Niente più URL spoofing con IE

di Daniele Bochicchio, in Security,

Microsoft è pronta al rilascio di una patch.

Con questo articolo della KB, Microsoft ha annunciato oggi di essere pronta al rilascio di una patch per IE (tutte le versioni, dalla 5.0 all'ultima 6.0 SP 1) per tutti i sistemi operativi ancora supportati, da Windows 98 a Windows Server 2003, in grado di porre fine alla cosiddetta tecnica di URL spoofing, ovvero al passaggio delle credenziali attraverso l'indirizzo.

Con le attuali versioni è possibile inserire qualcosa http://www.microsoft.com@aspitalia.com e con alcuni caratteri speciali eliminare del tutto la seconda parte, dopo @, che è invece il vero e proprio indirizzo. Applicando questa patch dunque non sarà più possibile utilizzare URL di questo tipo, perchè IE restituirà solamente un errore di sintassi non valida. Sarà sempre possibile ripristinare il vecchio comportamento, agendo però sul registry e quindi prendendosene le responsabilità del caso. Come detto la patch è attesa a giorni.

Commenti

Visualizza/aggiungi commenti

| Condividi su: Twitter, Facebook, LinkedIn

Per inserire un commento, devi avere un account.

Fai il login e torna a questa pagina, oppure registrati alla nostra community.

Approfondimenti