di Percy Cabello
Il ricercatore di sicurezza e hacker Michal Zalewski ha pubblicato un rapporto su una vulnerabilità che colpisce Firefox 2.0.0.1 e probabilmente anche le versioni precedenti. Questa vulnerabilità consentirebbe ad un sito web malevolo di impersonare un sito sicuro e creare un cookie fasullo a nome del sito web originario. Il tutto può essere usato per sferrare attacchi cross-window e cross-fame mettendo a rischio le informazioni personali scambiate attraverso Ajax. Zalewski ha anche pubblicato un esempio pratico nel quale dimostra l'effettiva vulnerabilità.
Il problema è già stato registrato in BugZilla per la sua risoluzione. Nel frattempo, lo stesso Zalewski consiglia questo espediente temporaneo:
- Entrare nei parametri avanzati di Firefox digitando about:config nella barra degli indirizzi.
- Cliccare su un parametro qualsiasi e selezionare Nuovo --> Stringa.
- Inserire capability.policy.default.Location.hostname.set nel campo del nome.
- Inserire noAccess come valore della stringa.
- Chiudere e riaprire Firefox.
E' possibile leggere l'intero rapporto di Zalewski (in inglese) a questo link.
3 commenti:
E' normale che, dopo aver seguito queste indicazioni, aver dunque creato la stringa che dire e assegnatole il valore che dite, questa nuova stringa con compaia nell'elenco? Generalmente quando aggiungo una nuova stringa, poi riesco a trovarla nell'elenco...
Grazie.
Sì è normale che questa voce non appaia in about:config
E come si fa, dunque, per verificare se, e a quale valore, e' settata? C'e' un motivo per cui questa voce si comporta diversamente dalle altre?
Posta un commento