Nella nuova “dev” (4.0.207.0) del browser Chrome, attivata una funzionalità di sicurezza il cui obiettivo è quello di difendere l’utente da attacchi XSS (“cross-site scripting”).
Google ha rilasciato una nuova versione “dev” (4.0.207.0), non definitiva, del browser Chrome. La disponibilità di nuove versioni ad uso e consumo dei “tester” non è una novità: degna di nota, tuttavia, è l’attivazione di un'”inedita” funzionalità di sicurezza il cui obiettivo è quello di difendere l’utente da attacchi XSS (“cross-site scripting”).
Il meccanismo di protezione contro gli attacchi XSS si fa carico di controllare ogni script prima della sua esecuzione verificando che esso appaia all’interno della richiesta che ha prodotto la generazione della pagina web. Se ne viene trovata traccia, l’esecuzione dello script viene immediatamente bloccata.
I tecnici del gigante di Mountain View prevedono di pubblicare un documento illustrativo non appena la funzionalità di difesa sarà stata ulteriormente messa alla prova.
Coloro che intentano attacchi di tipo cross site scripting sfruttano delle vulnerabilità presenti nelle pagine web dinamiche per modificare il codice della pagina web successivamente proposta al visitatore oppure per effettuare reindirizzamenti verso altri siti web, diversi da quello realmente richiesto. Vulnerabilità di questo tipo derivano da una imperfetta gestione del contenuto delle variabili utilizzate dalla pagina dinamica. In queste circostanze, un aggressore può “inettare” del codice JavaScript “maligno” all’interno di una pagina web. Precisiamo comunque che gli attacchi cross site scripting non agiscono assolutamente “lato server”: in altre parole, non è il server che ospita la pagina dinamica ad essere violato.
Supponiamo che un aggressore individui una pagina web dinamica che può essere oggetto di attacco. L’aggressore nota come tale pagina sembri elaborare numerosi parametri. Se, modificando il contenuto dei vari parametri elencati nella barra degli indirizzi del browser, la pagina web paia riutilizzarne uno o più di essi ripubblicandone il contenuto nella pagina generata dinamicamente, è possibile tentare un attacco cross site scripting. L’aggressore, allora, proverà ad inserire, in calce al contenuto di un parametro visualizzato nella barra degli indirizzi (i più “papabili” sono solitamente i valori che appaiono essere di tipo stringa), del codice JavaScript.
Qualora il programmatore della pagina dinamica non abbia opportunamente provveduto a scrivere una funzione che “depuri” i parametri in ingresso degli elementi potenzialmente nocivi (i.e. tag HTML, apici, simboli utilizzati dal linguaggio di programmazione,…) e provveda a riscrivere il contenuto del “parametro vulnerabile” sulla pagina successivamente proposta all’utente, può succedere che il codice maligno venga “iniettato” nel corpo della pagina.
Ovviamente, l’aggressore – una volta scoperta la vulnerabilità – dovrà indurre gli utenti del sito che ospita le pagine vulnerabili ad attacchi XSS, a cliccare su un link contenente lo script nocivo.
Per maggiori dettagli sul funzionamento degli attacchi XSS, suggeriamo di fare riferimento a questa pagina.
