Cookie e sicurezza, il peggio deve ancora venire

Stando a quanto sostiene il ricercatore di sicurezza polacco Dawid Czagan, i cookie rappresenterebbero un vettore di attacco sottovalutato che andrebbe invece considerato con maggiore attenzione; i fatti gli darebbero ragione e, a quanto pare, i peggiori risvolti della “cookie-insicurezza” non si sarebbero ancora verificati.

Gli avvertimenti di Czagan, specializzato nei test di penetrazione e direttore di Silesia Security Lab, arrivano a breve distanza dall’allarme lanciato dal CERT su una vulnerabilità dello standard RFC 6265: i cookie impostati su connessioni HTTP potrebbero essere sfruttati per compromettere le comunicazioni criptate (HTTPS) e impersonare un sito Web legittimo in un attacco di tipo “Man-in-the-Middle”.

Il ricercatore sostiene di aver identificato vulnerabilità connesse all’uso dei cookie nel 70% dei siti analizzati: anche se da soli potrebbero risultare innocui, una volta usati in concomitanza con altri vettori di attacco questi ultimi potrebbero condurre a gravi problematiche di sicurezza nonostante l’eventuale uso dell’autenticazione a doppio fattore.

Czagan avrebbe recentemente scoperto un problema nella gestione dei cookie (flag “HTTPOnly”) su Safari, e prevede che in futuro gli attacchi basati sull’abuso dello standard RFC 6265 potrebbero fare di tutto fuorché sparire dalla circolazione.

Via | The Register