lunedì 19 maggio 2008

PayPal: pericolo di vulnerabilità

La vulnerabilità è stata scoperta proprio nella modalità di sicurezza introdotta da poco: Extended Validation Secure Sockets Layer (EV SSL). Tale vulnerabilità potrebbe consentire a malintenzionati il furto di credenziali di autenticazione. Il meccanismo EV SSL o è progettato per offrire agli utenti un più elevato grado di fiducia e sicurezza (antiphishing), verso la pagina che stanno visitando, evidenziando in colore verde la barra degli indirizzi del browser. Un ricercatore finlandese ha scoperto, invece, che è possibile inserire uno script in una presunta pagina protetta di PayPal, in tal modo realizzando un exploit (*Glossario) che a sua volta, provoca l'avviso che si vede nello screen "E' sicuro?"




***
altri link di riferimento:
******
******
Un approfondimento in italiano che, introduce il concetto di cross-site request forgery (CSRF) ovvero l'esecuzione di script arbitrari provenienti da terze parti nel contesto di un dominio apparentemente fidato.
Variante alla vulnerabilità
Cross-site scripting di cui si è già occupata tecnopolis-hi
cheyenne

Nessun commento: