Discutendo spesso di Web application non ci possiamo esimere dal parlare dalla sicurezza che le suddette applicazioni Web based offrono agli incauti – e cauti- utenti: infatti una delle problematiche che suscita il maggior grado di ansia nei lettori e nei navigatori che per la prima volta si avvicinano ai software non residenti sulle proprie macchine è “ma è sicuro avere i dati NON sul mio PC e protetti solo da una password?“.
“Un computer sicuro è un computer spento” diceva il Condor, il grande e famosissimo hacker Kevin Mitnick, colui che riuscì con un notebook ed un telefono portatile a “bucare” tutte le più grandi infrastrutture informatiche del pianeta, quindi diciamo che dal punto di vista della sicurezza non ci dobbiamo preoccupare troppo di dove i trovino i nostri dati, o meglio ci dobbiamo preoccupare molto a prescindere da dove si trovino.
Detto questo c’è una cosa che mette particolarmente in pericolo i nostri dati online, ovvero salvare nei browser tutte le nostre password di login a tutti i nostri servizi, cosa comunemente fatta da tutti noi.
“Jeremiah Grossman, esperto sulla sicurezza in internet, cofondatore del Web Application Security Consortium e attualmente in forza alla società White Hat, ha recentemente affermato che nessun browser garantisce ai propri utenti una protezione sufficiente per i dati di login (…) Microsoft Internet Explorer, Mozilla Firefox, Apple Safari e Google Chrome sarebbero tutti attaccabili tramite semplici procedure basate sul cross-site scripting o sull’esecuzione di codice JavaScript malevolo, finalizzate a furti d’identità e accessi non autorizzati a vari servizi.” pianetatech.it
Ora, alla luce di questo fatto dobbiamo considerare semplicemente una cosa ovvero che non sono le Web application ad essere attaccabili in quanto tali, ma lo sono i nostri browser, forse perché sviluppati senza pensare all’esplosione di servizi online che stanno nascendo in questi ultimi anni.
Allora che fare?
La cosa si direbbe molto semplice e cioè non salvare le pwd ma inserirle manualmente ogni volta che si accede ad in servizio. Ma se i servizi ai quali si accede sono decine ogni giorno, CMS come WordPress o Joomla che hanno bisogno di password, o posta elettronica come Gmail, allora che fare?
La cosa migliore da fare è, in linea di massima, cercare di usare sempre password diverse per ogni servizio, e salvarne il minor numero possibile sul browser, ma in caso di “necessità” di salvataggio, meglio non salvare le password che potrebbero essere più importanti, come ad esempio quella di Google che darebbe accesso ad un malintenzionato a tutti i nostri documenti, alla nostra posta ed ai nostri contatti.
Meglio che vi buchino il blog piuttosto che abbiano accetto a tutti i vostri contatti personali o email.
Tag: applicazioni web based, password salvate browser, password sicure, sicurezza password, sicurezza web application
Il computer più sicuro è quello spento: verissimo.
Ma sei sicuro che la porta di casa tua sia veramente sicura, e gli allarmi dei musei mondiali? Sei certo che non ti cada un balcone sulla testa, magari in una piazza antica come quella di Siena?
Puoi sempre fare come Michael Jackson e vivere in una campana di vetro, ma alla fine vedi bene che mia nonna di 96 anni è vissuta molto più di lui.
Sono d’accordo con la sicurezza, ma ansie e paranoie non aiutano. Io non sono certo che mai mi ruberanno in casa come non sono certo della sicurezza totale dei miei browser.
Vivo tranquillo facendo così: scelgo password che conosco solo io e con maiuscole e minuscole, aggiorno sempre il mio browser e confido su chi è pagato per garantire sicurezza … daltronde è il loro lavoro.
By The Way: ho molti amici che hanno avuto il pc craccato da altre persone perché sceglievano password facilmente indovinabili tipo nome del figlio e anno di nascita … partiamo da qui
Ovviamente questa vulnerabilità dei browser vale quando i browser usano funzionalità interne per salvare le password.
Su Mac tutte le App che hanno la necessità di salvare password usano il portachiavi di sistema (Keychain) e NON un “custom storage” come succede su altri sistemi.
Il keyring di sistema su Mac cifra le password con 3DES, tra i più sicuri algoritmi di crittografia a chiave simmetrica.
Ergo, “salvare le password nel browser” su un sistema Mac perde di significato, perché quello che il browser fa è usare il portachiavi di sistema per salvare e recuperare le password.
Ah, ovviamente questo vale per tutti i browser tranne quella schifezza di Firefox, che anche su Mac usa il proprio storage per le password. Questo giusto per ribadire quanto pessimo sia quel browser.
