Tutti i browser Web usano una funzione di sicurezza chiamata Same Origin Policy (SOP). Si tratta di una regola di sicurezza che evita l’apertura di risorse di terze parti salvate su un dominio o un sottodominio differente (oppure gestite su una porta diversa).
Grazie a questa protezione una pagina web e in particolare uno script da essa caricato non può ad esempio attingere alle informazioni gestite su altri siti.
Un gruppo di ricercatori tedeschi dell’Università della Ruhr (Bochum) e della Hochschule Niederrhein hanno scoperto 14 tipologie di attacchi XS-Leaks che affliggono tutti i principali browser.
Gli XS-Leaks, dove “XS” sta per cross-site, fanno leva su una classe di vulnerabilità che permettono a siti web diversi di interagire reciprocamente anche se ciò, in forza della policy SOP, non dovrebbe risultare possibile: si pensi a una pagina Web malevola che è stata sviluppata per rubare le credenziali dell’utente inserite in un altro sito completamente diverso.
Le aggressioni cross-site non sono nuove ma i ricercatori accademici hanno dimostrato come tante tipologie di XS-Leaks non siano ancora classificate e risolte.
L’applicazione web chiamata XSinator è stata realizzata con il preciso scopo di mostrare le nuove vulnerabilità emerse. È formata da tre componenti:
- Un sito di test che agisce come una pagina malevola utilizzando XS-Leaks nuovi e già noti.
- Un’applicazione web vulnerabile che simula il comportamento di una risorsa dipendente dallo stato.
- Un database che contiene tutti i risultati dei test precedenti.
Cliccando sul pulsante Test your browser, Run all tests l’applicazione verificherà le potenziali falle presenti nel browser in uso e confronterà il comportamento del programma con gli altri browser precedentemente verificati. In rosso sono evidenziati i problemi di sicurezza rilevati con a destra la descrizione di ciascuno di essi.
Durante il test è importante non chiudere la finestra a comparsa che XSinator farà comparire.
I ricercatori spiegano di aver pubblicato il loro lavoro per spronare gli sviluppatori di browser a rendere più sicuri i rispettivi prodotti. Molte aziende hanno già risposto e le patch correttive sono in corso di sviluppo: il migliore consiglio è quello di tenere sempre aggiornato il browser web installando tempestivamente le nuove versioni che vengono rilasciate.