Mi capita tra le mail e le news che ricevo giornalmente questa notizia che vale la pena segnalare: si parla di "clickjacking", una seria minaccia che interessa tutti i browser Internet. La questione avrebbe dovuto essere discussa anche occasione della OWASP NYC AppSec 2008 Conference della scorsa settimana, ma l'intervento è stato posticipato ad altra data su richiesta di alcuni vendor.
La vulnerabilità alla quale si fa riferimento offre all'attaccante la pox di far clikkare l'utente sostanzialmente su un qls elemento di una pagina web (link o altro) senza che l'utente si accorga in alcun modo di essere "pilotato".
Non sono ancora disponibili i dettagli tecnici della vulnerabilità, ma già Micorsoft e Mozilla ne hanno confermata la gravità.
Per ora, pare che l'unica cosa certa sia che per proteggersi la sola possibilità, in attesa di sviluppi, sia quella di disabilitare browser scripting e plugin.
Stiamo a vedere ...
Nessun commento:
Posta un commento