Già in passato avevamo evidenziato come la funzione di autocompletamento dei form di login integrata nei browser web potesse portare con sé alcune implicazioni negative dal punto di vista della sicurezza: Autocompletamento dei moduli: attenti ai campi nascosti.
Un gruppo di ricercatori dell’Università di Princeton ha rilevato l’utilizzo di alcuni codici JavaScript che mirano a stabilire l’identità dell’utente sfruttando l’inserimento di form di login invisibili nel corpo delle pagine web.
Come spiegato in questo studio, su alcuni siti che propongono moduli per l’autenticazione degli utenti viene “iniettato” codice JavaScript mediante uno script di terze parti.
Tale codice inserisce un form di login nascosto nella pagina e il browser, non accorgendosi che trattasi di elementi non visibili all’utente, compila automaticamente i campi username e password.
A questo punto lo script di terze parti può leggere il contenuto del form (nome utente e password altrui) e trasferire altrove questi dati.
Il funzionamento dell’attacco è verificabile nella “demo” pubblicata a questo indirizzo.
Come si vede, digitando un nome utente e una password “di fantasia” nel form online quindi chiedendo al password manager del browser di memorizzare le credenziali, queste vengono recuperate e mostrate in chiaro nella pagina successiva.
È importante evidenziare che le credenziali vengono appunto lette da uno script di terze parti tendendo un tranello al browser.
Nell’articolo Gestione password: come farlo in sicurezza abbiamo offerto alcuni consigli per gestire le password in modo sicuro.