Google tappa uno spiffero rubadati

Ninfea · 19 Gennaio 2007, 00:09:18

Un malintenzionato poteva approfittare di un buco di Google per rubare all'utente informazioni personali, inclusi i documenti creati con la suite per l'ufficio web-based di BigG.

Roma - Nelle scorse ore Google ha corretto una vulnerabilità di tipo cross-site scripting (XSS) nei propri server che poteva consentire ad un malintenzionato di rubare alle vittime informazioni personali.
Un cracker poteva sfruttare la falla inducendo un utente a visitare una pagina web contente un piccolo script malevolo (3 righe di codice PHP): lo script consentiva all'aggressore di leggere il cookie di Google e fornirgli un accesso parziale ai dati dell'utente, quali le intestazione delle e-mail, la cronologia delle ricerche, nonché i documenti creati con Google Docs & Spreadsheets.

fonte:
http://punto-informatico.it/p.aspx?id=1852994&r=PI

marcoff · 20 Gennaio 2007, 02:37:01

con questa cosa sono costretto a ricredermi anche su punto-informatico, mamma mia questa cosa informaticamente parlando è impossibile.

Ninfea · 20 Gennaio 2007, 23:27:35

Spiegaci meglio

marcoff · 21 Gennaio 2007, 19:41:07

CSS (cross site scripting) in realtà questa situazione si verifica quando si ha a che fare con delle applicazioni web che ricevono i dati dagli utenti, spesso gli utenti si servivano di messaggi cifrati inserendo in essi degli script che forzavano la connessione verso dei link a loro noti, in questi indirizzi l'hacker poteva interpretare liberamente i cookies e rubare informazioni, la famosa "cookie theft".
Tuttavia oggi molti dei mtori di ricerca (Google è uno di questi) non consentono più l'esecuzione degli script richiamati nell'url.
Per esemio io avrei potuto su forumzone inserire un topic contenente un qualcosa del genere:

http://www.forumzone.it/user.asp?op=userinfo&uname=

tutti gli utenti che cliccano su tale link inseriscono i loro dati in un cookie che io potrei andare tranquillamente a leggere.

Ad oggi nella maggior parte dei motori di ricerca, forum, etc. questonon dovrbbe essere permesso.

Spero di avere chiarito questo arcano.

Questo messaggio è stato aggiornato da marcoff il 21/01/2007 alle ore 19:43:18

Ninfea · 21 Gennaio 2007, 20:00:11

Ok grazie per la spiegazione,sei stato chiaro

af624726 · 21 Gennaio 2007, 20:17:53

CitazioneCSS (cross site scripting) in realtà questa situazione si verifica quando si ha a che fare con delle applicazioni web che ricevono i dati dagli utenti, spesso gli utenti si servivano di messaggi cifrati inserendo in essi degli script che forzavano la connessione verso dei link a loro noti, in questi indirizzi l'hacker poteva interpretare liberamente i cookies e rubare informazioni, la famosa "cookie theft".
Tuttavia oggi molti dei mtori di ricerca (Google è uno di questi) non consentono più l'esecuzione degli script richiamati nell'url.
Per esemio io avrei potuto su forumzone inserire un topic contenente un qualcosa del genere:

http://www.forumzone.it/user.asp?op=userinfo&uname=

tutti gli utenti che cliccano su tale link inseriscono i loro dati in un cookie che io potrei andare tranquillamente a leggere.

Ad oggi nella maggior parte dei motori di ricerca, forum, etc. questonon dovrbbe essere permesso.

Spero di avere chiarito questo arcano.

Questo messaggio è stato aggiornato da marcoff il 21/01/2007 alle ore 19:43:18

visto che ne sai, in pm posso porti una questione di cui nn vengo a capo??

marcoff · 21 Gennaio 2007, 20:32:46

certo af:D.

af624726 · 21 Gennaio 2007, 21:02:37

ok allora doman iquando ho 1 pò di tempo ti chiedo

marcoff · 21 Gennaio 2007, 21:23:04

daccordo af;).

In evidenza per te:

Google tappa uno spiffero rubadati