Un malintenzionato poteva approfittare di un buco di Google per rubare all'utente informazioni personali, inclusi i documenti creati con la suite per l'ufficio web-based di BigG.
Roma - Nelle scorse ore Google ha corretto una vulnerabilità di tipo cross-site scripting (XSS) nei propri server che poteva consentire ad un malintenzionato di rubare alle vittime informazioni personali.
Un cracker poteva sfruttare la falla inducendo un utente a visitare una pagina web contente un piccolo script malevolo (3 righe di codice PHP): lo script consentiva all'aggressore di leggere il cookie di Google e fornirgli un accesso parziale ai dati dell'utente, quali le intestazione delle e-mail, la cronologia delle ricerche, nonché i documenti creati con Google Docs & Spreadsheets.
fonte:
http://punto-informatico.it/p.aspx?id=1852994&r=PI
con questa cosa sono costretto a ricredermi anche su punto-informatico, mamma mia questa cosa informaticamente parlando è impossibile.;)
Spiegaci meglio :);)
CSS (cross site scripting) in realtà questa situazione si verifica quando si ha a che fare con delle applicazioni web che ricevono i dati dagli utenti, spesso gli utenti si servivano di messaggi cifrati inserendo in essi degli script che forzavano la connessione verso dei link a loro noti, in questi indirizzi l'hacker poteva interpretare liberamente i cookies e rubare informazioni, la famosa "cookie theft".
Tuttavia oggi molti dei mtori di ricerca (Google è uno di questi) non consentono più l'esecuzione degli script richiamati nell'url.
Per esemio io avrei potuto su forumzone inserire un topic contenente un qualcosa del genere:
http://www.forumzone.it/user.asp?op=userinfo&uname=
tutti gli utenti che cliccano su tale link inseriscono i loro dati in un cookie che io potrei andare tranquillamente a leggere.
Ad oggi nella maggior parte dei motori di ricerca, forum, etc. questonon dovrbbe essere permesso.:D :D
Spero di avere chiarito questo arcano.;)
Questo messaggio è stato aggiornato da marcoff il 21/01/2007 alle ore 19:43:18
Ok grazie per la spiegazione,sei stato chiaro ;)
CitazioneCSS (cross site scripting) in realtà questa situazione si verifica quando si ha a che fare con delle applicazioni web che ricevono i dati dagli utenti, spesso gli utenti si servivano di messaggi cifrati inserendo in essi degli script che forzavano la connessione verso dei link a loro noti, in questi indirizzi l'hacker poteva interpretare liberamente i cookies e rubare informazioni, la famosa "cookie theft".
Tuttavia oggi molti dei mtori di ricerca (Google è uno di questi) non consentono più l'esecuzione degli script richiamati nell'url.
Per esemio io avrei potuto su forumzone inserire un topic contenente un qualcosa del genere:
http://www.forumzone.it/user.asp?op=userinfo&uname=
tutti gli utenti che cliccano su tale link inseriscono i loro dati in un cookie che io potrei andare tranquillamente a leggere.
Ad oggi nella maggior parte dei motori di ricerca, forum, etc. questonon dovrbbe essere permesso.:D :D
Spero di avere chiarito questo arcano.;)
Questo messaggio è stato aggiornato da marcoff il 21/01/2007 alle ore 19:43:18
visto che ne sai, in pm posso porti una questione di cui nn vengo a capo??:o
certo af:D.
ok allora doman iquando ho 1 pò di tempo ti chiedo ;):)
daccordo af;).