Aprendo un qualsiasi sito Web, la prima cosa che viene visualizzata \u00e8 quasi sicuramente una notifica sull\u2019uso dei cookie. In genere la scelta \u00e8 tra accettare tutti i cookie, solo quelli necessari o nessuno. Indipendentemente dalla scelta, la pagina Web torna a essere quella di sempre quando la notifica scompare dallo schermo.<\/p>\n
Oggi ci addentreremo a fondo nelle questioni dei cookie: a cosa servono, quali tipi esistono, come gli utenti malintenzionati possono intercettarli, quali rischi comportano e come stare al sicuro.<\/p>\n
Quando si visita un sito Web, questo invia al browser un cookie: un piccolo file di testo che contiene dati sull\u2019utente, sul sistema e sulle azioni intraprese dall\u2019utente sul sito. Il browser archivia questi dati nel dispositivo e li invia di nuovo al server ogni volta che l\u2019utente torna sul sito. In questo modo l\u2019interazione con il sito risulta semplificata: non \u00e8 necessario eseguire l\u2019accesso a ogni singola pagina; i siti ricordano le impostazioni di visualizzazione; i negozi online mantengono gli articoli nel carrello; i servizi di streaming sanno da quale puntata riprendere la visione: i vantaggi sono infiniti.<\/p>\n
I cookie possono memorizzare dati di accesso, password, token di sicurezza, numero di telefono, indirizzo di residenza, dettagli bancari e ID di sessione. Vediamo in dettaglio cosa accade con gli ID di sessione.<\/p>\n
Un ID di sessione<\/strong> \u00e8 un codice univoco assegnato a ciascun utente che accede a un sito Web. Se una terza parte riesce a intercettare questo codice, il server Web l\u2019accetter\u00e0 come utente legittimo. Ecco una semplice analogia: immaginiamo di accedere al nostro ufficio per mezzo di un pass elettronico dotato di codice univoco. Se ci venisse rubato, al ladro si spalancherebbe ogni porta senza bisogno di camuffarsi o somigliarci fisicamente. Il sistema di sicurezza creder\u00e0 di concedere a noi l\u2019accesso. Sembra la scena di un film poliziesco, vero? La stessa cosa accade online: se un hacker ruba un cookie contenente l\u2019ID di sessione, potrebbe accedere a un sito Web senza dover immettere nome utente e password, gi\u00e0 forniti dall\u2019utente legittimo, e potrebbe persino scavalcare l\u2019autenticazione a due fattori. \u00c8 esattamente questo che gli hacker hanno fatto nel 2023 per rubare tutti i tre canali YouTube del famoso tech blogger Linus Sebastian: il famoso \u201cLinus Tech Tips\u201d e altri due canali del Linus Media Group con decine di milioni di abbonati. Abbiamo gi\u00e0 trattato il caso in dettaglio<\/a>.<\/p>\n Mettiamo ordine tra i vari \u201cgusti\u201d di cookie. Tutti i cookie possono essere classificati secondo le loro caratteristiche.<\/p>\n \u00c8 possibile che cookie di sessione diventino persistenti. Ad esempio, se si seleziona una casella come \u201cRicordami\u201d, \u201cSalva impostazioni\u201d o simili in un sito Web, questi dati verranno salvati in un cookie persistente.<\/p>\n Uno stesso cookie pu\u00f2 rientrare in pi\u00f9 categorie: la maggior parte dei cookie opzionali \u00e8 ad esempio di terze parti, mentre i cookie essenziali includono quelli temporanei responsabili della sicurezza di una specifica sessione di navigazione. Per maggiori dettagli su come e quando vengono usati tutti questi tipi di cookie, invitiamo a leggere il rapporto completo di Securelist<\/a>.<\/p>\n I cookie che contengono un ID di sessione sono i bersagli pi\u00f9 allettanti per un hacker. Il furto di un ID di sessione \u00e8 anche noto come hijacking della sessione<\/a>. Esaminiamo alcuni dei metodi pi\u00f9 interessanti e diffusi.<\/p>\n Il dirottamento della sessione avviene monitorando o \u201cannusando\u201d il traffico Internet tra l\u2019utente e il sito Web. Questo tipo di attacco si verifica nei siti Web che usano il protocollo HTTP<\/a>, meno sicuro del protocollo HTTPS. Con il protocollo HTTP, i cookie vengono trasmessi come testo normale all\u2019interno delle intestazioni delle richieste HTTP: in altre parole, si tratta di file non criptati. Un malintenzionato pu\u00f2 facilmente intercettare il traffico tra l\u2019utente e il sito Web ed estrarre i cookie.