Corretta un’altra falla di sicurezza in Facebook

Ancora problemi di sicurezza per  Facebook. La segnalazione arriva da IDG News, che ha ripreso quanto riportato dallo studente Steven Abbagnaro sul suo blog.

Il bug  consentiva ad un malintenzionato di cancellare tutti i contatti inseriti nella lista degli amici di un generico utente.

Il proof-of-concept realizzato da Abbagnaro sfrutta lo stesso bug CSRF (”Cross-Site Request Forgery”) utilizzato poco tempo fa da M.J. Keith, esperto di sicurezza di Alert Logic.

Keith aveva mostrato come fosse possibile aggiornare le informazioni di profilo e privacy di un utente nonostante eventuali impostazioni esistenti.

I responsabili di Facebook, a quanto pare si sono preoccupati di dichiarare chiuso il problema un po’ troppo in fretta.

Dopo una serie di test Abbagnaro ha infatti verificato che il bug CSRF era ancora lì, e consentiva per l’appunto la cancellazione della lista dei contatti amici.

Sembra che il problema sia stato “definitivamente” risoltolo scorso 22 maggio.  A confermarlo lo stesso Abbagnaro in un update al post originale, nel quale oltre ai dettagli sull’attacco compare anche un “video dimostrativo”.

Annunci

Eliminare i Flash Cookies dal PC

Durante la navigazione sul Web, i vari siti visitati lasciano traccia delle visite effettuate tramite l’utilizzo di cookies, piccoli files che permettono ai siti di identificare il nostro account ed in un certo senso anche di spiare le nostre attività, memorizzando per esempio il numero di ingressi o la data dell’ultimo accesso al sito.

Utilizzare regolarmente un buon cleaner per cancellare eventuali cookies ed altre tracce di navigazione è sempre consigliabile. C’è però una categoria di cookies insidiosa e non non molto conosciuta, i cosiddetti Flash Cookies sulla quale occorre fare un po’ di chiarezza. Questi cookies vengono creati dal plugin Flash del browser e mantengono le impostazioni personalizzate per quanto riguarda le applicazioni Flash che utilizziamo mediante il browser, per esempio il player video di YouTube.

Rispetto ai tradizionali Cookies HTTP che registrano al massimo 4 Kilobite di informazioni, questi speciali “Flash Cookies” sono in grado di tracciare e immagazzinare le tue informazioni per decine di MB, e sono molto difficili da rintracciare sul tuo PC dato che sono archiviati separatamente dai normali Cookies facilmente gestibili utilizzando le Opzioni Internet negli Strumenti del browser.

Per visualizzare i Flash Cookies installati è sufficente collegarsi alla pagina Pannello Impostazioni generali della privacy del sito Adobe. Da qui si ha la possibilità, oltre che cancellare i cookies presenti, bloccare la loro memorizzazione deselezionando la spunta “Consenti a contenuto Flash di terze parti di memorizzare dati sul computer” nella scheda “Impostazioni generali di memorizzazione”.

Volendo procedere manualmente all’eliminazione si può cancellare i files con estensione .sol che si trovano nella cartella Application Data all’interno del proprio profilo utente.

Per acceredvi basta premere i tasti Windows+R (o selezionare il pulsante Start e poi Esegui) ed inserire il seguente comando

%APPDATA%\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\

e premere il bottone OK o il tasto Invio.

Si aprirà quindi la la finestra di Esplora Risorse che punterà alla cartella contenente tutti i Flash Cookie. Non resta altro che eliminare tutti i files .sol presenti nelle varie sottocartelle. Volendo potete aggiungere il percorso adatto al vostro sistema alla lista dei files personalizzati che farete cancellare dal vostro cleaner di fiducia, per automatizzare la procedura.