vulnerabilita' popup (tutti i browers)

[alexdem24]

ciao a tutti
ho appena finito di leggere l'articolo di pounto informatico (http://punto-informatico.it/p.asp?i=50774) il quale descrive una falla di "sicurezza" in tutte le finestre popup di tutti i browser al momento in cirolazione. Quello che mi chiedo e' se quando un sito internet apre un popup, l'url della pagina e' comunque incluso nella barra degli indirizzi (anche se nascosto) apribile con la pressione del tasto F11. Ma il sito malevolo e' in grado di cambiare anche l'url della pagina insieme al suo contenuto oppure se vediamo l'url corretto possiamo stare tranquilli sulla sua veridicita' ?

Questa domanda mi sorge spontanea, xche' la maggior parte delle banche che effettuano "banking on line" aprono un popup per far eseguire il login insieme a tutti gli altri parametri di sicurezza.
Vorrei sapere se in quel caso posso essere sicuro che i dati inseriti vengano elaborati solo ed esclusivamente dalla banca e non da qualcun'altro che si finge la banca.

Grazie a tutti

[makuro]

Le pagine di login dovrebbero (e se non lo sono, cambia conto) essere firmate da un bel certificato ssl...Quindi se c'è il lucchetto in basso a dx, e hai il sistema aggiornato, non dovresti aver problemi...

[alexdem24]

me lo auguro...
ti ringrazio per la risposta

[superbubba]

Non ho capito bene come funziona il giochetto.

Come può (in pratica) un utente malintenzionato sfruttare questa falla?

[alexdem24]

immagina di voler visionare il tuo conto in banca tramite internet.
Ti colleghi al sito dela tua banca che ti chiede ti inserire il tuo login ocn la relativa password, piu' altri dettagli che dipendono da banche e banche tipo data di nascita, codice di verifica etc.

Molte di queste banche utilizzano, come dice makuro, tecnologia ssl e si spera che sia tutto a posto con questo. Ma se non lo e', molte di loro ti fanno apparire un popup dove inserire i dati di conferma(login, password, verifiche) ed e' li' che il sito malintenzionato prende piede. In poche parole doivresti avere due siti internet aperti durante questa transazione. Il sito malevolo con il codice maligno e la pagina della banca (o qualunque altra pagina di qualsiasai genere he tramite un popup ti chiede l'inserimento di dati personali o privati).
A questo punto il sito malevolo (che al momento e' come background sul tuo schermo durante la transazione) si impadronisce del popup potendo caricarci sopra una pagina html simile a quella che ti aspetteresti, ma con campi diversi (che ovviamente tu non vedi). Quando clicchi sul tasto conferma, questi dati vengono spediti da tutt'altra parte e cosi' ecco che le tue informazioni personali sono state rivelate a chi non dovrebbe saperli. Provare per credere...
http://secunia.com/multiple_browsers...rability_test/
Per linkare toglia dalla barra degli indirizzi il codice <br%20/>.
Spero di essere stato chiaro.

[cso]

1- non sono tanti i webmaster che riescono a sfruttare una falla simile anche sapendo della sua esistenza

2- dovresti avere proprio culo a beccare quello che sfrutta la falla

3- tra meno di una settimana verra rilasciata la patch

4- perchè devi avere 10.000 pagine web aperte per fare una transazione?

5- le banche serie hanno un sistema che non lo freghi con dei pop-up

6-

7-

[alexdem24]

guarda, ti dico che le persone sono molto più veloci di quanto credi !!!
Per farti un esempio guarda il caso di yahoo che ha tentato di combattere lo spam con uno screen saver. La notizia era nuova di un paio di settimane e gli spammer dopo la prima avevano già trovato il modo di raggirare il problema ed in più hanno usato questa iniziativa a loro vantaggio, creando un programma spy del tutto simile allo screen saver di yahoo ma con la differenza che ti succhiava informazioni dal pc. Voglio dire, per gli esperti o comuqneu gente che se ne intende un po di computer, sa quali sono le accortezze da utilizzare in internet, ma moltissima gente non ne è al corrente e usa soltanto le risorse inime per ottenere quello che vuole e stop. Queste sono quelle pià a rischio.

Per il punto della quantità di pagine aperte durante la transazione è vero, non devi di certo avere 1000 pagine aperte, ma ne basta una sola. Dimmi che tu navighi in internet con una sola finestra internet ? Io no.

Per la fortuna di beccare il sito internet infetto, anche quello è vero... devi essere sfigato per beccarlo. ma ti senti di sfidare la sorte ? Io no.

Per la questione della sicurezza delle banche la condivido con te. Le banche serie dovrebbero avere un sistema non facile da fregare con un semplice popup, ma programmatori e cracker in gamba a questo mondo ce ne sono molti. Sempre meglio stare con un'occhio aperto.