Alcuni ricercatori di Google hanno proposto una “nuova” soluzione per impedire l’utilizzo di certificati corrotti via SSL. La popolarità del protocollo sicuro HTTPS ha spostato le minacce su un piano differente, rispetto al passato: delle nuove tecniche d’infiltrazione prevedono di sfruttare i certificati per dirottare il traffico.
GMail è stata una delle vittime più illustri del caso di Diginotar, l’autorità certificativa olandese che ha subito un declassamento a untrusted in seguito alla corruzione da parte d’un hacker dei certificati rilasciati. Per questo motivo, Google suggerisce di redigere una lista pubblica dei certificati distribuiti per il controllo.
In sostanza, prima che il browser possa accettare un certificato e indirizzare l’utente al sito, dovrebbe essere effettuato un controllo incrociato con la lista pubblica. Quest’ultima servirebbe a verificare l’integrità del certificato: se l’esito fosse negativo, bloccherebbe il re–indirizzamento dell’utente al dominio specificato.
Continua a leggere: La “nuova” soluzione ai certificati corrotti in SSL arriva da Google
SPDY (cioè “speedy”) è un progetto di Google per rendere il web due volte più veloce. Inaugurato nel novembre del 2009, è costituito di vari componenti legati allo sviluppo di Chrome e Chrome OS. Fino a ieri SPDY era presente soltanto sui server di Google: Strangeloop l’ha aggiunto alla propria offerta di hosting col Site Optimizer.
Trattandosi di un protocollo sperimentale, non ancora elevato a standard, SPDY funziona esclusivamente su Chrome e i Chromebook. Strangeloop è la prima società ad adottarlo al di fuori di Mountain View. Perché possa approdare su tutti i browser, è necessario che SPDY sia disponibile su larga scala: questo è soltanto il primo passo.
Strangeloop ha lavorato su SPDY con Google dal primo momento: grazie ai miglioramenti apportati il protocollo può ridurre del 50% il caricamento delle pagine web. SPDY include un’accelerazione per SSL. La disponibilità al pubblico dovrebbe incrementare la possibilità che SPDY costituisca davvero un futuro per il web insieme a IPv6.
Via | ZDNet
Un interessante articolo di CNET News ha posto alcuni interrogativi su una questione troppo sottovalutata da società e utenti che operano ogni giorno sulla rete condividendo informazioni di ogni tipo.
Prendendo spunto dalla decisione di Google di adottare il protocollo SSL per ogni tipo di scambio dati via Gmail e dalla presentazione del Gmail Hacking Tool, il portale d’informazione ha contattato diversi siti web che continuano a usare il protocollo di sicurezza solo per l’operazione di login, lasciando il resto alla portata di malintenzionati in grado di mettersi “nel mezzo” tra l’utente e il portale di turno.
Aziende come Facebook, Amazon, Microsoft e Yahoo! hanno dato all’autore del post risposte diverse nella forma, ma nel contenuto tutte simili tra loro e riassumibili in un preoccupante “siamo ancora in alto mare”.
Nel frattempo, Google pensa di estendere la funzionalità a tutte le proprie applicazioni: una mossa che non può non fare piacere.
Via | CNET News
Se finora non avete deciso di sfruttare l’opzione di connessione SSL per il vostro account Gmail, questo post potrebbe convincervi a farlo, visto che è stato svelato un tool in grado di rubare gli account del servizio email di Google come fossero noccioline.
La prova è avvenuta durante il Defcon di Las Vegas, appuntamento famoso tra gli hacker di tutto il mondo: il programma non fa altro che rubare l’ID della sessione non crittata, dando la possibilità al malintenzionato di turno di accedere liberamente all’account rubato senza essere in possesso della password.
Il creatore Mike Perry ha dichiarato di aver contattato Google per metterla in guardia dal pericolo delle connessioni SSL “false”, visto che la versione normale dell’applicazione prevede l’utilizzo del protocollo di sicurezza solo in fase di login, mentre è proprio l’opzione introdotta da poco a obbligarne l’uso in tutte le operazioni scongiurando i pericoli.
Perry non ha mancato di criticare il colosso informatico, reo secondo lui di non aver pubblicizzato a dovere l’opzione inserita negli ultimi tempi, in grado di sventare la minaccia costituita dal tool malevolo, al quale si è esposti soprattutto nel caso in cui si acceda alla propria casella da più posti e/o da luoghi pubblici come Internet Point.
via | Hungry-hackers.com
Pctuner segnala una denuncia di The Register: il sito inglese di Ryanair ha problemi vistosi di sicurezza, addirittura passando dati sensibili in chiaro senza usare il protocollo SSL.
La situazione è stata confermata, ma solo per il servizio di web check-in che, per le compagnie low cost, permette ai viaggiatori di pagare per i bagagli al checkin in aeroporto.
downloadblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, chi siamo
© 2004-2011 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Downloadblog.it contattare la concessionaria esclusiva Populis Engage.
