Safari, è descritta nel CVE-2018-8383 e consiste, essenzialmente, nel forzare il caricamento di una pagina web diversa da quella indicata nell’address bar.

Se utilizzate Microsoft Edge o Safari, verificate la vulnerabilità con i Proof-of-Concept (PoC) su Apple Safari & Microsoft Edge Browser Address Bar Spoofing.

Preoccupati? Fate bene ad esserlo… HTML5 !

Secondo Eric Lawrence, il futuro potrebbe essere ancora più preoccpante a causa di alcune interessanti caratteristiche di HTML5, come il full screen rendering che permette, ad una pagina web, di accedere all’interno schermo (e quindi riprodurre, artificialmente, anche siti web legittimi). Una falla di cui sono, potenzialmente, affetti tutti i moderni sistemi operativi: al momento non risultano attacchi noti ma ho paura che sia solo questione di tempo.

Conclusioni

Attacchi di questo tipo sono potenzialmente utilizzabili nelle ormai quotidiane campagne di phishing, traendo in inganno anche gli utenti più attenti. Il suggerimento, soprattutto quando si tratta di accedere all’Home Banking o ad altre piattaforme di pagamento come PayPal, è quello di non cliccare mai sul link indicato nella mail: accedete al portale digitando direttamente l’URL reale nella barra del browser. Nel caso notaste inoltre elementi sospetti, non procedete con il login e verificare, con un mezzo autorevole, la legittimità del portale (es. chiamando il call center). Importante anche mantenere aggiornato il software, in particolare il browser.

In un mondo sempre più complesso, anche l’asticella delle truffe si sta alzando: l’unica vera arma sono la conoscenza e la consapevolezza. La fiducia non basta più.

*www.zerozone.it

[banner_mobile]
Are you looking for Krnl this is best Roblox executor this is one of the finest roblox executor.
Download Rapid Streamz for Android, this app will help you stream over 800+ TV channels! Watch free Live TV on Android using the best live tv app for Android. Rapid Streamz application is specially designed for those people who want to enjoy their favorite television shows and movies on the go.
Are you looking for Openiv which is one of the best modding toolset for the PC Versions of GTA 5, GTA 4, Episodes From Liberty City (EFLC) and Max Payne 3, etc. Latest version of the app supports Red Dead Redemption 2 as well. The toolset allows the users to view and alter the game files.
This is CodeX Executor which is a potent application designed to empower Roblox players by allowing them to run scripts within popular Roblox games such as Blox Fruits, Pet Simulator X, Project Slayers, Murder Mystery 2, Adopt Me, Arsenal, and many more.
Enhance your Roblox experience with BTRoblox which is extension that aims to enhance Roblox's website by modifying the look and adding to the core website functionality by adding a plethora of new features.
Winlator is a powerful tool that allows you to run Windows applications and games on your Android device. With Winlator, you can enjoy your favorite PC games on the go, all without the need for a high-end gaming PC. This opens up a whole new world of gaming possibilities, as you can now play your favorite titles anywhere and anytime.
You can download the latest version of Sportzfy TV Apk from our website. We offer a safe and secure download link that ensures you get the latest version of the app without any hassle.
Sportsfire is a free live-streaming application that focuses on sporting events and is available for installation on Firestick, Fire TV Cube, Fire TV, and Android TV/Google TV Boxes.
You can download the latest version of Sportzfy TV Apk from our website. We offer a safe and secure download link that ensures you get the latest version of the app without any hassle.
In the age of digital streaming, inat tv Inat TV APK is one of the most video streaming free application. Finding a reliable and feature-rich application to access your favorite TV shows, movies, and live channels has become crucial.
Krira TV is a free sports streaming app that allows fans around the world to watch their favorite sports events in HD quality.
Experience endless entertainment with blink streamz the top Free Live TV App for Android, offering free live sports streaming and more. Enjoy a vast selection of TV channels on your Android device.
krnl
cinema hd
beetv
inat tv
spotiflyer
aniyomi
saikou
scipt hook v
fluxus executor
flix vision
egg ns
fs23 mods
strato emulator
gacha nebula