hit counter
Disponibile IE8 RC1 con la nuova protezione anti-Clickjacking (che fa discutere) - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Disponibile IE8 RC1 con la nuova protezione anti-Clickjacking (che fa discutere)

Disponibile IE8 RC1 con la nuova protezione anti-Clickjacking (che fa discutere)

  • Comments 3
  • Likes

L'impegno pressante nel nuovo ruolo (e i festeggiamenti ;-) hanno fatto slittare la mia ripresa di questa importante segnalazione, lanciata dal puntualissimo Renato su Technet e ieri ripresa da Lorenza su MClips:

 Disponibile Internet Explorer 8.0 RC 1

Internet Explorer 8 RC1

Dai link citati potete attingere a tutti i dettagli sulle novità introdotte in questa release, mentre immagino che da questo mio post vi aspettiate una vista sull'ambito security... e avete ragione!

Di sicuro la novità principale in area sicurezza è l'introduzione della protezione rispetto agli attacchi Clickjacking, di cui sicuramente avete sentito parlare nell'ultimo periodo come una delle più recenti modalità di attacco in ambito navigazione sul web. Questi attacchi permettono di sfruttare ad arte l'architettura attuale di tutti i browser, in particolare nella modalità in cui si permette di comporre una pagina web tramite un puzzle di più sottopagine (frame) che provengono da diversi siti web, contemporaneamente: come esempio di attacco, si potrebbe riuscire a sovrapporre una pagina dall'apparenza legittima sopra un'altra pagina web che verrebbe così nascosta, e ingannarvi a tal punto che un click da voi eseguito sulla pagina visibile in realtà si traduca in un click eseguito sulla pagina nascosta! Le immagini di tale esempio ed una spiegazione sicuramente più esaustiva dello scenario di questi attacchi è disponibile in questo post del blog di IE:

IE8 Security Part VII: ClickJacking Defenses

In cosa consiste la protezione introdotta da IE8 RC1? E' stata pensata una nuova direttiva (X-FRAME-OPTIONS) da inserire a livello di pagina HTML sui siti web, che è in grado di far capire ad IE8 se la pagina servita è stata alterata in modo non autorizzato rispetto alle intenzioni del sito web di origine. Se si naviga su una pagina che tenta di veicolare un attacco Clickjacking, IE8 allerta l'utente segnalando che c'è una parte del contenuto che vorrebbe essere visualizzato in un frame e questo non era nelle intenzioni del sito web di origine. Se l'utente vuole procedere si permette solo l'apertura del contenuto in una finestra nuova, distinta dalla precedente, tale da vanificare l'attacco Clickjacking.

Questo tipo di protezione adottata da IE8 sta scatenando un interessante dibattito, perché lo si sta paragonando con le diverse misure già ora presenti che operano in modo più o meno completo per contrastare questa tipologia di attacchi: in particolare c'è chi punta l'indice sul fatto che tale protezione, richiedendo un intervento lato server web, possa avere una lenta adozione prima di essere davvero utile per proteggere gli utenti, mentre segnala come molto più efficaci le soluzioni client-only (quali il famosissimo add-on per Firefox, NoScript di Giorgio Maone - lasciatemi dire, che bello vedere il nome di un italiano riconosciuto come voce autorevole nella comunità dei ricercatori di sicurezza!) che operano bloccando ogni possibile script che sia in grado di mettere in atto questi attacchi.

Vi confesso che la complessità tecnica di questa problematica è davvero notevole, e non è banale poter esprimere un parere di merito al riguardo di questa disputa. Io personalmente non so darvela, ma credo che ancora una volta si stia confrontando situazioni non esattamente paragonabili tra loro. Conoscendo un pochino Microsoft ;-), vorrei darvi una chiave di lettura che sembra non emergere nel dibattito, sottolineandovi una parte del post già citato di IE:

While various mitigations for ClickJacking have been proposed, each entails a set of tradeoffs which can impact compatibility, user-experience, or require significant changes to existing standards.

L'evoluzione tecnologica che Microsoft cerca di realizzare ha sempre dovuto tener conto degli elementi appena sottolineati, e su una scala di implementazione molto più vasta rispetto a quella a disposizione di altri vendor. Credo che appena possibile si cercherà di fornire ulteriori dettagli sul merito tecnico, ma per ora riconosco bene l'impronta nell'approccio che si è adottato con la direttiva X-FRAME-OPTIONS: cercare una modalità di alto profilo, STRUTTURALE, per indurre l'intero ecosistema IT a fare dei passi in avanti verso la ridefinizione di una Internet più sicura (in linea con l'iniziativa di End To End Trust su cui vi ho stuzzicato più volte). Non ho difficoltà a dirvi che anche a me appare a pelle (ribadisco di essere non esperto di web security) che la soluzione NoScript sia in grado di proteggere meglio l'utente, ma questa soluzione è davvero quella in grado di far fare un passo in avanti all'evoluzione architetturale di Internet che serve per limitare sia questi che altri nuovi attacchi di questa tipologia, garantendo allo stesso tempo un impatto minimo in termini di compatibilità, esperienza dell'utente e innovazione degli standards?

Strano a dirsi per la testata tipicamente non molto pro-Microsoft, ho ritrovato alcune considerazioni affini a quanto vi ho appena detto in un interessante articolo del The Register che vi segnalo.

Credo che ritorneremo presto a parlare di questo argomento... ;-)

Altri post/risorse correlate:

Share this post :

Comments
  • io lo sto usando da alcuni giorni e devo dire che mi trovo molto meglio di IE7 molto piu veloce e parerebbe piu sicuro

  • Grazie per aver dato anche la sua opinione su questo interessante argomento di discussione. Le voglio segnalare che nell'ultima build di NoScript (1.8.9.9) Giorgio Maone ha rapidamente fatto in modo di ottenere una compatibilità sperimentale ma completa, come affermato dallo stesso sviluppatore, con la direttiva X-FRAME-OPTIONS. All'indirizzo:

     http://hackademix.net/2009/01/29/x-frame-options-in-firefox/  

    vi sono anche un paio di screenshot che mostrano come in effetti il risultato raggiunto da IE e Firefox+NoScript sia il medesimo.

  • Purtroppo pero l esperienza con IE8 è finita e sono stato costretto a tornare a IE7 perche era estremamente lento e in continuo crash ! adesso con IE7 pare essere un fulmine senza crash

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment