Aggiornamenti recenti Aprile 24th, 2024 2:00 PM
Ott 18, 2017 Marco Schiaffino Attacchi, News, Privacy, Prodotto, RSS, Vulnerabilità 0
Utilizzare un plugin che blocca le pubblicità e tutta quella paccottiglia utilizzata dai siti Internet per tracciare la navigazione è una norma di buon senso. In qualche caso, però, l’uso di un componente di questo tipo può avere degli effetti indesiderati. Per esempio mettere a rischio la sicurezza dei siti.
Ad accorgersene è stato Scott Helme, che ha lanciato l’allarme in un post sulla pagina GitHub di uno dei più diffusi blocker in circolazione: uBlock Origin.
Helme, in particolare, si è accorto che uBlock Origin impedisce al browser di inviare gli avvisi utilizzati dal sistema di Content Security Policy (CSP) che dovrebbero segnalare agli amministratori di un sito Web la presenza di un tentativo di hacking.
CSP è uno strumento considerato fondamentale (Google ha recentemente incoraggiato il suo utilizzo) per fare in modo che i siti Internet abbiano una struttura “a prova di hacking” o, per lo meno, che li renda meno vulnerabili ad attacchi come quelli basati su Cross Site Scripting (XSS), che fanno leva sull’inserimento di codice estraneo all’interno della pagina.
Uno degli strumenti utilizzati a questo scopo è un sistema di “allerta” che viene inviato all’amministratore del sito direttamente dal browser di chi visita le sue pagine.
Il comportamento di uBlock Origin, quindi, rende inutilizzabile una delle funzioni più importanti di CSP, che consentirebbe di bloccare sul nascere molti attacchi e rendere più sicuro il Web.
Dalla segnalazione è partito uno scambio di battute tra Helme e lo sviluppatore di uBlock Origin Raymond Hill, in cui però i due si sono mantenuti su due posizioni inflessibili.
Se Helme lamenta che il blocco mette a rischio la sicurezza dei siti Internet, Hill considera i report CSP come un possibile veicolo per violare la privacy degli utenti. Un vero dialogo tra sordi, che sembra non possa portare da nessuna parte.
Tutta la vicenda, però, ha per lo meno il merito di accendere i riflettori su un curioso cortocircuito tra privacy e sicurezza, che raramente vengono visti come aspetti in conflitto tra loro. Chissà se dalle parti di Google qualcuno sta pensando a una soluzione.
Apr 18, 2024 0
Apr 04, 2024 0
Mar 04, 2024 0
Feb 19, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...