Non sono finiti i problemi per Google Mail. Colpa del Javascript, che agisce in background ma senza accertarsi di restare in modalità SSL. E non riguarda solo Google, ovviamente

Roma - Il codice Javascript di Google effettua richieste HTTP in background, mediante la funzione XMLHttpRequest. Per default tali richieste sono cifrate in SSL ma, se SSL dovesse fallire, commuta automaticamente - e in modo trasparente - in modalità non cifrata.

Connettendosi, ad esempio, ad un HotSpot, Google Mail funziona sia con che senza SSL. Se la modalità SSL fallisce, i cookie di sessione vengono comunque inviati e potrebbero essere intercettati, tecnica conosciuta anche come sidejacking.

La dinamica sarebbe identica, precisa Ars Technica, anche per qualunque altro sito che impiegasse lo stesso meccanismo. Facebook, MySpace e Yahoo Mail, così come molti altri siti "Web 2.0", sono tutti ugualmente a rischio, spiega Ars.

Occhi aperti, sessioni cifrate obbligatorie in Wi-Fi e massima attenzione.

Condividere questa pagina su: