Aggiornamenti recenti Settembre 17th, 2025 4:45 PM
Ott 31, 2018 Marco Schiaffino Gestione dati, Hacking, In evidenza, News, RSS, Tecnologia, Vulnerabilità 0
C’è chi lavora per aumentare il livello di sicurezza di Internet e chi disfa tutto per semplice convenienza. Potrebbe essere questa la sintesi della vicenda legata alla gestione di alcune funzioni di validazione dei certificati digitali nei plugin e nelle librerie PHP che mette a rischio i dati sensibili dei visitatori.
Partiamo dallo scenario finale: su Internet ci sono, anche se una stima esatta è impossibile, milioni di siti che trasmettono informazioni senza utilizzare correttamente i protocolli di sicurezza SSL e TLS.
Come questo sia possibile e quali siano i motivi che hanno portato a questa situazione possiamo leggerlo in un rapporto scritto e pubblicato da Scott Arciszewski di Paragon Intiative.
Arciszewski spiega che tutto ruota intorno a 2 impostazioni cURL, presenti sui Web server, che regolano alcune delle modalità con cui vengono gestiti i certificati digitali.
Il primo è CURLOPT_SSL_VERIFYHOST, il cui scopo è controllare la corrispondenza dell’URL relativa al server che si contatta. Se si disabilita questa funzione (impostandola su “false”, mentre il valore predefinito è “2”) il server non eseguirà il controllo e si accontenterà di verificare che il server contattato abbia un certificato valido.
Immaginiamo che un sito di e-commerce, spiega Arciszewski, si colleghi per trasmettere i pagamenti a un server authorize.example.com e che un pirata riesca a dirottare la connessione verso authorize-example-com.obvious-phishing-site.cx.
Se CURLOPT_SSL_VERIFYHOST è attivo, quando esamina il certificato si accorge che è stato rilasciato per un altro indirizzo e la connessione viene bloccata. Se è disattivato, va avanti come se nulla fosse.
La seconda impostazione è CURLOPT_SSL_VERIFYPEER, che esegue un controllo di validità del certificato tramite l’infrastruttura dell’autorità di certificazione.
Se lo si disabilita, il sito accetterà come buoni anche i certificati creati in proprio. Risultato: chiunque potrebbe portare un attacco Man in the Middle con estrema facilità, intercettando i dati trasmessi.
Ecco: a quanto pare ci sono centinaia di migliaia di progetti PHP (ma anche centinaia di plugin WordPress) i cui autori hanno disattivato le due funzioni.
Ma perché diavolo dovrebbero esserci degli sviluppatori PHP che disattivano queste funzioni consapevolmente? La risposta è semplice: la loro presenza è spesso una scocciatura.
Le due funzioni, infatti, richiedono di confrontare le richieste con un elenco di certificati validi. L’elenco può essere scaricato in vari modi, ma molti servizi di hosting non li scaricano o li memorizzano in posizioni non standard, rendendo più difficile impostare il funzionamento dei plugin.
In una situazione del genere, l’amministratore del sito (cioè il cliente dello sviluppatore) rischia di trovarsi di fronte una raffica di avvisi di sicurezza. Per evitare rogne, quindi, molti sviluppatori preferiscono disattivare CURLOPT_SSL_VERIFYPEER e CURLOPT_SSL_VERIFYHOST.
La situazione, però, secondo Arciszewski, è letteralmente esplosiva e se i pirati informatici cominciassero a sfruttare le vulnerabilità lascate aperte da queste impostazioni scellerate potrebbe trasformarsi in un disastro.
Il ricercatore ha anche realizzato uno strumento chiamato Certainty che permetterebbe agli sviluppatori di superare i problemi descritti sopra. Si tratta di una libreria PHP e i dettagli sul suo funzionamento si possono leggere qui.
Dic 18, 2024 0
Nov 18, 2024 0
Ott 15, 2024 0
Set 09, 2024 0
Set 17, 2025 0
Set 16, 2025 0
Set 15, 2025 0
Set 15, 2025 0
Set 17, 2025 0
La minaccia di MuddyWater non si arresta, anzi: negli...Set 12, 2025 0
L’intelligenza artificiale diventa non solo...Set 11, 2025 0
Il ransomware continua a dilagare e rimane la minaccia...Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Set 17, 2025 0
La minaccia di MuddyWater non si arresta, anzi: negli...Set 16, 2025 0
I ricercatori della compagnia di sicurezza Socket hanno...Set 15, 2025 0
La nuova squadra italiana per le competizioni di...Set 15, 2025 0
La scorsa settimana il CERT-AGID ha identificato e...Set 12, 2025 0
L’intelligenza artificiale diventa non solo...