Enrico Giubertoni ha scritto:
Personalmente, la risposta a tutte le tue domande è no, ma sono convinto che sapere che una cosa potrebbe essere “rischiosa” possa essere il primo passo per evitare il rischio.
Sei invece sicuro che tutti sappiano che salvare le password su Firefox (grazie Vincenzo) possa essere un potenziale rischio? Forse, chissà, adesso qualche lettore in più lo saprà ed adotterà le tue stesse precauzioni
Enrico Giubertoni ha scritto:
è verissimo, ma un po di informazione in più credo possa aiutare. Oggi ho parlato con due amici che non sapevano nemmeno dell’esistenza di altri browser oltre a IE, forse per persone non troppo informate le notizie come queste possono servire. Cioè non mi pare che si sia fatto terrorismo ma solo informazione. Sbaglio Enrico?
Ah a proposito, piacere di vederti anche qua
@ Rudy Bandiera:
Quando mia nipote di 14 anni – che sostituisce windows con linux sul suo pc – mi fa domande sui social network, mi accorgo che le risposte che do sono di “educazione civica”.
Non mettere a disagio le persone taggandole in foto in cui sono venute male è una pratica di netiquette e di galateo.
Non divulgare la propria password è l’equivalente di quanto la mia maestra alle elementari ci spiegava sulla sicurezza personale: solo che nel 1980 la sicurezza era rappresentata dal non mettere le chiavi sotto lo zerbino.
Scegliere una password sicura e non il nome del proprio ragazzo più l’anno di innamoramento, è un fatto sociale e rappresenta l’educazione civica.
Usare un antivirus e un firewall e tenerlo aggiornato è un fatto di sicurezza individuale, alla stregua di non lasciare la porta di casa chiusa ma non a chiave.
Non usare software piratati (pieni di doorway) in particolare il Sistema Operativo è un fatto di sicurezza e legalita oltre che di intelligenza: ormai su linux trovi di tutto e al pari delle blasonate soluzioni commerciali.
Tutto questo fa parte dell’educazione civica: lo so che non sempre un insegnante so può trovare a proprio agio. Allora è il caso che impari lui stesso dai suoi studenti, con i suoi studenti e assieme ai suoi studenti … e con il Ministero: questo sito è secondo me ben fatto http://www.tiseiconnesso.it/
Ma se qualche collega docente ha delle remore, c’è un video che secondo me è una vera e propria pietra miliare ed è di Gianni degli Antoni, intervistato da David Orban.
http://www.youtube.com/watch?v=7lQ0AVv4Hjs
Se qualche collega insegnante ha paura di perdere il potere imparando dai/con/insieme ai suoi studenti, questo video capovolge il paradigma: personalmente ho sempre imparato quasi ogni giorno di docenza e ora sono convinto di una cosa:
Quando un giorno di lezione non imparo nulla, per me quel giorno ho sbagliato qualcosa nella mia docenza e ciò significa che ho fallito come docente nel mio ruolo.
Ben venga questo post e altri come questo. Il mio commento voleva solo aggiungere questo: d’accordo c’è un pericolo, ma non diventiamo paranoici pensando che internet sia il male.
Ecco perché ho Twittato questo post e i commenti.
P.S.
Non è perché insegno agli adulti: quando parlo con mia nipote di 14 anni, imparo sempre qualcosa, anzi dagli adolescenti si impara molto di più visto che sono giovani e vivi.
@ Cosmobile:
E poi Firefox cambierà il sistema di salvataggio password e lo renderà più sicuro al pari degli altri. Allora si inventeranno un altro exploit che verrà risolto e se ne inventerà un altro che verrà risolto da qui all’anno X in cui i browser verranno sostituiti da altro.
Ben vengano post come questi: più si scoprono le vulnerabilità e le si divulgano più si migliora. Daltronde non è questa etica Hacking?
[...] Blog Notizie, commenti,argomenti e progetti « I dati di login sono al sicuro salvati nei browser? 18 agosto mercoledì, 18 agosto [...]
Enrico Giubertoni ha scritto:
Questa frase la riutilizzerò sicuramente, stanne certo! Ottimo commento, grazie
[...] le cose si sono capovolte. In altre occasioni abbiamo parlato di sicurezza, in particolare della sicurezza delle nostre password salvate nei browser, quelle pwd che ci servono per accedere ai servizi che usiamo tutti i giorni come i nostri siti, [...]
[...] anche un video realizzato da F-Secure, che guiderà l’utente alla scoperta dei Laboratori di Sicurezza dell’azienda finlandese, attivi 24 ore su 24 nella lotta al crimine [...]