I dati di login sono al sicuro salvati nei browser?

Discutendo spesso di Web application non ci possiamo esimere dal parlare dalla sicurezza che le suddette applicazioni Web based offrono agli incauti – e cauti- utenti: infatti una delle problematiche che suscita il maggior grado di ansia nei lettori e nei navigatori che per la prima volta si avvicinano ai software non residenti sulle proprie macchine è “ma è sicuro avere i dati NON sul mio PC e protetti solo da una password?“.
Un computer sicuro è un computer spento” diceva il Condor, il grande e famosissimo hacker Kevin Mitnick, colui che riuscì con un notebook ed un telefono portatile a “bucare” tutte le più grandi infrastrutture informatiche del pianeta, quindi diciamo che dal punto di vista della sicurezza non ci dobbiamo preoccupare troppo di dove i trovino i nostri dati, o meglio ci dobbiamo preoccupare molto a prescindere da dove si trovino.
Detto questo c’è una cosa che mette particolarmente in pericolo i nostri dati online, ovvero salvare nei browser tutte le nostre password di login a tutti i nostri servizi, cosa comunemente fatta da tutti noi.
Jeremiah Grossman, esperto sulla sicurezza in internet, cofondatore del Web Application Security Consortium e attualmente in forza alla società White Hat, ha recentemente affermato che nessun browser garantisce ai propri utenti una protezione sufficiente per i dati di login (…) Microsoft Internet Explorer, Mozilla Firefox, Apple Safari e Google Chrome sarebbero tutti attaccabili tramite semplici procedure basate sul cross-site scripting o sull’esecuzione di codice JavaScript malevolo, finalizzate a furti d’identità e accessi non autorizzati a vari servizi.” pianetatech.it
Ora, alla luce di questo fatto dobbiamo considerare semplicemente una cosa ovvero che non sono le Web application ad essere attaccabili in quanto tali, ma lo sono i nostri browser, forse perché sviluppati senza pensare all’esplosione di servizi online che stanno nascendo in questi ultimi anni.
Allora che fare?
La cosa si direbbe molto semplice e cioè non salvare le pwd ma inserirle manualmente ogni volta che si accede ad in servizio. Ma se i servizi ai quali si accede sono decine ogni giorno, CMS come WordPress o Joomla che hanno bisogno di password, o posta elettronica come Gmail, allora che fare?
La cosa migliore da fare è, in linea di massima, cercare di usare sempre password diverse per ogni servizio, e salvarne il minor numero possibile sul browser, ma in caso di “necessità” di salvataggio, meglio non salvare le password che potrebbero essere più importanti, come ad esempio quella di Google che darebbe accesso ad un malintenzionato a tutti i nostri documenti, alla nostra posta ed ai nostri contatti.
Meglio che vi buchino il blog piuttosto che abbiano accetto a tutti i vostri contatti personali o email.

17 Ago 2010
Seguici