<\/p>\n Questi attacchi si verificano spesso sulle reti Wi-Fi pubbliche, soprattutto se non protette dai protocolli WPA2 o WPA3. Per questo motivo \u00e8 consigliabile<\/a> prestare estrema attenzione quando si usano gli hotspot pubblici. \u00c8 molto pi\u00f9 sicuro usare i dati mobili. Per chi viaggia all\u2019estero \u00e8 una buona idea usare una eSIM<\/a>.<\/p>\n Lo scripting intersito<\/a> si colloca a buon ragione tra le principali vulnerabilit\u00e0 della sicurezza sul Web. Questo tipo di attacco consente a malintenzionati di ottenere l\u2019accesso ai dati di un sito, inclusi i cookie contenenti gli ID di sessione.<\/p>\n Ecco come funziona: l\u2019utente malintenzionato rileva una vulnerabilit\u00e0 nel codice sorgente del sito Web e inietta uno script dannoso; fatto ci\u00f2, per rubare tutti i cookie deve solamente aspettare che l\u2019utente visiti la pagina infetta. Lo script otterr\u00e0 cos\u00ec accesso completo ai cookie, che saranno inviati all\u2019utente malintenzionato.<\/p>\n A differenza di altri tipi di attacchi, la falsificazione delle richieste tra siti<\/a> sfrutta la relazione di attendibilit\u00e0 tra un sito Web e il browser. Un utente malintenzionato induce con l\u2019inganno il browser di un utente autenticato a eseguire un\u2019azione indesiderata a sua insaputa, ad esempio la modifica di una password o l\u2019eliminazione di dati, ad esempio la cancellazione di un video.<\/p>\n Per questo tipo di attacco, l\u2019autore delle minacce crea una pagina Web o un\u2019e-mail contenente un collegamento dannoso, codice HTML o uno script con una richiesta al sito Web vulnerabile. \u00c8 sufficiente aprire la pagina o l\u2019e-mail o fare clic sul collegamento per consentire al browser di inviare automaticamente la richiesta dannosa al sito di destinazione. Tutti i cookie dell\u2019utente per quel sito verranno allegati alla richiesta. Ritenendo che sia l\u2019utente legittimo a richiedere, ad esempio, la modifica della password o l\u2019eliminazione del canale, il sito eseguir\u00e0 la richiesta.<\/p>\n Ecco perch\u00e9 \u00e8 consigliabile non aprire i collegamenti ricevuti da sconosciuti e installare una soluzione di protezione affidabile<\/a> che possa avvisare l\u2019utente della presenza di collegamenti o script dannosi.<\/p>\n A volte gli autori degli attacchi non hanno bisogno di usare schemi complessi: possono semplicemente indovinare l\u2019ID di sessione. In alcuni siti Web, gli ID di sessione sono generati da algoritmi prevedibili e potrebbero contenere informazioni come l\u2019indirizzo IP pi\u00f9 una sequenza di caratteri facilmente riproducibile.<\/p>\n Per mettere a punto questo tipo di attacco, gli hacker devono raccogliere un numero sufficiente di ID campione, analizzarli e capire l\u2019algoritmo di generazione per prevedere autonomamente gli ID di sessione.<\/p>\n Esistono altri modi per rubare un ID di sessione, ad esempio la correzione della sessione<\/strong>, il lancio dei cookie<\/strong> e gli attacchi man-in-the-middle (MitM)<\/strong><\/a>. Questi metodi sono trattati nel nostro post Securelist dedicato<\/a>.<\/p>\n Gran parte della responsabilit\u00e0 della sicurezza dei cookie spetta agli sviluppatori di siti Web. Appositi suggerimenti sono parte del nostro rapporto completo su Securelist<\/a>.<\/p>\n Tutti noi per\u00f2 possiamo fare qualcosa per rimanere al sicuro online.<\/p>\n <\/strong><\/p>\n <\/p>\n Per saperne di pi\u00f9 sui cookie consigliamo questi articoli:<\/p>\n Come bloccare i cookie nel vostro browser<\/a><\/p>\n Mozilla e la tecnologia di attribuzione a tutela della privacy<\/a><\/p>\n Come capire se un sito sta prendendo le vostre impronte digitali (del browser)<\/a><\/p>\n Come controllare i cookie: un esperimento nel mondo reale<\/a><\/p>\nQuali tipi di cookie esistono?<\/h2>\n
Per tempo di archiviazione<\/h4>\n
\n
Per fonte<\/h4>\n
\n
Per importanza<\/h4>\n
\n
Per tecnologia di archiviazione<\/h4>\n
\n
Come gli ID di sessione vengono rubati tramite l\u2019hijacking della sessione<\/h2>\n
Sniffing di sessione<\/h4>\n
Scripting intersito (XSS)<\/h4>\n
Falsificazione di richieste tra siti (CSRF\/XSRF)<\/h4>\n
ID di sessione prevedibili<\/h4>\n
Come proteggersi dai furti di cookie<\/h2>\n
\n