Google protegge Gmail e YouTube dagli attacchi cross-site
Oct 6, 2009 | Category: Google Vulns
Dopo tre anni l’azienda ha adottato un sistema per proteggere gli account dei propri utenti.
Google ha finalmente aumentato la sicurezza dei propri servizi introducendo un sistema di protezioni dagli attacchi di tipo Csrf (Cross-site Request Forgery).
In un attacco Csrf, le credenziali dell’utente “fidato” di un servizio vengono usate da una terza persona per i propri scopi: per esempio, mentre è aperta nel browser una sessione di Gmail il proprietario di un sito malevolo che stiamo visitando potrebbe usare le nostre credenziali per farsi consegnare la lista dei contatti, o per inviare email al nostro posto.
Gmail non è l’unico servizio di Google che finora presentava questa vulnerabilità; anche YouTube, per esempio, ne era affetto.
Il rimedio adottato da Google consiste nella generazione di un token univoco (conservato in un cookie) all’apertura della sessione: per ogni richiesta sarà necessario che il sistema fornisca questo token (che in fondo è una stringa di testo che funge da sistema di validazione dell’identità dell’utente). Se una richiesta ne è sprovvista, essa viene negata.
Ci sono voluti tre anni, da quando la vulnerabilità è stata segnalata, prima che Google mettesse mano al problema.
From: http://www.zeusnews.it
