È proprio un’estate di fuoco questa, per Apple: dopo l’antennagate e l’allarme lanciato da Secunia, ora arriva la scoperta di un notevole vulnerabilità individuata in Safari, in grado di esporre gli utenti al furto di dati sensibili.
Jeremiah Grossman ha scoperto come questo possa avvenire (sia in Safari 4, che nella più recente versione 5) sfruttando la funzione di auto completamento dei form presenti nelle pagine Internet: nome, indirizzo, email e altri dati personali, potrebbero essere acquisiti e utilizzati per inviare spam, ma anche per rendere più credibili eventuali email di phishing.
Come sappiamo, il riempimento automatico dei moduli, è la comoda funzione che permette di completare, in maniera del tutto automatica, alcuni dei moduli presenti nelle pagine Internet, accedendo alle nostre informazioni personali, memorizzate nella rubrica indirizzi: non è necessario l’intervento dell’utente, Safari è in grado di fare tutto da solo.
Il problema però, nasce esattamente qui: creando un’apposita pagina che contenga campi di inserimento invisibili, completati da codice Javascript (per simulare la digitazione dei tasti), è una questione di pochi attimi popolare il form e inviarlo all’hacker di sorta che avrà a disposizione tutte le nostre informazioni più importanti (è escluso, probabilmente per un bug, solo il numero di telefono).
Al momento, l’unica soluzione sembra essere quella di disabilitare l’auto completamento dei moduli, in attesa di un aggiornamento di sicurezza da parte di Apple, che risolva la questione.
Come si può vedere dall’immagine, per farlo, occorrerà accedere alle preferenze di Safari, scegliere la scheda Riempimento automatico e deselezionare l’opzione che permette di accedere alla rubrica indirizzi.
Se vuoi aggiornamenti su Problema di sicurezza in Safari inserisci la tua e-mail nel box qui sotto:
Mai usato l’autocompletamento.
Non mi sembra di avere letto del S.O.
Se OS X, vorrei ricordare che senza il placet dell’utente non si fa nulla.
Se Windows mi limito a ricordare che sbucacchiarlo è l’esame di ammissione al mondo Hacker.
Qualunque sia il S.O. Il completamento automatico è da sempre insicuro, almeno per quanto ne so io. Se viene attivato è unicamente per pigrizia (parlo sempre per me, ovviamente).
di Ratamusa - 26 luglio 2010 - 09:21
Non è detto esplicitamente, ma dalle immagini a disposizione sul sito di Jeremiah (e considerando l’interazione con Rubrica Indirizzi) direi che si tratta di Safari per OS X.
Il problema però nasce (oltre che dal bug in se) dal fatto che il riempimento automatico è abilitato di default in Safari quindi, prima che l’utente (magari per pigrizia) si decida a disabilitarlo, potrebbe incorrere in una pagina maliziosa.
di Vito Pietrafesa - 26 luglio 2010 - 09:53
Ah…Non sapevo che fosse abilitato di default. Mai fatto caso.
Sì, per il resto, forse hai ragione.Qualcuno che finisce coinvolto in queste cose c’è sempre….
Grazie per la notizia.
di Ratamusa - 26 luglio 2010 - 12:46
E’ sempre divertente leggere le arrampicate sugli specchi di un mac user
PS:
Curioso che tu non abbia “mai usato” l’autocompletamento, se è vero che è abilitato di default.
Se è così, come minimo, dal grande esperto che sei, dovresti averlo disabilitato. E’ un po’ strano che non lo ricordi, no?
PPS
Io uso Chrome, ma IE ha sempre chiesto, al primo utilizzo, se l’utente vuole attivare la funzione…
Magari un cicinino di informazione, prima di sparare fesserie, io me la farei…
di spino - 27 luglio 2010 - 11:02
Tu non sei neemeno in grado di fare quello….Temo. La Microsoft non lo permette.Potresti conoscere cose che lei non gradisce (….Da 30 anni e più).
P.S….O forse lo disattivato e poi ho dimenticato di averlo fatto, dato che l’autocompletamento non lo uso….Appunto.
Non vedo dove sia la differenza…
[frase cancellata da un admin per violazione del regolamento]
Cicinin si scrive…..(E’ la trascrizione migliore con una tastiera a standard)
di Ratamusa - 27 luglio 2010 - 20:03
ahahahaha
[frase cancellata da un admin per violazione del regolamento]
Io non uso IE da anni, eppure so’ benissimo che chiede se attivare l’autocompletamento…tu affermi di non usarlo su safari, ma poi si scopre che è attivo di default…
[frase cancellata da un admin per violazione del regolamento]
PS
http://www.google.com/search?rlz=1C1CHMB_itIT353IT354&sourceid=chrome&ie=UTF-8&q=cicinino
non mi pare di essere l’unico ad usare la declinazione cicinino…ora darai dell’ignorante a mezzo mondo informatico?
di spino - 28 luglio 2010 - 07:13
Priamdi tutto, ti suggerisco di non usare il linguaggio usato da quella specie di talpe del sottobosco IT via di mezzo [frase cancellata da un admin per violazione del regolamento]. Rispettare il prossimo, accettare che non la pensi come te, prendere atto che ogni tanto dice cose sensate, sappi che non guasta.
In quanto alle ultime due righe, le uniche sensate del tuo post…
Cicinin è un’espressione piemontese la cui traduzione approssimativa (dipende anche dal contesto) è: un pochino.
Cicinin è la scrittura originale. Quella corretta.
Cicinino è quella italianizzata, scorretta e distorta nel significato oltre il ragionevole.
Per i miei gusti naturalmente
P.S….Io mi esprimo, talvolta, in liguaggio colorito ma non mi sono mai permesso di esprimermi.nei confronti del mio interlocutore come hai fatto tu. Gli screditamenti li lascio agli altri.
di Ratamusa - 28 luglio 2010 - 11:09
Dimenticavo…Quel link porta a cucinino… Con la u e non a cicinino che come seconda lettera ha una i….L’analfabetismo è una cosa brutta….
[frase cancellata da un admin per violazione del regolamento]
[frase cancellata da un admin per violazione del regolamento]
di Ratamusa - 28 luglio 2010 - 11:21
[frase cancellata da un admin per violazione del regolamento]
Come chiunque può verificare,il link che ti ho postato è la home page di Google con la parola cercata “cicinino”…
Solo che, COME AL SOLITO, ti sei limitato a leggere la prima classica riga “Forse cercavi: cucinino”, tipico suggerimento del noto motore di ricerca.
[frase cancellata da un admin per violazione del regolamento]
di spino - 28 luglio 2010 - 11:39
Invito entrambi a darvi una controllata, altri commenti di questo genere non verranno tollerati
di Orazio Tassone - 28 luglio 2010 - 12:48
@Spino @Ratamusa
Che avete scritto per venire quasi bannati?
Avete preso le parole dal dizionario dello zoo di 105? XD
di abba - 28 luglio 2010 - 13:01