Google – The Spy Company

Una delle funzionalità incluse nel nuovo web browser di Google Chrome è la possibilità di visualizzare dei suggerimenti per gli errori di navigazione. Questa funzionalità è destinata a sostituire alcuni messaggi di errore 404 tipici  dei server web, con un opzione supplementare di far cercare al motore di ricerca Google frasi diverse dall’indirizzo web immesso correttamente, che ha restituito il messaggio 404 tipico per errore interno del server o altro.

In passato un problema come questo fu portato alla luce quando una tecnologia simile fu introdotta prima con la browser Google ToolBar. (per questo e per altri motivi  che vi posterò non la uso più da anni e invito tutti a rimuoverla dai propri pc).   

Spesso viene utilizzato il metodo HTTP GET per passare dati dal modulo da una pagina al successivo per un’ulteriore elaborazione. Quando utilizziamo il metodo GET, questi dati vengono aggiunti all’URL delimitati precedentemente da un carattere punto interrogativo.

Es: http://%5Bsomewebsite%5D/accountinfo.php?user=Jdoe&session=12345678

Nell’esempio sopra riportato accountinfo.php verrebbe passato il parametro USER contenente un valore di JDOE nonché un parametro SESSION contenente un valore di 12345678.

Per spiegare alcune delle preoccupazioni sulla privacy che possono essere associate ad un errore 404 dirottato, esaminiamo il seguente esempio: teniamo uno scenario in cui un server web sta vivendo la manutenzione e un URL che normalmente visualizzerebbe un documento valido web ha restituito un errore 404.
In questo caso un utente è connesso [somewebsite] come utente jdoe con un ID sessione di 12345678. Dopo la registrazione dell’utente seleziona l’opzione “Informazioni account” su [somewebsite] ed è diretta a http:// [somewebsite]/accountinfo.php?user=Jdoe&session=12345678.

Error 404

Error 404

In questo esempio [somewebsite] è sotto manutenzione e il server che ospita il documento accountinfo.php sta generando un messaggio 404.

Il browser Chrome invece di visualizzare il messaggio 404 generato da [somewebsite] visualizzerà un errore personalizzato che contengono collegamenti ai collegamenti di ricerca che reindirizzano a una pagina web di ricerca di Google.

Un effetto di dirottare l’errore 404 originale mantenendo l’URL,  è che alcuni eventuali di questi collegamenti quando si fa clic o quando viene premuto il pulsante di ricerca, il browser Chome invierà i dati sopra menzionati (USER contenente un valore di JDOE nonché un parametro SESSION contenente un valore di 12345678) a Google.com come parte del campo referrer delle intestazioni di HTTP della query creata.

In questo caso gli utenti non sono destinati ad essere pienamente consapevoli che i valori di utente e la sessione sono trasmessi ai server di Google, con ripercussioni sulla sicurezza e privacy delle persone.

Ci è stato segnalato  anche da uno dei nostri ricercatori McAfee che quando la pagina 404 di Google Chrome viene inizialmente visualizzata, un file di immagine è richiesto a Google (percorso esatto può variare a seconda della versione localizzata del prodotto). Questa richiesta http contiene anche il valore di referrer a cui fa riferimento il post iniziale.
Il risultato di questa scoperta è che non è effettivamente necessaria alcuna azione dell’utente finale per le informazioni da inviare al Google. Al momento che viene visualizzata la pagina 404 Goggle le informazioni sono già state trasferite a Google.

Pensate in caso di transazioni bancarie e/o acquisti on line. Anche se la transazione è criptata con SSL a 128bit o TSL queste infomazioni viaggiano in chiaro verso i server di google e non gli arriveranno criptate.

 Fonte (Mcafee Research

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: