Connessioni / Next / Search / Sicurezza / Social
Paypal scivola sui nuovi certificati Ssl
Paypal, l’azienda di proprietà di Ebay che distribuisce uno dei sistemi di pagamento più utilizzati per le transazioni via Internet, si scontra contro l’efficacia dei certificati Ssl di tipo Extended Validation, dopo che il ricercatore finlandese Harry Sintonen ha scoperto una vulnerabilità di tipo cross-site scripting che permette di rubare credenziali da pagine protette con certificati Ev-Ssl.
Il ricercatore ha dimostrato come un attacco basato su tecniche di cross-site scripting nei confronti di una pagina Paypal permette l’invio delle credenziali immesse a server non autorizzati; lo stesso Sintonen ha poi scritto codice per fare comparire un pop-up sulla pagina in questione, attraverso cui è stato possibile rubare i cookie dell’utente collegato. Paypal ha risposto in maniera decisamente rapida: “Appena siamo stati informati, abbiamo lavorato sul bug per chiuderlo il più presto possibile”.
Sotto accusa, quindi, vanno i certificati Ev-Ssl, creati per introdurre un numero più rigoroso di controlli sull’identità della persona che richiede il certificato stesso: i browser di ultima generazione, da Explorer 7 a Firefox 3, cambiano il colore della barra degli indirizzi in verde quando visualizzano siti Web che usano certificati di questo tipo. Non più tardi dello scorso aprile, PayPal si era espressa favorevolmente sulla loro utilità, sottolineando come “i browser che non supportano la funzione non possono ritenersi sicuri“.
Ma se i certificati di nuovo tipo richiedono la convalida dell’identità sul sito Web che li eroga, non garantiscono che la pagina stessa sia priva di vulnerabilità legate alla sicurezza: durante la dimostrazione di Sintonen, ad esempio, la barra degli indirizzi è rimasta costantemente verde. Paypal ha risolto il problema dei certificati durante il fine settimana, sopportando e causando disagi tutto sommato minimi; pur nell’errore non si può che lodare la reattività dell’azienda.
Ancora nessun commento.